Picus Security förklarar tidsbaserade kontroller i MITRE ATT&CK

Cybersäkerhetsföretaget Picus Security har djupdykt i tekniken T1497.003 Time Based Checks, som är en underteknik till Virtualization and Sandbox Evasion (T1497) inom MITRE ATT&CK-ramverket. Den här tekniken utnyttjar tidsrelaterade systemegenskaper för att identifiera skadlig kod.

Kärnan i tekniken är att upptäcka om skadlig kod körs på en verklig maskin eller i en automatiserad analysmiljö. Istället för att inspektera systemartefakter eller användarinteraktion utvärderar angripare signaler som systemets upptid och klockslag. Analysmiljöer som är kortlivade eller manipulerar tiden kan avslöjas på detta sätt.

Enligt Picus Security använder angripare tidsbaserade kontroller för att undvika upptäckt av sandlådescanning. Detta inkluderar ofta avsiktliga fördröjningar, såsom sleep-funktioner eller tidsinställda loopar. Om det observerade tidsförloppet avviker från vad som förväntas, kan skadlig kod försena eller undertrycka skadlig aktivitet, och därmed undvika upptäckt.

"Red Report 2026" nämner att Virtualization and Sandbox Evasion-tekniken har återigen blivit vanligare. Ett exempel är Blitz-skadlig kod, som jämför exekveringstider mellan trådar för att identifiera virtualiserade miljöer. Den mäter till exempel varaktigheten av 1 000 000 loop-iterationer och jämför resultaten.