🔍
📌 Шпаргалка #30

🦠 Песочницы и проверка подозрительных ссылок/файлов

✍️ pentestudy 📅 28.03.2026

📌 Что это / Зачем это нужно

Тебе пришла подозрительная ссылка — в письме, в Telegram, в SMS. Открывать на своей машине — рискованно: может быть фишинг, малварь, эксплойт. Песочница (sandbox) — это изолированная среда, где можно безопасно открыть ссылку или файл. Всё происходит на удалённом сервере, твой компьютер не затронут.

Есть два подхода: проверить ссылку без открытия (получить вердикт — опасно или нет) и открыть в песочнице интерактивно (увидеть что реально происходит на сайте). Оба нужны в арсенале.

⚡ Проверка ссылки без открытия (вердикт за секунды)

Эти инструменты сами заходят на ссылку, анализируют и выдают отчёт. Ты ничего не открываешь на своей машине.

VirusTotal

Адрес: virustotal.com

Классика. Прогоняет URL через 70+ антивирусных движков одновременно. Показывает сколько из них считают ссылку вредоносной.

Что умеет:

  • Проверка URL, файлов, IP-адресов, доменов, хэшей
  • Показывает связи между доменами, IP и файлами (вкладка Relations)
  • История проверок — можно увидеть когда домен стал вредоносным
  • API для автоматизации

Когда использовать: первая линия проверки для любой подозрительной ссылки. Занимает 5 секунд.

Аналогия: охранник на входе, который проверяет посетителя по 70 базам данных одновременно.

urlscan.io

Адрес: urlscan.io

Заходит на сайт, делает полный снимок: скриншот страницы, все HTTP-запросы, редиректы, загруженные скрипты, IP-адреса, домены, cookies.

Что умеет:

  • Скриншот финальной страницы (видишь сайт не заходя на него)
  • Полная карта запросов — куда сайт обращается при загрузке
  • Цепочка редиректов — куда реально ведёт ссылка после всех перенаправлений
  • ASN и геолокация серверов
  • DOM-дерево страницы
  • Публичный архив — можно искать по домену что проверяли другие

Когда использовать: когда нужно понять что за сайт, не заходя на него. Особенно полезно для анализа фишинга — видишь фейковую страницу логина на скриншоте.

Аналогия: дрон, который пролетает над зданием и фотографирует всё вокруг, пока ты стоишь в безопасности.

CheckPhish

Адрес: checkphish.bolster.ai

Специализируется на детекции фишинга. Использует машинное обучение и компьютерное зрение — «смотрит» на страницу как человек и определяет, похожа ли она на фейк.

Что умеет:

  • Детекция фишинга и имитации брендов (3000+ брендов)
  • Скриншот страницы
  • Информация о SSL-сертификате
  • WHOIS и данные хостинга
  • Мониторинг тайпосквотинга (похожие домены)

Когда использовать: когда подозреваешь фишинг — «перейдите по ссылке для верификации аккаунта».

Адрес: bitdefender.com/en-us/consumer/link-checker

Быстрая проверка от известного антивирусного вендора. Вставил ссылку — получил вердикт.

Когда использовать: быстрая проверка, когда не нужен детальный анализ.

Hybrid Analysis

Адрес: hybrid-analysis.com

Песочница от CrowdStrike. Можно отправить URL или файл — получишь детальный отчёт с поведенческим анализом: какие процессы запустились, какие сетевые соединения, какие файлы создались.

Когда использовать: когда подозреваешь что ссылка скачивает малварь и хочешь увидеть что именно.

🎯 Интерактивные песочницы (открыть и посмотреть вживую)

Тут ты реально открываешь сайт, кликаешь по кнопкам, видишь что происходит — но всё это на удалённой виртуальной машине, не на твоём компьютере.

Browserling

Адрес: browserling.com/browse

Самый простой вариант. Открываешь любой сайт в изолированном браузере прямо из своего браузера. Никаких установок.

Что умеет:

  • Интерактивный браузер (Chrome, Firefox, Safari, Edge) в VM
  • Можно кликать, скроллить, вводить данные (используй фейковые!)
  • Можно скачивать файлы — они остаются в VM
  • Закрыл сессию — VM уничтожается со всем содержимым
  • Твой IP скрыт — сайт видит IP серверов Browserling
  • Поддержка Tor

Бесплатный план: ограниченное время сессии, только Chrome на Windows.

Когда использовать: «хочу просто посмотреть что на этом сайте, не рискуя». Самый user-friendly вариант.

Аналогия: ты управляешь роботом по видеосвязи. Робот заходит в подозрительное здание, а ты сидишь в безопасности и видишь всё через его камеру.

ANY.RUN

Адрес: any.run

Профессиональная интерактивная песочница для анализа малвари. Используется SOC-командами и исследователями безопасности.

Что умеет:

  • Интерактивная VM (Windows/Linux) — можно кликать, скроллить, взаимодействовать
  • Дерево процессов в реальном времени — видишь какие процессы запускаются
  • Сетевая активность — DNS-запросы, HTTP/HTTPS соединения, C2-серверы
  • Извлечение IOC (индикаторов компрометации)
  • Маппинг на MITRE ATT&CK
  • Извлечение конфигов малвари из памяти
  • Публичная база — можно искать по хэшам, доменам, IP

Бесплатный план: ограниченное количество анализов в день, результаты публичные.

Когда использовать: профессиональный анализ малвари и фишинга. Когда нужно понять не просто «опасно ли», а что именно делает вредоносный файл или страница.

Joe Sandbox

Адрес: joesandbox.com

Автоматизированная песочница. Загружаешь файл или URL — получаешь детальный отчёт с поведенческим анализом.

Что умеет:

  • Анализ на Windows, macOS, Linux, Android
  • Детальные отчёты: процессы, реестр, файловая система, сеть
  • Классификация угроз
  • Извлечение IOC
  • Скриншоты поведения

Community-версия бесплатная, но результаты публичные.

Когда использовать: автоматический анализ подозрительных файлов. Менее интерактивный чем ANY.RUN, но более автоматизированный.

🔍 Какой инструмент для какой задачи

Сценарий 1: Пришла подозрительная ссылка в Telegram

Быстрая проверка за 10 секунд:

1. Копируешь ссылку (НЕ кликаешь!)
2. Вставляешь в VirusTotal → смотришь вердикт
3. Если хочешь увидеть скриншот — urlscan.io
4. Если 0 детектов но всё равно подозрительно — Browserling

Сценарий 2: Подозрение на фишинг («Ваш аккаунт заблокирован, войдите»)

1. urlscan.io → скриншот покажет фейковую страницу логина
2. CheckPhish → подтвердит фишинг и покажет какой бренд имитируют
3. Если нужно увидеть вживую → Browserling (НЕ вводи реальные данные!)

Сценарий 3: Ссылка может скачивать малварь

1. VirusTotal → проверка URL
2. ANY.RUN → открываешь в песочнице, наблюдаешь поведение
3. Смотришь: какие процессы запускаются, куда идёт сетевой трафик
4. Извлекаешь IOC для блокировки

Сценарий 4: OSINT-расследование — нужно изучить подозрительный сайт

1. urlscan.io → полная карта: IP, домены, запросы, редиректы
2. VirusTotal → вкладка Relations — связанные домены и файлы
3. Browserling → интерактивный осмотр через безопасный браузер
4. whois + crt.sh → дополнительная разведка

🔧 Автоматизация через CLI

VirusTotal API

# Нужен бесплатный API-ключ (регистрация на virustotal.com)
# Проверка URL:
curl -s "https://www.virustotal.com/api/v3/urls" \
  -H "x-apikey: ТВОЙ_API_KEY" \
  -d "url=https://suspicious-site.com" | jq

urlscan.io API

# Отправить URL на сканирование:
curl -s "https://urlscan.io/api/v1/scan/" \
  -H "API-Key: ТВОЙ_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"url":"https://suspicious-site.com","visibility":"private"}' | jq
 
# Получить результат (по UUID из ответа):
curl -s "https://urlscan.io/api/v1/result/UUID_СКАНА/" | jq

Быстрая проверка через Python

import requests
 
def check_virustotal(url, api_key):
    resp = requests.post(
        "https://www.virustotal.com/api/v3/urls",
        headers={"x-apikey": api_key},
        data={"url": url}
    )
    analysis_id = resp.json()["data"]["id"]
    result = requests.get(
        f"https://www.virustotal.com/api/v3/analyses/{analysis_id}",
        headers={"x-apikey": api_key}
    )
    stats = result.json()["data"]["attributes"]["stats"]
    print(f"Malicious: {stats['malicious']}, Suspicious: {stats['suspicious']}, Clean: {stats['undetected']}")
 
check_virustotal("https://suspicious-site.com", "ТВОЙ_API_KEY")

🛡 Безопасность при работе с подозрительными ссылками

Правила

  • Никогда не кликай подозрительную ссылку напрямую. Сначала копируй, потом проверяй
  • Не вводи реальные данные в песочнице. Даже если это изолированная VM — фишинговый сайт может быть живым и данные утекут к мошенникам
  • Используй фейковые данные если нужно «залогиниться» для исследования: test@test.com, Password123
  • Бесплатные планы = публичные результаты. Если анализируешь что-то конфиденциальное (корпоративный инцидент) — не используй бесплатные публичные песочницы. Атакующий может мониторить VirusTotal и узнать что его малварь обнаружили
  • Один негативный результат ≠ безопасно. Если VirusTotal показал 0 детектов — это не гарантия. Фишинговая страница может быть слишком новой для баз. Используй несколько инструментов

Для параноиков (максимальная изоляция)

Если не доверяешь даже онлайн-песочницам:

# Вариант 1: Whonix в VirtualBox
# Весь трафик через Tor, изолированная VM
# Открываешь ссылку в Tor Browser внутри Whonix
 
# Вариант 2: Одноразовая VM
# Создаёшь snapshot чистой VM → открываешь ссылку → откатываешь к snapshot
 
# Вариант 3: Tails USB
# Загружаешься с USB, всё в RAM, после перезагрузки — ничего не остаётся

🧠 Шпаргалка по инструментам (быстрая справка)

VirusTotal (virustotal.com) — вердикт от 70+ антивирусов. Первая линия проверки любой ссылки.

urlscan.io — скриншот, запросы, редиректы, IP. Видишь сайт не заходя на него.

CheckPhish (checkphish.bolster.ai) — специализация на фишинге. ML-детекция имитации брендов.

Bitdefender Link Checker — быстрый вердикт от антивирусного вендора.

Hybrid Analysis (hybrid-analysis.com) — поведенческий анализ от CrowdStrike.

Browserling (browserling.com/browse) — интерактивный браузер в облачной VM. Самый простой способ безопасно открыть ссылку.

ANY.RUN (any.run) — профессиональная интерактивная песочница. Процессы, сеть, IOC в реальном времени.

Joe Sandbox (joesandbox.com) — автоматический поведенческий анализ файлов и URL.

⚠️ Важные моменты

  • Антивирус проверяет после скачивания, песочница — до. Антивирус сработает когда малварь уже на твоей машине. Песочница позволяет проверить ссылку не подвергая себя риску
  • Укороченные ссылки (bit.ly, t.me) — особенно опасны. Не видно куда ведут. Всегда разворачивай через VirusTotal или urlscan.io перед открытием
  • Редиректы — основной трюк. Ссылка может вести на легитимный домен, который редиректит на фишинг. urlscan.io показывает всю цепочку
  • 0 детектов на VirusTotal ≠ безопасно. Новый фишинг может быть ещё не в базах. Всегда дополняй VirusTotal визуальной проверкой через urlscan.io или Browserling
  • Публичные песочницы палят твоё расследование. Если анализируешь таргетированную атаку — атакующий может мониторить VirusTotal/ANY.RUN и узнать что его обнаружили. Для чувствительных кейсов используй приватные анализы или локальную VM
  • Для OSINT-расследований песочницы незаменимы. Нужно посмотреть HYIP-сайт, фишинговую страницу, скам-магазин — не рискуй своей машиной, используй Browserling или Whonix
Содержание
📌 Что это / Зачем это нужно ⚡ Проверка ссылки без открытия (вердикт за секунды) VirusTotal urlscan.io CheckPhish Bitdefender Link Checker Hybrid Analysis 🎯 Интерактивные песочницы (открыть и посмотреть вживую) Browserling ANY.RUN Joe Sandbox 🔍 Какой инструмент для какой задачи Сценарий 1: Пришла подозрительная ссылка в Telegram Сценарий 2: Подозрение на фишинг («Ваш аккаунт заблокирован, войдите») Сценарий 3: Ссылка может скачивать малварь Сценарий 4: OSINT-расследование — нужно изучить подозрительный сайт 🔧 Автоматизация через CLI VirusTotal API urlscan.io API Быстрая проверка через Python 🛡 Безопасность при работе с подозрительными ссылками Правила Для параноиков (максимальная изоляция) 🧠 Шпаргалка по инструментам (быстрая справка) ⚠️ Важные моменты