Как работает детонация в песочнице F6 MDP: Морфинг среды против APT-атак
Продукты
Threat Intelligence Threat Intelligence Feeds Attack Surface Management Attack Surface Management TRY Digital Risk Protection Fraud Protection Business Email Protection Managed XDR Malware Detonation Platform Endpoint Detection and Response Network Traffic Analysis
Услуги

Работа с инцидентами

Обнаружение и локализация инцидентов
Реагирование и расследование инцидентов Выявление следов компрометации
Определить злоумышленника
Расследование кибер-преступлений
Цифровая криминалистика
Сбор и фиксация цифровых доказательств
Исследования цифровых доказательств
Компьютерная экспертиза

Тестирование безопасности

Тестирование инфраструктуры
Внешнее тестирование Внутреннее тестирование
Тестирование Wi-Fi
Социотехническое тестирование
Тестирование приложений
Веб-приложения
Мобильные приложения
Тренировка ИБ команд
Red Teaming Purple Teaming

Оценка соответствия и консалтинг

Законодательные требования
Обработка и защита ПДн
Безопасность КИИ
Безопасность в финансовом секторе
Режим коммерческой тайны
Менеджмент ИБ
Оценка зрелости ИБ и СУИБ
Оценка рисков ИБ
Разработка дорожной карты, ОРД

Круглосуточная защита от киберугроз

Мониторинг и реагирование SOC MDR
Мониторинг угроз внешнего периметра
Мониторинг и анализ событий
Проактивный поиск угроз
Оперативное реагирование
Подготовка
Оценка готовности к реагированию
О компании
F6 CERT-F6 Антифишинг-F6 Благодарности Карьера ИТ-аккредитация Контакты
Партнерам
Найти партнера Партнерам Дистрибьюторам
Обучение
Актуальные программы Security Awareness Сведения об организации,
осуществляющей обучение
Медиацентр
Блог Пресс-релизы Вебинары Новости Отчеты Скамопедия
Индекс от F6
Сообщить об инциденте
Вернуться назад

Как работает детонация в песочнице F6 MDP

Узнайте, как технология морфинга в песочнице F6 MDP заставляет скрытное вредоносное ПО раскрыть себя. Подробный разбор процесса детонации, имитации цифровых профилей и реальный кейс нейтрализации PhantomRAT

18 марта, 2026
· 
93
 просмотров
Как работает детонация в песочнице F6 MDP

Введение: Почему вы всё еще в зоне риска?

Традиционные средства защиты и базовые песочницы все чаще напоминают формальный барьер, который продвинутые угрозы научились обходить еще на этапе проектирования. Основная сложность заключается в том, что современное вредоносное ПО умеет распознавать искусственную среду. Если файл попадает в пустую виртуальную машину без истории браузера, специфических веток реестра или следов работы прикладного софта, он просто не активирует полезную нагрузку. Код затаивается и ждет момента, когда окажется в реальной инфраструктуре, чтобы начать скрытую активность.

Опыт эксплуатации Managed Detection Platform (MDP) показывает, что для детонации таких объектов нужен глубокий контекст. Технология F6 базируется на динамическом морфинге среды. Вместо стандартного образа системы она создает цифровой профиль конкретного узла сети с реалистичными артефактами. Например, мы имитируем GUID в Active Directory, заполненные ветки реестра и активность в планировщике задач. Такая детализация заставляет даже сложные таргетированные атаки раскрыть свой алгоритм работы, приняв песочницу за целевую систему.

В процессе анализа движок MDP непрерывно мониторит состояние памяти и перехватывает низкоуровневые инструкции процессора. Это позволяет выявлять скрытые инъекции и манипуляции с системными утилитами на ранних стадиях. Тот же принцип глубокой эмуляции мы применили и для защиты от фишинга или Quishing-атак. Система имитирует действия человека: переходит по ссылкам, обрабатывает редиректы и взаимодействует с формами на страницах. На фоне автоматизации атак, которую мы наблюдаем сегодня, такой проактивный подход становится необходимым эшелоном защиты для сохранения непрерывности бизнеса.

Ваша текущая защита может находиться в «иллюзии безопасности» по двум причинам:

  1. Если песочница еще не используется. Недостатки статического анализа: Антивирусное ПО не способно детектировать специально подготовленное для целевых атак вредоносное ПО, поэтому такой подход банально опасен для бизнеса, ведь доля целевых атак только растёт
  2. Если песочница уже используется. Интеллектуальный обход детектирования: Современное вредоносное ПО умеет определять, что его запустили в обычной «песочнице», и просто не проявляет активности, пока не окажется на реальном компьютере сотрудника.

В таких условиях бизнесу необходима Malware Detonation Platform (MDP) — технология нового поколения, которая не просто запускает файл в стерильной среде, а создает полноценную цифровую “западню”. В 2026 году разница между MDP и обычной песочницей — это разница между непрерывностью бизнеса и внезапным простоем ценою в десятки миллионов рублей.

Анатомия обхода: Как вас обманывают сегодня

Проблема классических песочниц заключается в том, что они проектировались для изоляции исполняемых файлов в стерильной среде, тогда как современные векторы атак направлены на эксплуатацию контекста и поведения пользователя. Хорошим примером использования контекста может быть проверка домена, в который попал вредоносный код. Злоумышленники активно используют это, как и множество других параметров окружения, которые песочница не учитывает. Аналогичная ситуация наблюдается с зашифрованными архивами или документами с паролями, где традиционный автоматизированный анализ заходит в тупик, не имея механизмов для подбора паролей или их извлечения из контекста. Это весьма распространенная проблема, с которой сталкиваются компании при защите почты с помощью песочницы.

Методы доставки угроз также претерпели качественные изменения, сместившись в сторону многовекторности. QR-фишинг или Quishing эффективно обходит периметр защиты, поскольку вредоносная ссылка скрыта внутри графического объекта, который почтовый фильтр воспринимает как обычное изображение. Когда сотрудник сканирует такой код, детонация происходит на личном устройстве, находящемся вне зоны контроля корпоративных систем. Технология MDP решает эту задачу за счет автоматического распознавания графических кодов и их детонации во внутренней эмулируемой среде, которая имитирует сессию мобильного браузера со всеми характерными признаками реального устройства.

Особую опасность представляют техники класса ClickFix и механизмы отложенной активации ссылок. В сценарии ClickFix пользователю демонстрируется поддельное окно системной ошибки, предлагающее скопировать и запустить команду в консоли для «исправления» проблемы. Здесь расчет строится на том, что ручной ввод команды в терминал часто игнорируется базовыми средствами защиты как легитимное действие администратора. В свою очередь, технология Time-of-Click позволяет злоумышленникам подменять содержимое страницы уже после того, как письмо прошло все проверки и попало в почтовый ящик. Вредоносный контент активируется только в момент реального перехода по ссылке, что делает предварительный статический анализ абсолютно бесполезным.

На технологическом уровне современные семейства вредоносного ПО, такие как LummaC2, используют сложные алгоритмы проверки среды на «человечность». Программа проводит геометрический анализ траекторий движения курсора мыши, вычисляя их кривизну и ускорение. Если движение выглядит слишком равномерным или механическим, что характерно для простых скриптов имитации в песочницах, зловред прекращает выполнение деструктивных функций и остается в спящем режиме. Движок MDP противодействует этому, создавая стохастические модели поведения, которые включают имитацию непредсказуемых действий пользователя, типичных задержек при вводе данных и наличие в системе реальных артефактов работы, таких как заполненные временные папки или уникальные идентификаторы оборудования. Это заставляет код «поверить» в легитимность среды и полностью раскрыть свой алгоритм работы в ходе детонации. 

Три стадии детонации F6 MDP: Простая логика для сложного процесса

В отличие от антивируса, который ищет «знакомые лица», MDP — это изолированная комната для допросов, где подозреваемого заставляют признаться в своих намерениях. Процесс в F6 MDP состоит из трех этапов:

  1. Изоляция (Подготовка ловушки): Файл или ссылка попадают в реалистичную виртуальную среду, которая полностью имитирует рабочую станцию. В отличие от стандартных шаблонов, MDP использует технологию морфинга, настраивая окружение под ваш ИТ-ландшафт.
  2. Провокация (Детонация): Платформа «обманывает обманщика». Она имитирует движение мыши и ускоряет системное время (Time-skew), чтобы заставить вирус, запрограммированный на долгий сон, активироваться немедленно.
  3. Вердикт (Реакция): Система фиксирует попытки изменения реестра, сетевую активность и обращения к командным серверам. Все действия сопоставляются с базой MITRE, и вердикт мгновенно передается в систему MXDR для блокировки угрозы во всей сети компании.

Технология морфинга: Почему F6 MDP почти невозможно вычислить

Главная слабость песочниц — их узнаваемость. ВПО ищет специфические драйверы виртуализации или артефакты реестра. Технология морфинга образов в F6 MDP делает защиту «невидимой».

Система создает «цифровых двойников» ваших сотрудников:

  • Профиль сети: полностью рабочий профиль сети с названиями компьютеров, сетевым окружением.
  • Специфическое ПО: есть возможность в настройках указать установку специфического ПО для предприятия, включая бухгалтерский или промышленный софт.
  • Повторение окружения: программно для зловреда имитируется полное окружение операционной системы, а не только отдельные её части.

Такая персонализация заставляет вредоносное ПО «поверить», что оно в целевой системе, и раскрыть свой функционал. Это позволяет выявлять даже таргетированные атаки (APT), которые годами могут бездействовать в ожидании нужной среды.

Кейс: Остановить PhantomRAT и фактор импортозамещения

Реальным примером эффективности MDP стала нейтрализация атак группировки PhantomCore, которая использовала рассылки от имени Минпромторга.

Злоумышленники присылали зашифрованные архивы, пароли к которым были в теле письма. Обычные фильтры пропускали такие вложения, но MDP в изолированной среде «вскрыла» архив, имитировала ввод пароля и выявила троян удаленного доступа PhantomRAT до того, как он нанес ущерб.

Заключение: закажите демонстрацию возможностей

MDP — это не просто «дополнительный софт», а гарантия того, что ваши бизнес-процессы не остановятся завтра утром. В 2026 году побеждают те, кто действует проактивно.

Если вы хотите убедиться в эффективности технологий F6, мы предлагаем формат «мягкого входа»:

  1. Технический воркаут по морфингу: Мы покажем, как MDP создает профили, которые невозможно отличить от реальных систем.
  2. Аудит почтовой защиты: проверьте, готов ли ваш текущий шлюз к атакам типа Quishing и ClickFix.

Обеспечьте киберустойчивость своего бизнеса сегодня, пока злоумышленники ищут более легкую цель.

Эфшесть © 2003 – 2026
АО "Будущее"
Пользовательское соглашение
Политика конфиденциальности
Сообщить об инциденте
Мы обрабатываем Ваши файлы cookies

Мы используем cookie-файлы для улучшения качества работы, в том числе удобства использования веб-сайта и оказываемых нами услуг. Также мы обрабатываем cookie-файлы для проведения аналитических исследований. Вы можете запретить сохранение cookie-файлов в настройках своего браузера. Продолжая использование сайта, вы соглашаетесь с Политикой обработки персональных данных и с Пользовательским соглашением

Принимаю