Picus Security explique les contrôles temporels dans MITRE ATT&CK

La société de cybersécurité Picus Security a détaillé la technique T1497.003 Time Based Checks, une sous-technique de l'évasion de virtualisation et de sandbox (T1497) du framework MITRE ATT&CK. Cette méthode exploite les caractéristiques temporelles du système pour identifier les logiciels malveillants.

Le cœur de cette technique consiste à déterminer si un logiciel malveillant opère sur un hôte physique ou dans un environnement d'analyse automatisé. Au lieu d'inspecter les artefacts système ou l'interaction de l'utilisateur, les attaquants évaluent des signaux tels que la durée de fonctionnement du système et la progression de l'horloge. Les environnements d'analyse de courte durée ou qui manipulent le temps peuvent être détectés par ces moyens.

Picus Security note que les attaquants utilisent des contrôles basés sur le temps pour échapper à la détection par sandbox. Cela inclut souvent des délais intentionnels, tels que des fonctions de mise en veille (sleep) ou des boucles temporisées. Si le comportement temporel observé s'écarte des normes attendues, le logiciel malveillant peut retarder ou supprimer son activité malveillante, échappant ainsi à la détection.

Le "Red Report 2026" indique une résurgence de l'utilisation de la technique d'évasion de virtualisation et de sandbox. Une procédure observée implique le malware Blitz, qui compare les temps d'exécution de différents threads pour identifier les environnements virtualisés. Il mesure, par exemple, la durée de 1 000 000 d'itérations de boucle et compare les résultats.