Эволюция песочниц: почему «чистые» системы больше не ловят APT? Современные киберугрозы (от шифровальщиков до инструментов APT-группировок) стали крайне чувствительны к среде. Если зловред попадает в «стерильную» виртуальную машину без истории браузера, специфических веток реестра и артефактов работы софта — он просто не активирует полезную нагрузку. Для эффективной детонации таких объектов в F6 MDP мы используем технологию динамического морфинга среды. В техническом разборе объясняем, как это работает. Внутри ⬇️ ▪️ Создание «цифрового двойника»: как имитация GUID в Active Directory и наличие прикладного софта (включая специфический российский софт) заставляют вредоносное ПО «поверить» песочнице и выдать свой функционал. ▪️ Контроль на уровне CPU: почему для обнаружения скрытых инъекций и манипуляций с системными утилитами мы используем перехват низкоуровневых инструкций процессора и мониторинг памяти, а не стандартные API-хуки. ▪️ Кейс PhantomCore: разбор атаки на Минпромторг. Как MDP смогла «вскрыть» зашифрованные архивы с PhantomRAT, которые успешно обошли классические почтовые фильтры. ➡️ Читать статью