Picus Security selittää aikaperusteiset tarkistukset MITRE ATT&CKissä

Kyberturvallisuusyritys Picus Security on syventynyt T1497.003 Time Based Checks -tekniikkaan, joka kuuluu MITRE ATT&CK -kehyksen virtualisoinnin ja hiekkalaatikoiden välttämisen (T1497) alle. Tämä tekniikka hyödyntää aikaperusteisia järjestelmän ominaisuuksia haittaohjelmien tunnistamiseksi.

Tekniikan ydin on havaita, toimiiko haittaohjelma todellisella koneella vai automatisoidussa analyysiympäristössä. Sen sijaan, että tarkasteltaisiin järjestelmän artefakteja tai käyttäjän vuorovaikutusta, hyökkääjät arvioivat signaaleja, kuten järjestelmän käyttöaikaa ja kellonaikaa. Analyysiympäristöt, jotka ovat lyhytikäisiä tai manipuloivat aikaa, voivat paljastua tällä tavoin.

Picus Securityn mukaan hyökkääjät käyttävät aikaperusteisia tarkistuksia välttääkseen sandbox-skannauksen. Tähän kuuluu usein tarkoituksellisia viiveitä, kuten nukkumisfunktioita tai ajoitettuja silmukoita. Jos havaittu aika poikkeaa odotetusta, haittaohjelma voi viivästyttää tai estää haitallisen toiminnan välttäen siten tunnistusta.

"Red Report 2026" -raportti mainitsee Virtualization and Sandbox Evasion -tekniikan yleistyneen jälleen. Yksi esimerkki on Blitz-haittaohjelma, joka vertailee säikeiden suoritusaikoja tunnistaakseen virtuaaliympäristöt. Se mittaa esimerkiksi 1 000 000 silmukan iteraation kestoa ja vertaa tuloksia.