t1124-system-time-discovery

# T1124 - System Time Discovery ## Descrição A descoberta do horário do sistema é uma técnica de reconhecimento utilizada por adversários para determinar a hora local, o fuso horário e o tempo de atividade (uptime) de sistemas comprometidos. Embora pareça trivial, essa informação tem valor estratégico significativo: permite que o malware sincronize sua execução com jánelas de menor visibilidade (ex: madrugada local), identifique geograficamente a vítima pelo fuso horário e tome decisões de comportamento baseadas no tempo - como não executar cargas destrutivas até uma data específica (time bombs). No Windows, as chamadas mais comuns envolvem `net time \\hostname`, `w32tm /tz` e a API `GetTickCount()` para determinar o uptime; no Linux, `daté`, `timedatectl` e a syscall `time()` são utilizados. Em infraestrutura de rede e servidores ESXi, comandos como `show clock detail` (Cisco IOS/NX-OS) e `esxcli system clock get` são usados para o mesmo propósito. A técnica se encadeia frequentemente com [[t1614-system-location-discovery|System Location Discovery]] (T1614) para refinar a identificação geográfica da vítima, e com [[Job]] (T1053) para programar atividades maliciosas no momento adequado. Em ambientes corporativos sincronizados via NTP, o adversário pode consultar horários de múltiplos hosts para mapear a topologia de rede interna. **Contexto Brasil/LATAM:** O fuso horário brasileiro (UTC-3 a UTC-5 dependendo da região e do horário de verão) é um marcador de localização relevante para adversários que realizam campanhas regionalizadas. Grupos como [[g0046-fin7|FIN7]], documentados com operações na América Latina, empregam reconhecimento de tempo para sincronizar atividades de exfiltração e movimentação lateral fora do horário comercial brasileiro. Malwares com distribuição ampla no Brasil, como [[s0373-astaroth|Astaroth]], utilizam informações de tempo do sistema para implementar delays anti-sandbox - sandboxes de análise automatizada tipicamente executam por períodos curtos, e um malware que "dorme" por horas pode evadir análise dinâmica com eficácia. | Controle | Abordagem | Recomendação para Organizações Brasileiras | |----------|-----------|-------------------------------------------| | Detecção por cadeia comportamental | Monitoramento SIEM | Correlacionar T1124 com outras técnicas de discovery (T1082, T1016, T1057) executadas no mesmo intervalo de tempo pelo mesmo processo - isoladamente é pouco relevante, em cadeia indica reconhecimento ativo | | Baseline de processos | EDR / Threat Hunting | Identificar processos que chamam `net time` ou `w32tm` fora de contextos de administração documentados; alertar para scripts PowerShell ou binários desconhecidos fazendo essas chamadas | | Monitoramento NTP | Segurança de rede | Alertar para conexões na porta 123/UDP originadas de processos que não sejam o serviço W32Time ou cliente NTP legítimo | | Análise de sandbox | Equipes de IR | Ao analisar amostras de malware, verificar chamadas de API relacionadas a tempo (`GetSystemTime`, `GetTickCount`, `time()`) que precedem longos períodos de sleep - indicativo de evasão de sandbox | | Logging centralizado | SIEM / SOC | Garantir que Event ID 4688 estejá habilitado com linha de comando completa em todos os endpoints - muitas organizações brasileiras ainda não capturam parâmetros de processo por limitação de política de auditoria | ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Coleta de<br/>Informações do Host]) B --> C{T1124\nSystem Time\nDiscovery}:::highlight C --> D([Evasão de Sandbox<br/>/ Time Bomb]) C --> E(Execução Agendada) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona **1. Preparação** Após obter execução inicial no sistema alvo, o adversário ou o próprio malware executa coleta automática de metadados do ambiente. A descoberta de horário não exige privilégios especiais - qualquer usuário comum pode consultar o horário do sistema. O objetivo nesta etapa é reunir contexto suficiente para decidir como prosseguir: executar imediatamente, aguardar uma jánela horária específica, ou abandonar a execução se o ambiente for identificado como sandbox de análise (sandboxes frequentemente exibem timestamps fixos ou fusos horários inconsistentes com o perfil da vítima). **2. Execução** No Windows, o adversário executa `net time \\[hostname]` para obter horário de sistemas remotos na rede, `w32tm /tz` para identificar o fuso horário configurado, e chama `GetTickCount()` ou `GetSystemTimeAsFileTime()` via WinAPI para determinar o uptime. Em ambientes Linux, `daté +%s`, `timedatectl show` e a syscall `clock_gettime()` são utilizados. No macOS, `systemsetup -gettimezone` e `systemsetup -getnetworktimeserver` revelam o servidor NTP configurado - útil para mapear a infraestrutura de autenticação. Em redes Cisco, `show ntp status` permite identificar servidores de tempo que podem ser alvos de pivoting. Essa informação pode ser usada como complemento ao [[t1614-system-location-discovery|System Location Discovery]] para confirmar a localização geográfica do alvo. **3. Pós-execução** Com o horário e fuso horário confirmados, o malware pode implementar lógica de time bomb - como o [[s0140-shamoon|Shamoon]], que foi programado para disparar sua carga destrutiva em uma data e horário específicos nos sistemas da Saudi Aramco. Adversários também usam essa informação para agendar [[t1053-scheduled-task-job|tarefas agendadas]] no momento de menor monitoramento (ex: jánelas de manutenção, madrugada local). Grupos de espionagem como [[g0010-turla|Turla]] e [[g1017-volt-typhoon|Volt Typhoon]] utilizam o uptime para inferir se o sistema é um servidor crítico (alta disponibilidade) ou estação de trabalho, adaptando a estratégia de movimento lateral. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - `net.exe time`, `w32tm.exe /tz` ou `cmd.exe /c time /t` | | 1 | Sysmon | Criação de processo com linha de comando contendo `net time`, `w32tm`, `GetTickCount` | | 4 | Sysmon | Acesso remoto a serviço de tempo via SMB (`\\hostname\IPC

) | | 11 | Sysmon | Criação de arquivo de output de reconhecimento contendo resultados de time query | | 3 | Sysmon | Conexão de rede - processos não-NTP consultando porta 123/UDP (NTP) | **Sigma Rule:** ```yaml title: System Time Discovery via Native Windows Utilities id: c2e4a817-9b31-4f7d-a952-1d6c8b4e3a09 status: experimental description: Detecta uso de utilitários nativos do Windows para descoberta de horário e fuso horário do sistema, padrão associado a reconhecimento pós-comprometimento author: RunkIntel daté: 2026-03-24 logsource: product: windows category: process_creation detection: selection_net_time: Image|endswith: '\net.exe' CommandLine|contains: 'time' selection_w32tm: Image|endswith: '\w32tm.exe' CommandLine|contains: - '/tz' - '/query' - '/stripchart' selection_cmd_time: Image|endswith: '\cmd.exe' CommandLine|contains: - 'time /t' - 'echo %time%' - 'echo %daté%' condition: 1 of selection_* falsepositives: - Scripts de administração de sistemas legítimos - Ferramentas de monitoramento e inventário - Usuários verificando horário manualmente level: low tags: - attack.discovery - attack.t1124 ``` ## Mitigação > **Nota:** O MITRE ATT&CK não define mitigações específicas para T1124, pois a consulta de horário do sistema é uma operação legítima e amplamente necessária. O foco deve estar na detecção comportamental em cadeia com outras técnicas de reconhecimento. ## Threat Actors - [[g0121-sidewinder|Sidewinder]] - APT sul-asiático (suspeito indiano) que usa reconhecimento de tempo para sincronizar atividades de exfiltração com jánelas fora do horário comercial dos alvos no Paquistão e China - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês com foco em infraestrutura crítica que realiza reconhecimento extensivo de ambiente antes de prosseguir, incluindo coleta de informações de tempo para identificar jánelas de manutenção - [[g0126-higaisa|Higaisa]] - grupo APT coreano que usa descoberta de tempo como parte de cadeia de reconhecimento inicial em campanhas de espionagem - [[g0128-zirconium|ZIRCONIUM]] - APT chinês (APT31) que utiliza a técnica para perfilar sistemas antes de implantar backdoors persistentes - [[g0060-bronze-butler|BRONZE BUTLER]] - grupo de espionagem chinês que inclui coleta de metadados de sistema (incluindo tempo) como etapa padrão do seu framework de reconhecimento - [[g1012-curium|CURIUM]] - ator iraniano vinculado ao Ministério da Inteligência que usa reconhecimento de tempo em campanhas contra o setor de energia e governo no Oriente Médio - [[g0010-turla|Turla]] - APT russo com histórico de décadas que usa uptime e time zone para priorizar alvos de alto valor durante operações de espionagem de longo prazo - [[g0012-darkhotel|Darkhotel]] - grupo APT que explora redes de hotéis de luxo para infectar executivos; usa reconhecimento de tempo para sincronizar ataques com o período de hospedagem da vítima - [[g0114-chimera|Chimera]] - grupo chinês que combina reconhecimento de tempo com abuso de credenciais do setor de aviação em Taiwan - [[g0046-fin7|FIN7]] - grupo criminoso financeiro com operações documentadas no Brasil e LATAM que usa reconhecimento de tempo para sincronizar operações de fraude com horário de abertura de mercados financeiros ## Software Associado - [[s0140-shamoon|Shamoon]] - malware destrutivo notório pelo uso de time bomb: verificava a data do sistema antes de acionar o wiper que destruiu mais de 30.000 computadores na Saudi Aramco; a técnica T1124 foi central neste ataque - [[s1178-shrinklocker|ShrinkLocker]] - ransomware que verifica o horário do sistema como parte da lógica de ativação, evitando execução em horários de alta atividade de monitoramento - [[s0373-astaroth|Astaroth]] - trojan brasileiro (Guildma) amplamente distribuído no Brasil que implementa delays baseados em tempo para evadir sandboxes; verifica horário do sistema para determinar se está em ambiente de análise - [[s0251-zebrocy|Zebrocy]] - backdoor associado ao [[g0010-turla|Turla]] que coleta horário e fuso horário do sistema como parte do perfil inicial do host enviado ao C2 - [[s0596-shadowpad|ShadowPad]] - backdoor modular chinês usado por múltiplos APTs que inclui módulo de coleta de metadados do sistema, incluindo timestamp e fuso horário - [[s0011-taidoor|Taidoor]] - RAT chinês que coleta informações de tempo como parte do beacon inicial de reconhecimento enviado ao servidor C2 - [[s0396-evilbunny|EvilBunny]] - malware que implementa execução baseada em Lua com lógica temporal, verificando horário do sistema para sincronizar tarefas - [[s0098-t9000|T9000]] - backdoor que combina captura de áudio/vídeo com reconhecimento de tempo para ativar gravação em jánelas horárias específicas - [[s1051-keyplug|KEYPLUG]] - backdoor do [[g1017-volt-typhoon|Volt Typhoon]] e outros APTs chineses que usa descoberta de tempo como parte do perfil inicial do sistema comprometido - [[s0039-net|Net]] - utilitário nativo do Windows (`net.exe`) frequentemente abusado para executar `net time \\hostname` em reconhecimento de rede; presença em contextos suspeitos é um indicador de comprometimento --- *Fonte: [MITRE ATT&CK - T1124](https://attack.mitre.org/techniques/T1124)*