Бомба замедленного действия

Бомба замедленного действия — это вредоносный код, активирующийся, когда системные часы достигают выбранной даты или времени либо по истечении фиксированного интервала с момента установки. Задержка обеспечивает злоумышленнику предсказуемое срабатывание, затрудняет связь полезной нагрузки с первичным взломом и позволяет распространять ПО с бэкдором, не вызывая мгновенных тревог. Такие бомбы используются для саботажа, инсайдерских атак, имплантов в цепочке поставок и для манипуляций с пробным ПО. Помогает обнаружение через статический анализ подозрительных сравнений времени, код-ревью, мониторинг NTP, антитамперинг и поведенческий EDR, замечающий внезапные массовые изменения файлов в момент срабатывания.