det0420-detect-user-activity-based-sandbox-evasion-via-input-artifact-probing

# DET0420 — Detect User Activity Based Sandbox Evasion via Input & Artifact Probing ## Descrição Malware sofisticado detecta ambientes de análise (sandboxes) verificando a presença de atividade genuína de usuário — movimentos de mouse, histórico de digitação, arquivos de documentos recentes, cookies de navegador, contatos no cliente de email e outros artefatos que indicam uso humano real. Sandboxes automatizadas geralmente carecem desses artefatos, o que permite ao malware permanecer inativo até identificar um ambiente de produção legítimo. Técnicas de probing incluem: verificação do número de arquivos no histórico recente do Windows, presença de cookies de navegador, quantidade de entradas no histórico de DNS resolver, posição e movimentos do cursor do mouse, tamanho do arquivo de paginação, número de processos ativos e temperatura da CPU. Malware que detecta sandbox simplesmente encerra sua execução ou remove-se, nunca exibindo comportamento malicioso durante a análise. A detecção dessa evasão é paradoxal — se bem-sucedida, o malware não executa em sandbox e é marcado como benigno. A estratégia foca em identificar o comportamento de probing em si: leitura sequencial de múltiplos artefatos de atividade de usuário por um processo recém-executado, especialmente em combinação com verificações de hardware virtualizado. Ferramentas de análise de comportamento em produção (EDR) têm melhor visibilidade que sandboxes estáticas. ## Indicadores de Detecção - Processo recém-executado lendo `HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs` e histórico do browser em sequência - Consulta ao número de itens no histórico de DNS resolver (`ipconfig /displaydns`) por processo não-sistema - Verificação de `GetCursorPos` ou `GetLastInputInfo` em loop por processo suspeito - Leitura de múltiplos arquivos em `%APPDATA%\Microsoft\Windows\Recent\` em curto intervalo - Processo verificando variáveis de ambiente associadas a sandboxes (`VBOX_MSI_INSTALL_PATH`, `VMWARE_`) ## Técnicas Relacionadas - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[T1497001-system-checks|T1497.001 — System Checks]] - [[T1497002-user-activity-based-checks|T1497.002 — User Activity Based Checks]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1622-debugger-evasion|T1622 — Debugger Evasion]] ## Analytics Relacionadas - [[an1182-analytic-1182|AN1182 — Analytic 1182]] - [[an1183-analytic-1183|AN1183 — Analytic 1183]] - [[an1184-analytic-1184|AN1184 — Analytic 1184]] --- *Fonte: [MITRE ATT&CK — DET0420](https://attack.mitre.org/detectionstrategies/DET0420)*