Picus Security erklärt zeitbasierte Prüfungen in MITRE ATT&CK

Das Cybersicherheitsunternehmen Picus Security hat die Technik T1497.003 Time Based Checks detailliert beschrieben, eine Untertechnik zur Virtualisierungs- und Sandbox-Umgehung (T1497) innerhalb des MITRE ATT&CK-Frameworks. Diese Methode nutzt zeitbezogene Systemmerkmale zur Identifizierung von Schadsoftware.

Das Kernstück dieser Technik besteht darin, festzustellen, ob Schadsoftware auf einem physischen Host oder in einer automatisierten Analyseumgebung ausgeführt wird. Anstatt Systemartefakte oder Benutzerinteraktionen zu inspizieren, bewerten Angreifer Signale wie die Systemlaufzeit und den Zeitverlauf. Analyseumgebungen, die kurzlebig sind oder die Zeit manipulieren, können auf diese Weise erkannt werden.

Picus Security stellt fest, dass Angreifer zeitbasierte Prüfungen einsetzen, um der Sandbox-Erkennung zu entgehen. Dies beinhaltet oft absichtliche Verzögerungen, wie z. B. Sleep-Funktionen oder zeitgesteuerte Schleifen. Wenn das beobachtete Zeitverhalten von den erwarteten Normen abweicht, kann die Schadsoftware bösartige Aktivitäten verzögern oder unterdrücken und so einer Entdeckung entgehen.

Der "Red Report 2026" weist auf eine Wiederbelebung der Verwendung der Technik zur Umgehung von Virtualisierung und Sandboxes hin. Ein beobachtetes Verfahren beinhaltet die Blitz-Malware, die Ausführungszeiten verschiedener Threads vergleicht, um virtualisierte Umgebungen zu identifizieren. Sie misst beispielsweise die Dauer von 1.000.000 Schleifendurchläufen und vergleicht die Ergebnisse.