T1497.003: Обход на основе времени

Злоумышленники могут использовать различные способы проверки на основе времени для обнаружения и обхода средств виртуализации и анализа. В частности, они могут получать перечень свойств, использующих переменную времени, например время непрерывной работы системы или системное время. Также они могут использовать таймеры или другие триггеры, которые позволят им избежать платформ виртуализации и песочниц, особенно тех, которые работают в автоматизированном режиме или в течение установленного времени.

Методы предотвращения обнаружения также могут использовать переменную времени; к ним относится, в частности, отложенное выполнение вредоносного кода после первоначального запуска с помощью программных команд задержки выполнения (sleep) или встроенной функции планирования задач (см., например, технику Запланированная задача (задание)). Чтобы избежать анализа, злоумышленники могут откладывать запуск кода до выполнения определенных условий (например, до указанного времени или события) или использовать отдельные каналы для каждого этапа по расписанию.

Для задержки выполнения вредоносного кода также могут использоваться безвредные команды и другие операции. Циклы или бессмысленное повторение одних и тех же команд (например, ping) могут использоваться для задержки выполнения вредоносного кода (например, чтобы выйти за временные пороги проверок автоматизированными системами анализа). Еще одна вариация этой техники, известная как API hammering, заключается в многократном вызове функций нативного API для задержки выполнения (и, возможно, перегрузки аналитических сред "мусорными" данными).

Злоумышленники также могут использовать переменную времени для детектирования песочниц и аналитических сред, особенно тех, которые ускоряют системное время. Например, чтобы выявить песочницу, ускоряющую время, злоумышленник может зафиксировать значение переменной времени среды перед выполнением функции перехода в ждущий режим, рассчитать ожидаемое значение этой переменной после выхода из ждущего режима и сравнить ожидаемое значение с реальным.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, которые могут содержать различные способы проверки на основе времени для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Техники предотвращения обнаружения на основе времени чаще всего применяются на начальном этапе компрометации, но могут встречаться и позднее по мере изучения окружения злоумышленником. Рекомендуется рассматривать события с данными не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников, например перемещение внутри периметра, в зависимости от собранной ими информации. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу. Для обнаружения угроз полезно отслеживать создание подозрительных процессов, особенно запущенных за короткий период, которые собирают данные о системе или применяются в других техниках изучения.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться в различных способах проверки на основе времени для обнаружения и обхода средств виртуализации и анализа. Иногда бывает сложно выявить признаки обхода виртуализации и песочниц — эффективность зависит от методов, применяемых злоумышленниками, и необходимых мер по мониторингу.