Pull to refresh

Comments 3

В результате мы получим образ, который неизвестен вирусописателям, действительно представляет для них интерес, и тем самым многократно повысим вероятность обнаружения целевой атаки.

Вообще-то, говоря юридическим языком, это похоже на провокацию или вызов огня на себя. Как бы не обжечься.

Бояться гипотетической провокации преступников не стоит. В целевых атаках им по большей части все равно, как именно защищается цель: они намерены пробивать её защиту в любом случае. И в подавляющем большинстве случаев у них есть более значимый интерес, нежели просто проверить песочницу на слабо.

Цель песочницы именно в том, чтобы заставить потенциально опасный файл запуститься — от этого зависит, найдем мы угрозу или нет. Песочница — безопасный способ это сделать, так как ее виртуальная среда изолирована от инфраструктуры.

Вредоносные программы практически всегда проверяют, в какое окружение они попали – и не запускаются, если понимают, что находятся в песочнице. Если виртуальное окружение песочницы окажется совсем неинтересным (имя пользователя «test/test», например), зловред не запустится, песочница сочтет файл безопасным, он попадет в инфраструктуру и уже там нанесет ущерб.
Бояться гипотетической провокации преступников не стоит.

Вы не поняли. Провокация не со стороны преступников, с их стороны преступление. Провокация получается со стороны следствия.
Но я понял вашу логику. Это не провокация с целью вызвать атаку из вне. Это желание проверить, а не попытается ли предполагаемое для установки/использования ПО что-то передать наружу или нанести вред внутри.
За разъяснения спасибо.

Sign up to leave a comment.