Вирус, посиди в «песочнице»
Разработчики вредоносных программ часто меняют конфигурацию своих вирусов, чтобы пройти сигнатурный анализ антивируса. В таких случаях на помощь приходит поведенческий анализ, за который отвечает отдельный класс решений – Sandbox.
Sandbox эмулирует реальное физическое устройство. Однако, киберпреступники находят способы обмануть и этот инструмент защиты, разрабатывая все более сложные ПО. Попадая в «песочницу», такие программы способны самостоятельно анализировать среду и отличить ее от настоящего устройства.
Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»:
«Современное вредоносное ПО устроено довольно сложно и содержит специальные техники для обхода песочниц. Сам вредоносный исполняемый код может даже не запускаться до момента, когда ПО не окажется за пределами контролируемой зоны. Если вредоносное ПО запущено в песочнице, то никаких пользовательских действий там не будет, а значит запускать вредоносный код еще не время».