# AN0430 — Analytic 0430 ## Descrição Detecta processos ou scripts não confiáveis que consultam hora/fuso horário do sistema (via `w32tm /tz`, `net time \\host`, `Get-TimeZone` ou API `GetTickCount`) seguidos de agendamento baseado em tempo ou execução condicional (como `schtasks /creaté`, `at.exe` ou `PowerShell Start-Sleep` com valores grandes). A telemetria necessária inclui logs Sysmon de criação de processos (Event ID 1), PowerShell ScriptBlock Logging e correlação temporal entre consultas de hora e criação de tarefas agendadas pelo mesmo processo. Essa detecção identifica malware que usa reconhecimento temporal para ativar payloads apenas em janelas de tempo específicas — técnica comum para evasão de sandboxes e execução após horário comercial. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1124-system-time-discovery|T1124 — System Time Discovery]] - [[t1053-005-scheduled-task-job-scheduled-task|T1053.005 — Scheduled Task]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1059-001-command-and-scripting-interpreter-powershell|T1059.001 — PowerShell]] --- *Fonte: [MITRE ATT&CK — AN0430](https://attack.mitre.org/detectionstrategies/DET0151#AN0430)*