det0372-multi-platform-detection-strategy-for-t1678-delay-execution

# DET0372 — Multi-Platform Detection Strategy for T1678 - Delay Execution ## Descrição A técnica de atraso de execução (Delay Execution) é utilizada por adversários para contornar sandboxes e sistemas de análise automatizada que possuem timeout limitado para análise dinâmica. Ao introduzir atrasos longos — via `sleep()`, loops de espera, consultas de tempo, ou condições baseadas em data/hora do sistema — o malware aguarda o encerramento da análise automatizada antes de executar seu payload real. Ambientes de sandbox típicamente analisam amostras por 1-5 minutos; um malware que dorme por 10 minutos antes de agir nunca exibirá comportamento malicioso nesses ambientes. As técnicas de delay são multiplataforma: Windows usa `Sleep()`, `WaitForSingleObject` e loops `GetTickCount`; Linux/macOS usam `sleep`, `nanosleep` e syscalls de tempo; JavaScript/scripts usam `setTimeout` e promises. Variantes sofisticadas verificam se o tempo realmente passou (comparando timestamps antes e depois do sleep) para detectar aceleração de tempo por sandboxes. [[AgentTesla]], [[s1207-xloader|FormBook]] e loaders de ransomware frequentemente implementam delays de minutos a horas antes da ativação. A estratégia de detecção aplica-se em múltiplas plataformas e combina análise comportamental de processos com longa vida útil mas baixa atividade de CPU, chamadas repetidas a APIs de tempo, e correlação de execução de payload com longos períodos de inatividade prévia. ## Indicadores de Detecção - Processos com tempo de vida > 10 minutos e consumo de CPU < 0.1% (sleep prolongado) - Chamadas repetidas a `GetTickCount`, `QueryPerformanceCounter` ou `clock_gettime` (detecção de aceleração de tempo) - `Sleep(600000)` ou equivalente com valor > 60.000ms em chamada direta - Loop com `NtDelayExecution` repetido com contadores crescentes antes de payloads de rede - Script com `time.sleep()` Python ou `setTimeout` JavaScript com valores > 300 segundos - Processo aguardando data/hora específica (`if datetime.now() > "2026-01-01"`) antes de atividade ## Técnicas Relacionadas - [[T1497003-time-based-evasion|T1497.003 — Time Based Evasion]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1622-debugger-evasion|T1622 — Debugger Evasion]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] ## Analytics Relacionadas - [[an1048-analytic-1048|AN1048 — Analytic 1048]] - [[an1049-analytic-1049|AN1049 — Analytic 1049]] - [[an1050-analytic-1050|AN1050 — Analytic 1050]] --- *Fonte: [MITRE ATT&CK — DET0372](https://attack.mitre.org/detectionstrategies/DET0372)*