Z atakami typu zero day mamy do czynienia, gdy informacja o błędach w oprogramowaniu nie jest publikowana, gdyż jej odkrywca sprzedaje ją cyberprzestępcom, a producent dowiaduje się o niej dopiero wtedy, gdy jest ona od pewnego czasu wykorzystywana do ataków.
Jak ustrzec się przed tego typu błędami? Oto najczęstsze i najbardziej symptomatyczne objawy:
1. Losowe generowanie adresów IP. Zdarza się, że zawartość APT zawiera kod losowo generujący łańcuchy adresów IP. Działanie to ma na celu łatwiejszą propagację.
2. Próby nawiązania połączenia z serwerem zarządzającym. Po udanej infiltracji zagrożenia APT mogą podjąć próbę nawiązania połączenia z serwerem zarządzającym w celu eksfiltracji danych lub nawiązania połączenia z innymi niebezpiecznymi zasobami, na przykład przez sieć botnet. Wykrywanie opiera się na sygnaturach kontrolnych i wykrywaniu uzgadniania.
3. Naśladowanie zachowania hosta. W celu uniknięcia wykrycia zagrożenie APT może naśladować zachowanie urządzenia lub aplikacji hosta.
4. Maskowanie kodu JavaScript. Udokumentowane przypadki ataków APT opierały się na wielu technikach ukrywania (maskowania) prawdziwego znaczenia i celu złośliwego kodu JavaScript.
5. Szyfrowanie ruchu w sieci. Tendencja do szyfrowania zawartości złośliwego oprogramowania APT zwiększa poziom zagrożenia dla całego ruchu w sieci podlegającego szyfrowaniu.