Что такое 0 day уязвимость
Восемь уязвимостей нулевого дня в одном флаконе, и это еще не всё
Наши эксперты вышли на след киберпреступной группировки, осуществлявшей широкомасштабные целевые атаки, проводимые в рамках активности, названной «Elderwood Project».
Впервые данная группировка привлекла к себе внимание наших аналитиков в 2009 году, осуществив атаку на Google и другие организации, используя троянскую программу Hydraq (Aurora).
На протяжении последних трёх лет осуществляемые ею атаки были направлены на предприятия различных секторов промышленности, а также на негосударственные организации. В качестве жертв выбирались компании преимущественно США и Канады, а также Китая, Гонконга, Австралии, а также некоторых европейских и азиатских стран. Последние атаки демонстрируют смещение интереса злоумышленников в сторону предприятий, выпускающих компоненты вооружений и оборонительные системы. Причём одним из основных рабочих сценариев является проникновение через одну из организаций-партнёров, входящей в цепочку поставок.
Злоумышленники эксплуатируют большое количество уязвимостей нулевого дня и используют системный подход к организации атак и созданию вредоносного кода. Мы зафиксировали неоднократное повторное использование ими компонентов платформы, названой «Elderwood Platform» (по названию одного из эксплойтов из их арсенала), которая обеспечивает быстрое применение эксплойтов к уязвимостям нулевого дня. Методология подобных проводимых атак обычно подразумевает использование фишинговых писем, однако теперь к ним добавились атаки класса «watering hole» — компрометация веб-сайтов, вероятнее всего посещаемых жертвой.
Сопоставив факты наши аналитики пришли к выводу, что некая группировка использует уязвимости нулевого дня и, похоже, имеет к информации о них неограниченный доступ. Хакеры крадут информацию с компьютеров избранных жертв, заражая их троянской программой через часто посещаемые ими сайты. Основной целью мошенников является внутренняя информация компаний оборонной промышленности.
Как вы знаете, серьёзные уязвимости нулевого дня, предоставляющие несанкционированный доступ к широко используемым программным компонентам, встречаются в свободном доступе очень редко. Например, в рамках, пожалуй, самого широко известного проекта Stuxnet их было использовано всего четыре. Однако в рамках «Elderwood Project» их уже используется вдвое больше — восемь. И ни одна другая группировка никогда не демонстрировала ничего подобного. Применение такого количества эксплойтов к уязвимостям нулевого дня говорит об очень высоком уровне подготовки — чтобы выявить подобные уязвимости, хакеры должны были получить доступ к исходному коду ряда широко используемых программных приложений или провели их декомпиляцию, для чего требуются очень и очень серьёзные ресурсы. Похоже, что группировка обладает чуть ли не безграничным количеством уязвимостей нулевого дня. Уязвимости используются по требованию – одна за другой, и часто одна заменяет другую, если предыдущая уже закрыта.
Основными целями зафиксированных атак были организации из цепочки поставок предприятий оборонного сектора, преимущественно ведущие предприятия оборонной промышленности. Группировку интересуют компании, производящие электронные или механические компоненты вооружений и систем, которые продаются ведущим оборонным корпорациям. Атакующие, видимо, рассчитывают на меньший уровень защищённости подобных производителей, и используют их в качестве ступенек лестницы, ведущей к интеллектуальной собственности, предназначенной для производства компонентов или крупной продукции ведущими поставщиками. Приведенная ниже диаграмма показывает распределение различных отраслей, составляющих цепочку поставок для оборонной промышленности.
Одним из векторов атак группировки “Elderwood” является использование так называемых “watering hole” сайтов, демонстрирующее однозначное изменение методов, используемых злоумышленниками. Концепция атаки в данном случае аналогична действиям хищника, поджидающего свою жертву в оазисе посреди пустыни. Он знает, что жертва, рано или поздно, придет на водопой, и ждет, вместо того, чтобы вести активную охоту. Так же действуют и злоумышленники – определяют веб-сайты, которые посещают интересующие их конкретные люди, взламывают их и встраивают эксплойты на страницы, которые должна посетить жертва. Любой посетитель сайта будет подвержен воздействию внедрённых эксплойтов, и если его компьютер будет ими взломан, на него будет установлена троянская программа.
Сводка по 0-days:
Подробности и технические детали в полном отчете Symantec “The Elderwood Project”
Уязвимости «нулевого дня»
Что происходит после того, как хакер обнаруживает новую или так называемую 0day уязвимость? Учитывая то, что никаких защитных механизмов против нее еще не разработано, уязвимость может эксплуатироваться в приложении без какой-либо возможности от нее защититься. Сам этот термин означает, что у разработчиков не было ни одного дня на исправление обнаруженного дефекта. Если требуется гарантированный результат, то злоумышленник должен использовать именно 0day уязвимость, иначе производитель ПО выпустит патч, который со временем ее закроет. Кроме того, попытка воспользоваться эксплоитом (программой, использующей данную ошибку в софте для атаки системы) может привести к срабатыванию соответствующей сигнатуры антивирусной программы или межсетевого экрана. Однако если вирусописатель применил шифрование тела вируса и обфускацию его исходного кода, антивирусная программа, скорее всего, не обнаружит вирус, эксплуатирующий неизвестную уязвимость.
Сколько времени обычно проходит от обнаружения уязвимости до выпуска патча?
Уязвимости операционной системы
Если речь идет об уязвимостях операционной системы, то тут все усложняется. В большинстве случаев, ваш ПК является частью локальной сети. Если одна из рабочих станций уязвима (например, там установлена устаревшая версия ОС), то она представляет собой слабое звено цепи, через которое легко получить доступ к другим компьютерам и скомпрометировать всю сеть. Если речь идет о домашнем ПК, то угроза не столь высока. Однако, через эксплуатацию какой-либо известной уязвимости ваш компьютер будет инфицирован и, например, без вашего ведома будет принимать участие в DDoS-атаках, т.е. станет частью ботнета.
Зачем это нужно знать разработчику?
Уязвимости можно найти практически в любой программе, вопрос лишь в том, сколько времени и усилий злоумышленнику на это потребуется. В большинстве случаев, уязвимости можно обнаружить стандартным сканером. Например, если вы пишете веб-приложение, то одним из самых известных сканеров является Acunetix. Если злоумышленник не сможет в короткий срок найти уязвимость в программе с помощью сканера, есть высокая вероятность того, что он вообще откажется от попыток взлома. Поиск неизвестных ранее уязвимостей с помощью реверсинга программы может занять довольно продолжительное время и потребует совершенно другой квалификации хакера. В то же время, как уже было сказано выше, неизвестная ранее 0day уязвимость – это успех, что позволит гарантированно взломать приложение без каких-либо шансов предотвратить атаку с помощью антивирусного ПО.
Защита от реверсинга и взлома
Затруднить взлом своей программы можно и нужно, для этого используется целый ряд способов, начиная от обфускации кода до удаленного запуска части кода на удаленных серверах, однако это уже тема для отдельной статьи.
Интересно почитать продолжение?
А тем, кто определился с тем, что хочет стать программистом, рекомендуем профессию «Веб-разработчик».
Что происходит после того, как хакер обнаруживает новую или так называемую 0day уязвимость? Учитывая то, что никаких защитных механизмов против нее еще не разработано, уязвимость может эксплуатироваться в приложении без какой-либо возможности от нее защититься. Сам этот термин означает, что у разработчиков не было ни одного дня на исправление обнаруженного дефекта. Если требуется гарантированный результат, то злоумышленник должен использовать именно 0day уязвимость, иначе производитель ПО выпустит патч, который со временем ее закроет. Кроме того, попытка воспользоваться эксплоитом (программой, использующей данную ошибку в софте для атаки системы) может привести к срабатыванию соответствующей сигнатуры антивирусной программы или межсетевого экрана. Однако если вирусописатель применил шифрование тела вируса и обфускацию его исходного кода, антивирусная программа, скорее всего, не обнаружит вирус, эксплуатирующий неизвестную уязвимость.
Сколько времени обычно проходит от обнаружения уязвимости до выпуска патча?
Уязвимости операционной системы
Если речь идет об уязвимостях операционной системы, то тут все усложняется. В большинстве случаев, ваш ПК является частью локальной сети. Если одна из рабочих станций уязвима (например, там установлена устаревшая версия ОС), то она представляет собой слабое звено цепи, через которое легко получить доступ к другим компьютерам и скомпрометировать всю сеть. Если речь идет о домашнем ПК, то угроза не столь высока. Однако, через эксплуатацию какой-либо известной уязвимости ваш компьютер будет инфицирован и, например, без вашего ведома будет принимать участие в DDoS-атаках, т.е. станет частью ботнета.
Зачем это нужно знать разработчику?
Уязвимости можно найти практически в любой программе, вопрос лишь в том, сколько времени и усилий злоумышленнику на это потребуется. В большинстве случаев, уязвимости можно обнаружить стандартным сканером. Например, если вы пишете веб-приложение, то одним из самых известных сканеров является Acunetix. Если злоумышленник не сможет в короткий срок найти уязвимость в программе с помощью сканера, есть высокая вероятность того, что он вообще откажется от попыток взлома. Поиск неизвестных ранее уязвимостей с помощью реверсинга программы может занять довольно продолжительное время и потребует совершенно другой квалификации хакера. В то же время, как уже было сказано выше, неизвестная ранее 0day уязвимость – это успех, что позволит гарантированно взломать приложение без каких-либо шансов предотвратить атаку с помощью антивирусного ПО.
Защита от реверсинга и взлома
Затруднить взлом своей программы можно и нужно, для этого используется целый ряд способов, начиная от обфускации кода до удаленного запуска части кода на удаленных серверах, однако это уже тема для отдельной статьи.
Интересно почитать продолжение?
А тем, кто определился с тем, что хочет стать программистом, рекомендуем профессию «Веб-разработчик».
Что такое атака нулевого дня? Определение и описание
Нулевой день. Определение и описание
«Нулевой день» – это общий термин, описывающий недавно обнаруженные уязвимости в системе безопасности, которые могут быть использованы злоумышленниками для атаки на систему. Термин «нулевой день» показывает, что поставщик или разработчик только что узнали об уязвимости, и у них есть «ноль дней» на ее исправление. Атака нулевого происходит в результате использования злоумышленниками уязвимости до того, как разработчикам удалось ее исправить.
Нулевой день иногда обозначают как 0-день. Слова уязвимость, эксплойт и атака обычно используются в сочетании со словами «нулевого дня», и важно понимать разницу между этими терминами:
Что такое и как работают атаки нулевого дня?
В программном обеспечении часто есть уязвимости безопасности, которые злоумышленники могут использовать для причинения вреда. Разработчики программного обеспечения всегда ищут уязвимости, которые необходимо исправить. В результате разрабатываются и выпускаются программные обновления.
Однако иногда злоумышленники обнаруживают уязвимость раньше разработчиков. Пока уязвимость не закрыта, злоумышленники могут написать и внедрить код, позволяющий ей воспользоваться. Он называется кодом эксплойта.
В результате внедрения кода эксплойта могут пострадать пользователи программного обеспечения, например, вследствие кражи личных данных или других киберпреступлений. Как только злоумышленники находят уязвимость нулевого дня, им нужно получить доступ к уязвимой системе. Часто для этого используются сообщения электронной почты с применением приемов социальной инженерии – злоумышленники выдают свои сообщения за сообщения от известных легальных отправителей. Цель сообщения – заставить пользователя выполнить определенное действие, например, открыть файл или посетить вредоносный веб-сайт. При этом загружается вредоносная программа злоумышленника, проникающая в файлы пользователя и выполняющая кражу конфиденциальных данных.
Когда об уязвимости становится известно, разработчики пытаются исправить ее, чтобы остановить атаку. Однако уязвимости в системе безопасности часто не удается обнаружить сразу. Иногда до момента обнаружения уязвимости, ставшей причиной атаки, могут пройти дни, недели и даже месяцы. И даже после выпуска патча, закрывающего уязвимость нулевого дня, не все пользователи сразу же его устанавливают. В последние годы хакеры стали гораздо быстрее обнаруживать и использовать уязвимости.
Эксплойты продаются в даркнете за большие деньги. После обнаружения и исправления эксплойт больше не считается угрозой нулевого дня.
Особая опасность атак нулевого дня заключается в том, что о них знают только сами злоумышленники. После проникновения в сеть преступники могут либо атаковать немедленно, либо затаиться и ждать наиболее подходящего времени.
Кто совершает атаки нулевого дня?
Злоумышленники, совершающие атаки нулевого дня, делятся на категории в зависимости от мотивов. Например:
На кого нацелены эксплойты нулевого дня?
При атаках нулевого дня могут использоваться различные уязвимые объекты:
В результате круг потенциальных жертв становится достаточно широким:
Также полезно выделить целевые и нецелевые атаки нулевого дня:
Даже когда атаки нулевого дня не нацелены ни на кого конкретного, от них все равно может пострадать большое количество людей, обычно вследствие побочного эффекта. Нецелевые атаки направлены на максимальное количество пользователей, а значит могут пострадать данные обычных людей.
Как выявить атаки нулевого дня
Существуют различные виды уязвимостей нулевого дня: отсутствие шифрования данных, отсутствие авторизации, неработающие алгоритмы, ошибки, проблемы с безопасностью паролей и прочие. Обнаружить их может оказаться непросто. Из-за характера этих уязвимостей подробная информация об эксплойтах нулевого дня доступна только после их идентификации.
Организации, подвергшиеся атаке нулевого дня, могут наблюдать нетипичный трафик или подозрительные действия, такие как сканирование, исходящие от клиента или сервиса. Некоторые методы обнаружения атак нулевого дня включают:
Часто используется комбинация различных систем обнаружения.
Примеры атак нулевого дня
Ниже приведены примеры последних атак нулевого дня.
2021: уязвимость нулевого дня Google Chrome
В 2021 году Google Chrome подвергся серии атак нулевого дня, ставших причиной ряда обновлений Chrome. Уязвимость возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере.
2020: Zoom
У популярной платформы видеоконференцсвязи была обнаружена уязвимость. В результате этой атаки нулевого дня злоумышленники получали удаленный доступ к компьютерам пользователей, на которых установлены старые версии Windows. Если атака была нацелена на администратора, злоумышленники могли полностью захватить его компьютер и получить доступ ко всем файлам.
2020: Apple iOS
Apple iOS часто называют самой безопасной платформой для смартфонов. Однако в 2020 году она подверглась как минимум двум атакам нулевого дня. Одна из ошибок нулевого дня позволила злоумышленникам удаленно скомпрометировать iPhone.
2019: Microsoft Windows, Восточная Европа
Эта атака была направлена на повышение локальных привилегий – уязвимую часть Microsoft Windows, и нацелена на государственные учреждения в Восточной Европе. В этой атаке нулевого дня использовалась уязвимость локальных привилегий Microsoft Windows для запуска произвольного кода и установки программ, а также для просмотра и изменения данных о скомпрометированных программах. После идентификации атаки и сообщения и ней в Центр по реагированию на угрозы Microsoft, был разработан и выпущен патч.
2017: Microsoft Word
Результатом этого эксплойта нулевого дня стала компрометация личных банковских счетов. Жертвами оказались люди, которые неосознанно открывали вредоносный документ Word. В документе отображалось предложение загрузить удаленное содержимое – всплывающее окно, запрашивающее внешний доступ из другой программы. При нажатии на кнопку «Да» на устройства пользователей устанавливалось вредоносное ПО, перехватывающее учетные данные для входа в интернет-банк.
Stuxnet
Один из самых известных примеров атак нулевого дня – Stuxnet – вредоносный компьютерный червь, впервые обнаруженный в 2010 году, но зародившийся еще в 2005 году. Его атаке подверглись производственные компьютеры с программируемыми логическими контроллерами (ПЛК). Основной целью были заводы Ирана по обогащению урана, атака на которые могла подорвать ядерную программу страны. Червь проник на ПЛК через уязвимости в программном обеспечении Siemens Step7 и заставил ПЛК выполнять непредусмотренные команды на сборочном оборудовании. История Stuxnet впоследствии легла в основу документального фильма «Уязвимость нулевых дней» (Zero Days).
Как защититься от атак нулевого дня
Для защиты от атак нулевого дня и обеспечения безопасности компьютеров и данных частным лицам и организациям важно выполнять определенные правила кибербезопасности. Они включают:
Своевременное обновление программ и операционных систем. Производители включают в новые выпуски исправления безопасности для устранения недавно обнаруженных уязвимостей. Своевременное обновление повышает вашу безопасность.
Использование только необходимых программ. Чем больше у вас программного обеспечения, тем больше потенциальных уязвимостей. Использование только необходимых программ позволит снизить риск для сети.
Использование сетевого экрана. Сетевой экран играет важную роль в защите системы от угроз нулевого дня. Настройка сетевого экрана так, чтобы допускались только необходимые транзакции, позволит обеспечить максимальную защиту.
Обучение сотрудников организаций. Многие атаки нулевого дня основаны на человеческих ошибках. Обучение сотрудников и пользователей правильным навыкам обеспечения безопасности и защиты поможет как обеспечить их безопасность в интернете, так и защитить организацию от эксплойтов нулевого дня и других цифровых угроз.
Использование комплексного антивирусного программного решения. Kaspersky Total Security помогает защитить ваши устройства, блокируя известные и неизвестные угрозы.
0-day в библиотеке Log4j представляет угрозу для множества приложений и серверов
Linux для хакера
Разработчики Apache Software Foundation выпустили экстренное обновление безопасности, исправляющее 0-day уязвимость (CVE-2021-44228) в популярной библиотеке журналирования Log4j, входящей в состав Apache Logging Project. Патч вышел в рамках релиза 2.15.0.
Упомянутая уязвимость получила название Log4Shell и набрала 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Баг допускает удаленное выполнение произвольного кода (RCE). Проблема усугубляется тем, что вчера ИБ-исследователь p0rz9 уже опубликовал в Twitter PoC-эксплоит, а использовать уязвимость можно удаленно, причем для этого не нужны особые технические навыки.
Принцип работы Log4Shell описывают специалисты компании LunaSec: уязвимость вынуждает приложения и серверы на основе Java, где используется библиотека Log4j, журналировать определенную строку в своих внутренних системах. Когда приложение или сервер обрабатывают такие логи, строка может заставить уязвимую систему загрузить и запустить вредоносный скрипт из домена, контролируемого злоумышленником. Итогом станет полный захват уязвимого приложения или сервера.
Исходно проблема была обнаружена во время поиска багов на серверах Minecraft, но Log4j присутствует практически в любых корпоративных приложениях и Java-серверах. К примеру, библиотеку можно найти почти во всех корпоративных продуктах, выпущенных Apache Software Foundation, включая Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Flink, Apache Kafka, Apache Dubbo и так далее. Также Log4j активно применяют в различных опенсорсных проектах, включая Redis, ElasticSearch, Elastic Logstash, Ghidra и других.
Таким образом, компании, использующие любой из этих продуктов, тоже косвенно уязвимы перед атаками на Log4Shell, но могут даже знать об этом. ИБ-специалисты уже сообщают, что перед Log4Shell могут быть уязвимы решения таких гигантов, как Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase и, вероятно, тысячи других компаний.
Вчера p0rz9 писал, что эксплуатация CVE-2021-44228 возможна лишь в том случае, если для параметра log4j2.formatMsgNoLookups установлено значение false. Издание The Record сообщает, что, по информации компании KnownSec 404 Team, в релизе Log4j 2.15.0 для этого параметра установлено значение true, специально для предотвращения атак. Это означает, что пользователи Log4j, которые обновились до версии 2.15.0, а затем установили флаг на значение false, вновь будут уязвимы для атак. Причем пользователи Log4j, которые не обновились, но установили флаг на значение true, все равно смогут блокировать атаки даже на более старых версиях.
К сожалению, также это значит, что в опасности находятся все старые версии, где для этого параметра по умолчанию установлено значение false. То есть уязвимы все предыдущие выпуски Log4j, начиная с 2.10.0.
По данным специалистов Bad Packets и Greynoise, несколько злоумышленников уже сканируют сеть в поисках приложений, которые могут быть уязвимы перед Log4Shell, то есть времени на установку исправлений уже практически не осталось.
Атаки нулевого дня, APT-атаки и защита от них с использованием решений Check Point
Множество систем безопасности на сегодня являются системами поиска совпадений (сигнатур) и моделей поведения уже известных угроз. Они бессильны против новых атак, на которые ещё нет сигнатур и патчей от производителя. Причем новые атаки, как правило, не имеют цели нанести заметного ущерба, а спроектированы для незаметного, скрытного выполнения вредных действий.
В данной статье будет рассмотрена анатомия проникновения вредоносного ПО в IT-инфраструктуры, а также решения Check Point, которые можно использовать, для защиты от такого рода атак.
Итак, как же стадии проникновения атаки нулевого дня в IT-инфраструктуры?
1. Приходит электронное письмо определенному сотруднику с использованием направленного фишинга, которое содержит вложение (файл, архив), как правило Adobe Reader файл (т.к. наиболее уязвимое корпоративное приложение – Adobe Reader) или же MS DOC файл со вшитым эксплоитом под используемое приложение. Как только пользователь открывает его или выполняет предварительный просмотр, эксплоит уже начал действовать. Он выполняет переполнение буфера приложения, открывшего файл, и получает права локального администратора, подложив соответствующую команду на исполнение.
2. После этого вредоносный код производит исходящую коммуникацию (outbound callback) к управляющему серверу (Command&Control Server).
4. Загруженный файл расшифровуется, устанавливается в системе и начинает выполнять эксфильтрацию данных, т.е. находить личные данные (логины, пароли, персональные файлы), корпоративные данные (счета, накладные и т.д.) и отсылать их по определенному адресу (как правило по шифрованному каналу)
5. Последний шаг – распространение и заражение других систем. Зная пароли от сервисов персональных коммуникаций (установив кейлоггер на скомпрометированой системе) можно от имени жертвы выслать вредоносные ссылки всем, кто с ней общается.
Все данные действия отображены на рис.1
Рис1. Процесс проникновения вредоносного ПО в IT-инфраструктуру
Определение атак нулевого дня и продвинутых стойких угроз
Давайте теперь рассмотрим, как решения компании Check Point обнаруживают такие попытки проникновения и какие ключевые факторы при анализе таких атак.
Начнем с рассмотрения задачи определения вредоносного ПО.
Как было рассмотрено ранее, изначально пользователю приходит вложение в почтовом сообщении с содержанием эксплоита. Как узнать, является ли вложение зараженным или нет?
Ответ – провести статический и, по надобности, динамический анализ всех документов и вложений в электронных письмах на содержание угроз.
Статический анализ заключается в проверке на соответствие сигнатурам антивируса Check Point.
Если в веб-объектах и документах не обнаружено угроз, они проверяются на подозрительность при помощи:
• эвристического анализа;
• проверке SNORT и YARA правилами;
• проверки наличия доверенной цифровой подписи документа;
Если документ оказался подозрительным, производится динамический анализ — запуск в эмулированной пользовательской среде, которая представляет собой виртуальную машину с предустановленными основными приложениями. Далее система Check Point наблюдает за поведением запущенного документа (создание дополнительных файлов, изменения ключей в реестре, установление коммуникаций с C&C-серверами).
Далее выносится вердикт о вредоносности документа. Если он оказался зараженным, то такой документ блокируется. Нет – пропускается пользователю.
Регламентируемая задержка при проверке статическим и динамическим анализом – до 2 минут.
Данное решение в Check Point представлено в двух видах:
• облачный сервис
• устройство на площадке заказчика
Сервис
При подключении сервиса есть несколько типов квот, которые отображены в таблице 1.
Табл.1. Квотирование облачного сервиса инспекции почтовых вложений Check Point на содержание атак нулевого дня и APT-атак
Поддерживаемые платформы и операционные среды Check Point для подключения сервиса отображены в таблице ниже
Подключение данного сервиса не зависит от количества шлюзов Check Point в существующей IT-инфраструктуре.
Устройство на площадке заказчика
Если же подключать облачный сервис нету желания по тем или иным причинам, можно взять устройство Check Point, специально предназначенное для этого.
Есть два устройства Check Point под эту задачу. Квотирование происходит тоже по количеству инспектируемых файлов в месяц. Количество пользователей – рекомендуемый параметр, но не столь важен, как количество файлов. Данные устройства и их параметры отображены на Рис.2.
Рис.2. Устройства Check Point для инспекции почтовых вложений на содержание атак нулевого дня и APT-атак
Как сервис, так и устройство, имеют одинаковые технические характеристики по типам инспектируемых файлов и поддерживаемых эмулированных операционных средах. Спецификация по данным параметрам представлена в таблице 2.
Табл.2. Поддерживаемые форматы файлов и виртуальные среды для инспекции почтовых вложений
Также есть тестовый онлайн сервис, с помощью которого можно проанализировать файл на наличие содержащегося вредоносного ПО и в положительном случае будет отображено его действия в эмулированной пользовательской среде. Данный сервис доступен по веб-ссылке ниже
threatemulation.checkpoint.com/teb/upload.jsp
Во всех случаях применяется эксплоит, который получает контроль над ПК жертвы и устанавливает исходящую сетевую коммуникацию к C&C-серверу, который далее передает вредоносное ПО, выполняющее самые разнообразные действия.
Заметить такие атаки крайне сложно, поскольку о них ещё не знают и почти все современные системы безопасности работают по принципу поиска совпадений и известных моделей поведения. Обнаружить в большинстве случаев тоже трудно, поскольку они явно не показывают своих действий, а незаметно отсылают данные злоумышленнику.