det0151-behavior-chain-platform-aware-detection-strategy-for-t1124-system-time-d

# DET0151 — Behavior-chain, platform-aware detection strategy for T1124 System Time Discovery ## Descrição Esta estratégia detecta a descoberta do horário do sistema por adversários (T1124) como parte de reconhecimento de ambiente ou como precursor de evasão baseada em tempo. Malware verifica a hora do sistema para: sincronizar operações com janelas de inatividade (ex: fora do horário comercial), confirmar que não está em sandbox com relógio acelerado, ajustar delays de C2, ou verificar datas de expiração de licença maliciosa. A abordagem behavior-chain correlaciona a consulta de horário do sistema com ações subsequentes: se a verificação de tempo é seguida imediatamente por sleep longo, inatividade ou auto-encerramento, é indicativo de sandbox-evasion. Se seguida por execução de payload, é parte de lógica de time-bomb. Em Windows, os vetores incluem `GetSystemTime`, `w32tm /query`, `time /t`, e WMI `Win32_LocalTime`. A telemetria é multiplataforma: Sysmon Event ID 1 para processos consultando hora (`cmd /c time`, `w32tm`, `daté`), PowerShell ScriptBlock logging para cmdlets relacionados a tempo (`Get-Daté`), auditd em Linux para syscall `clock_gettime` em contexto suspeito, e macOS para processos acessando `NSDaté` ou executando `daté`. O contexto de processo pai e ações posteriores são essenciais para a classificação. ## Indicadores de Detecção - `w32tm /query /status` ou `net time` executado por processo em caminho suspeito - `GetSystemTime()` chamado por malware dropper antes de sleep longo (time-evasion pattern) - Script PowerShell invocando `Get-Daté` e verificando se hora está dentro de faixa específica - `daté` ou `timedatectl` em Linux invocados por processo de shell reverso não-interativo - Processo verificando timezone (`tzutil /g`, `timedatectl`) como parte de reconhecimento de geolocalização ## Técnicas Relacionadas - [[t1124-system-time-discovery|T1124 — System Time Discovery]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] ## Analytics Relacionadas - [[an0430-analytic-0430|AN0430 — Analytic 0430]] - [[an0431-analytic-0431|AN0431 — Analytic 0431]] - [[an0432-analytic-0432|AN0432 — Analytic 0432]] - [[an0433-analytic-0433|AN0433 — Analytic 0433]] - [[an0434-analytic-0434|AN0434 — Analytic 0434]] --- *Fonte: [MITRE ATT&CK — DET0151](https://attack.mitre.org/detectionstrategies/DET0151)*