Z atakami typu zero day mamy do czynienia, gdy informacja o błędach w oprogramowaniu nie jest publikowana, gdyż jej odkrywca sprzedaje ją cyberprzestępcom, a producent dowiaduje się o niej dopiero wtedy, gdy jest ona od pewnego czasu wykorzystywana do ataków.

Jak ustrzec się przed tego typu błędami? Oto najczęstsze i najbardziej symptomatyczne objawy:

1.    Losowe generowanie adresów IP. Zdarza się, że zawartość APT zawiera kod losowo generujący łańcuchy adresów IP. Działanie to ma na celu łatwiejszą propagację.


2.    Próby nawiązania połączenia z serwerem zarządzającym. Po udanej infiltracji zagrożenia APT mogą podjąć próbę nawiązania połączenia z serwerem zarządzającym w celu eksfiltracji danych lub nawiązania połączenia z innymi niebezpiecznymi zasobami, na przykład przez sieć botnet. Wykrywanie opiera się na sygnaturach kontrolnych i wykrywaniu uzgadniania.


3.    Naśladowanie zachowania hosta. W celu uniknięcia wykrycia zagrożenie APT może naśladować zachowanie urządzenia lub aplikacji hosta.


4.    Maskowanie kodu JavaScript. Udokumentowane przypadki ataków APT opierały się na wielu technikach ukrywania (maskowania) prawdziwego znaczenia i celu złośliwego kodu JavaScript.


5.    Szyfrowanie ruchu w sieci. Tendencja do szyfrowania zawartości złośliwego oprogramowania APT zwiększa poziom zagrożenia dla całego ruchu w sieci podlegającego szyfrowaniu.