det0141-detect-time-based-evasion-via-sleep-timer-loops-and-delayed-execution

# DET0141 — Detect Time-Based Evasion via Sleep, Timer Loops, and Delayed Execution ## Descrição Esta estratégia detecta técnicas de evasão baseadas em tempo (T1497.003) onde malware usa delays artificiais para escapar de sandboxes de análise dinâmica com tempo de execução limitado. As técnicas incluem: `Sleep()` com valores grandes (>60 segundos), loops de espera por tempo decorrido, verificação de uptime do sistema, e execução condicional baseada em hora do dia ou data. Sandboxes de análise geralmente executam amostras por 2-5 minutos; malware com sleep de 10+ minutos simplesmente não exibe comportamento malicioso nesse janela. Técnicas mais sofisticadas usam `NtDelayExecution` com valores grandes, loops de CPUID para detectar aceleração de tempo de sandbox, ou verificam `GetTickCount64()` para confirmar que o sistema está rodando há tempo suficiente. A telemetria inclui ETW para chamadas de API `Sleep`, `NtDelayExecution`, `WaitForSingleObject` com valores acima de threshold (60s recomendado), monitoramento de padrão de atividade de processo (inatividade longa seguida de explosão de atividade), e análise de sandbox com aceleração de tempo para identificar amostras dependentes de delay. Processos iniciados como dropper que ficam dormentes por minutos antes de ação são o behavior-chain central. ## Indicadores de Detecção - Chamada `Sleep()` ou `NtDelayExecution()` com valor >60.000ms por processo em caminho suspeito - Processo verificando `GetTickCount64()` ou `GetSystemTime()` repetidamente antes de executar ação - Loop de espera consumindo <1% CPU por >5 minutos seguido de spike de atividade - `WaitForSingleObject(INFINITE)` com posterior ação de rede em processo de usuário - Processo em `%TEMP%` inativo por longo período e então iniciando conexão de rede ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1106-native-api|T1106 — Native API]] ## Analytics Relacionadas - [[an0396-analytic-0396|AN0396 — Analytic 0396]] - [[an0397-analytic-0397|AN0397 — Analytic 0397]] - [[an0398-analytic-0398|AN0398 — Analytic 0398]] --- *Fonte: [MITRE ATT&CK — DET0141](https://attack.mitre.org/detectionstrategies/DET0141)*