# T1497.001 - System Checks ## Técnica Pai Esta é uma sub-técnica de [[Sandbox Evasion]]. ## Descrição Adversários que chegam a um ambiente alvo frequentemente precisam determinar se estão sendo analisados em uma sandbox ou máquina virtual antes de expor suas capacidades reais. A subtécnica T1497.001 descreve o uso de verificações de sistema - checagens ativas do hardware, sistema operacional e configuração de rede - para identificar artefatos típicos de ambientes de virtualização como VMware, VirtualBox, Hyper-V e ferramentas de análise dinâmica como Cuckoo e Any.run. Quando o malware detecta sinais desses ambientes, pode encerrar sua execução, alterar comportamentos ou simplesmente não entregar a carga maliciosa, frustrando completamente a análise por pesquisadores. As verificações típicas abrangem uma ampla superfície: número de núcleos de CPU (ambientes de análise raramente têm mais de 2), quantidade de memória RAM disponível, presença de processos específicos de virtualização, nomes de adaptadores de rede que seguem padrões conhecidos de VMs, entradas de registro características do VMware ou VirtualBox, e até mesmo a existência de dispositivos físicos como ventoinhas e sensores de temperatura. Ferramentas como [[t1047-windows-management-instrumentation|Windows Management Instrumentation]], [[t1059-001-powershell|PowerShell]] e [[t1012-query-registry|Query Registry]] são frequentemente empregadas para orquestrar essas consultas de forma automatizada em um único script, que só permite a continuação da execução maliciosa se o sistema for considerado "real". Outra dimensão relevante envolve a análise comportamental do ambiente: o malware pode verificar se há atividade de usuário real (movimentação de mouse, histórico de navegação, documentos recentes), examinar nomes de pastas ou arquivos com padrões típicos de sandbox como `malware`, `sample` ou `hash` via [[t1083-file-and-directory-discovery|File and Directory Discovery]], e consultar informações do sistema por meio de [[t1082-system-information-discovery|System Information Discovery]] para corroborar ou refutar a hipótese de análise. O resultado é um mecanismo de evasão que torna a detecção estática e dinâmica significativamente mais difícil. **Contexto Brasil/LATAM:** No Brasil, campanhas de malware bancário como as operadas pelo [[s0373-astaroth|Astaroth]] e variantes do [[s1039-bumblebee|Bumblebee]] têm incorporado verificações de sandbox para garantir que apenas dispositivos reais de usuários - frequentemente alvos de clientes de bancos brasileiros - recebam o payload definitivo. Equipes de SOC de instituições financeiras do setor bancário brasileiro relatam que amostras coletadas em honeypots raramente exibem comportamento malicioso pleno justamente por conta dessas verificações. Grupos como [[g0049-oilrig|OilRig]] e [[g0047-gamaredon|Gamaredon Group]], com histórico de operações direcionadas à região, também empregam esta subtécnica para prolongar a persistência sem acionar alertas de análise automatizada. | Plataforma | Event ID | Fonte | Descrição | |------------|----------|-------|-----------| | Windows | 4688 | Security | Criação de processos: `wmic`, `powershell`, `reg query` em sequência rápida | | Windows | 7045 / 4697 | System | Serviços sendo enumerados via `sc query` | | Windows | Microsoft-Windows-WMI-Activity/Operational | WMI | Consultas WMI para `Win32_ComputerSystem`, `Win32_VideoController`, `Win32_NetworkAdapter` | | Linux | Auditd - syscall | Auditd | Leitura de `/proc/cpuinfo`, `/sys/class/dmi/id/` e arquivos de hardware | | macOS | Unified Log | EndpointSecurity | Chamadas a `sysctl` e leitura de `/System/Library/CoreServices/` | ```yaml title: Detect Sandbox Evasion via System Checks id: a3f7c2d1-9b45-4e8a-bc01-2f3d4e5a6b7c status: experimental description: Detecta sequência de consultas WMI e de registro típicas de checagens anti-sandbox author: RunkIntel logsource: product: windows category: process_creation detection: selection_wmi: CommandLine|contains: - 'Win32_ComputerSystem' - 'Win32_VideoController' - 'Win32_NetworkAdapter' - 'VMware' - 'VirtualBox' selection_reg: CommandLine|contains: - 'HKLM\SOFTWARE\VMware' - 'HKLM\SOFTWARE\Oracle\VirtualBox' selection_process: Image|endswith: - '\wmic.exe' - '\powershell.exe' - '\reg.exe' timeframe: 2m condition: (selection_wmi or selection_reg) and selection_process | count() > 3 falsepositives: - Scripts de inventário legítimos de TI - Ferramentas de monitoramento de ativos level: medium tags: - attack.defense_evasion - attack.t1497.001 ``` ## Attack Flow ```mermaid graph TB A[Entrega do Malware] --> B[Verificações de Sistema]:::highlight B --> C{VM/Sandbox?} C -->|Sim| D[Encerrar / Modo Dormente] C -->|Não| E[Executar Payload Real] E --> F[Pós-Exploração] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação:** O adversário embute no malware um conjunto de verificações que são executadas logo na inicialização, antes de qualquer ação maliciosa visível. Os scripts de verificação usam [[t1059-001-powershell|PowerShell]], WMI ou chamadas nativas de API do Windows para consultar propriedades do sistema - núcleos de CPU, RAM total, fabricante do hardware, adaptadores de rede e chaves de registro associadas a VMware ou VirtualBox. **Execução:** Durante a execução inicial, o malware coleta respostas para cada verificação e as compara contra uma lista interna de indicadores de virtualização. Processos como `vmtoolsd.exe`, `vboxservice.exe` e `wireshark.exe` são pesquisados. Se qualquer limiar for atingido (ex.: CPU < 2 núcleos, RAM < 2 GB, processos de análise presentes), o programa encerra silenciosamente ou entra em modo dormente. Caso contrário, o payload é descriptografado e executado. **Pós-execução:** Após confirmar que está em um ambiente real, o malware pode continuar verificações periódicas para detectar se um analista conectou um depurador ou montou a análise em tempo real. Ferramentas como [[t1083-file-and-directory-discovery|File and Directory Discovery]] monitoram a criação de arquivos com nomes suspeitos. A comunicação com o C2 só é iniciada quando o ambiente é repetidamente válidado como legítimo. ## Detecção > [!warning] Detecção Complexa > Esta técnica é especialmente difícil de detectar porque as consultas individuais são idênticas ao comportamento legítimo de administração de sistemas. A correlação de múltiplas consultas em sequência rápida é o principal sinal. ## Mitigação > [!info] Nota sobre Mitigações > O MITRE ATT&CK não lista mitigações específicas para esta subtécnica, pois as verificações usam APIs legítimas do sistema operacional. O foco deve estar em detecção e contexto de execução. | Controle | Ação Recomendada | Aplicabilidade Brasil | |----------|-----------------|----------------------| | Sandboxing avançado | Configurar ambientes de análise com perfis realistas: múltiplos núcleos, histórico de usuário simulado, documentos recentes | Equipes de malware analysis de bancos e operadoras de telecom | | EDR com comportamental | Correlacionar sequências de consultas WMI + registro em jánela curta de tempo | Qualquer organização com EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) | | Deception technology | Criar artefatos falsos de VM em sistemas reais para enganar malware que encerra ao detectar VM | Avançado - aplicável a SOCs maduros | | Monitoramento de processo | Alertar quando `wmic.exe`, `reg.exe` e `powershell.exe` forem executados em sucessão por um processo pai não esperado | Universalmente aplicável | | Análise de comportamento de usuário | Verificar se consultas de sistema ocorrem sem interação humana prévia (zero input de mouse/teclado) | Útil em ambientes de análise forense | ## Threat Actors - [[g0120-evilnum|Evilnum]] - grupo especializado em fraude financeira que emprega verificações de VM para garantir que apenas alvos reais (funcionários de fintechs e plataformas de câmbio) recebam o payload completo. - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês focado em infraestrutura crítica que usa checagens de sistema para evitar análise em ambientes governamentais e de defesa. - [[g0012-darkhotel|Darkhotel]] - grupo de espionagem com histórico de campanhas em hotéis de luxo na América Latina que verifica o ambiente antes de instalar implantes de longa duração. - [[g0049-oilrig|OilRig]] - APT iraniano com operações no setor de energia que usa anti-sandbox para proteger seus implantes personalizados de análise forense. - [[g0047-gamaredon|Gamaredon Group]] - grupo russo com foco em alvos governamentais que integra verificações de ambiente em seus downloaders iniciais. ## Software Associado - [[s0650-qakbot|QakBot]] - trojan bancário que realiza extensas verificações anti-VM antes de entregar seu módulo de roubo de credenciais bancárias. - [[s1039-bumblebee|Bumblebee]] - loader moderno com múltiplas camadas de verificação de sandbox, frequentemente distribuído via phishing no Brasil. - [[s0373-astaroth|Astaroth]] - malware brasileiro que verifica o ambiente antes de ativar seus módulos de keylogging e roubo de credenciais bancárias. - [[s0182-finfisher|FinFisher]] - spyware comercial com sofisticadas verificações de ambiente para proteção contra análise governamental. - [[s0024-dyre|Dyre]] - trojan bancário que verifica a presença de ferramentas de análise antes de iniciar comunicação com C2. - [[s0260-invisimole|InvisiMole]] - implante de espionagem que permanece dormente em ambientes virtualizados por períodos prolongados. - [[s0438-attor|Attor]] - plataforma de espionagem modular que verifica hardware antes de implantar plugins adicionais. - [[s0627-sodamaster|SodaMaster]] - malware do Volt Typhoon que usa verificações de sistema como primeiro passo de evasão. - [[s0439-okrum|Okrum]] - backdoor do Ke3chang que verifica o ambiente antes de estabelecer canal C2 permanente. - [[s0354-denis|Denis]] - implante que realiza fingerprinting do sistema como etapa prévia ao deploy de componentes adicionais. --- *Fonte: [MITRE ATT&CK - T1497.001](https://attack.mitre.org/techniques/T1497/001)*