Используем файлы cookies, чтобы учесть ваши предпочтения и улучшить работу на нашем сайте. Нажав на «Закрыть», вы соглашаетесь с использованием нами файлов cookies.
Узнать больше

Закрыть

Сетевая безопасность

Защита виртуальных сред

Защита конечных точек

Защита мобильных устройств

Создание и проверка ЭП

Управление безопасностью

T1497.003 - Уклонение на основе времени

Техники:  T1497 , T1497.001 , T1497.002 , T1497.003

Злоумышленники могут использовать различные методы, основанные на времени, для обнаружения и обхода сред виртуализации и анализа. Они могут включать перечисление свойств, основанных на времени, таких как время работы или системные часы, а также использование таймеров или других триггеров для обхода среды виртуальной машины (VME) или песочницы, особенно тех, которые автоматизированы или работают только в течение ограниченного периода времени.

Злоумышленники могут использовать различные уловки, основанные на времени, например откладывать выполнение функций вредоносного ПО при первоначальном исполнении с помощью программных команд сна или встроенных системных функций планирования (например, Scheduled Task/Job).Задержки также могут быть основаны на ожидании выполнения определенных условий для жертвы (например, системного времени, событий и т. д.) или на использовании запланированных Multi-Stage Channels, чтобы избежать анализа и проверки.(Цитата: Deloitte Environment Awareness)

Для задержки выполнения вредоносных программ могут также использоваться доброкачественные команды или другие операции. Циклы или другие ненужные повторения команд, например Ping, могут использоваться для задержки выполнения вредоносного ПО и потенциального превышения временных порогов автоматизированных сред анализа.(Цитата: Revil Independence Day)(Цитата: Netskope Nitol) Другой вариант, обычно называемый API hammering, включает в себя выполнение различных вызовов Native API функции, чтобы задержать выполнение (при этом потенциально перегружая среду анализа нежелательными данными).(Цитата: Joe Sec Nymaim)(Цитата: Joe Sec Trickbot)

Злоумышленники также могут использовать время в качестве метрики для обнаружения песочниц и сред анализа, особенно тех, которые пытаются манипулировать временными механизмами для имитации больших промежутков времени.Например, Злоумышленник может определить песочницу, ускоряющую время, путем выборки и вычисления ожидаемого значения временной метки среды до и после выполнения функции сна.(Цит. по: ISACA Malware Tricks)

https://attack.mitre.org/techniques/T1497/003

← Назад

Визуализация смежных техник для T1497.003

Отрасль:
 с подтехниками
Техника

Закрыть