Добавить в корзинуПозвонить
Найти в Дзене
РУТЕСТ - все о нагрузочном и функциональном тестировании
14 подписчиков

Скрытая угроза 2026 года: как хакеры прячут вирусы в пробелах

7
1 мин
Хакеры не ломятся в дверь с кувалдой. Гораздо чаще они находят щель, о существовании которой хозяева даже не подозревают. Одна из таких щелей – Padding Evasion – новая техника обхода блокировок зловредного кода, которая набрала обороты в тестах систем защиты 2025-2026 годов. Название сухое, но суть элегантна до безобразия: чтобы спрятать опасный код, его просто заваливают бессмысленным информационным мусором. Иголка в стоге сена (буквально) Злоумышленник берет вредоносную нагрузку, например, эксплойт критической уязвимости, и смешивает ее с тоннами цифрового балласта: пустыми строками, бесконечными пробелами, ничего не значащими комментариями. Снаружи он выглядит как обычный трафик. Просто очень-очень большой. Но зачем столько мусора? Все дело в том, как устроена проверка. Большинство систем защиты анализируют входящий трафик не целиком, а частями – буфер проверки обычно составляет от 8 до 128 килобайт. Это осознанный компромисс: полный разбор каждого запроса слишком сильно нагружает у

Хакеры не ломятся в дверь с кувалдой. Гораздо чаще они находят щель, о существовании которой хозяева даже не подозревают. Одна из таких щелей – Padding Evasion – новая техника обхода блокировок зловредного кода, которая набрала обороты в тестах систем защиты 2025-2026 годов. Название сухое, но суть элегантна до безобразия: чтобы спрятать опасный код, его просто заваливают бессмысленным информационным мусором.

Иголка в стоге сена (буквально)

Злоумышленник берет вредоносную нагрузку, например, эксплойт критической уязвимости, и смешивает ее с тоннами цифрового балласта: пустыми строками, бесконечными пробелами, ничего не значащими комментариями. Снаружи он выглядит как обычный трафик. Просто очень-очень большой. Но зачем столько мусора? Все дело в том, как устроена проверка.

Большинство систем защиты анализируют входящий трафик не целиком, а частями – буфер проверки обычно составляет от 8 до 128 килобайт. Это осознанный компромисс: полный разбор каждого запроса слишком сильно нагружает устройства.

Хакеры знают об этом и намеренно раздувают запрос так, чтобы вредоносный код оказался за пределами проверяемой зоны. Когда фаервол добирается до лимита и не находит ничего подозрительного в первых килобайтах, он успокаивается и пропускает остальное.

Именно так ведут себя по умолчанию некоторые широко используемые решения, в том числе продукты Cloudflare (по крайне мере, до декабря 2025 года, когда они увеличили лимит до 1МБ): при аномально большом объеме данных они просто прекращают анализ, и атака проходит незамеченной.

Как понять, уязвимы ли вы

Никакая документация не даст ответа на этот вопрос. Единственный способ проверить, справляется ли ваша защита с Padding Evasion, это воспроизвести атаку в реальных условиях. Не в теории, не на стенде вендора, а под настоящей нагрузкой с аномально большими запросами, и посмотреть, что произойдет.

В следующей статье мы расскажем, как обычно WAFы себя ведут при таких нагрузках. 😊

Подписывайтесь на наш канал в ТГ, где мы регулярно публикуем материалы про нагрузочное и функциональное тестирование ИТ/ИБ решений и инфраструктуры.