MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1127.001: MSBuild

Злоумышленники могут использовать MSBuild для выполнения кода через легитимную утилиту Windows. MSBuild.exe (Microsoft Build Engine) — это платформа сборки программного обеспечения, используемая в Visual Studio. Она работает с файлами проектов в формате XML, определяющими требования к загрузке и сборке различных платформ и конфигураций.

Злоумышленники могут использовать MSBuild для выполнения вредоносного кода. Возможность встраивания задач в MSBuild, появившаяся в .NET версии 4, позволяет вставлять код на C# или Visual Basic в XML-файл проекта. MSBuild скомпилирует и выполнит встроенную задачу. MSBuild.exe — это подписанный бинарный файл Microsoft, поэтому при его использовании указанным образом он может выполнить произвольный код; таким способом может быть обойден контроль приложений, если выполнение MSBuild.exe разрешено.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-196: MSBuild_AWL_Bypass: Попытка обойти запрет на запуск приложений c помощью утилиты .NET Framework msbuild.exe (используется для компиляции и выполнения кода)
process_chains_and_logons: PT-CR-1867: Suspicious_MSBuild_Process_Chain: Подозрительная цепочка запуска процессов для приложения MSBuild

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Monitor for newly executed processes of MSBuild.exe. Compare recent invocations of those binaries with prior history of known good arguments and executed binaries to determine anomalous and potentially adversarial activity.

Trusted developer utilities such as MSBuild may be leveraged to run malicious code with elevated privileges. This analytic looks for any instances of msbuild.exe, which will execute any C# code placed within a given XML document; and msxsl.exe, which processes xsl transformation specifications for XML files and will execute a variaty of scripting languages contained within the XSL file. Both of these executables are rarely used outside of Visual Studio.

Analytic 1 - MSBuild and msxsl

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")(Image="C:\Program Files (x86)\Microsoft Visual Studio\\bin\MSBuild.exe" OR Image="C:\Windows\Microsoft.NET\Framework\msbuild.exe" OR Image="C:\users\\appdata\roaming\microsoft\msxsl.exe") ParentImage!="\Microsoft Visual Studio*")

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Monitor executed commands and arguments used before and after invocation of the utilities may also be useful in determining the origin and purpose of the binary being executed.

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

MSBuild.exe may not be necessary within an environment and should be removed if not being used.

IDM1038НазваниеЗащита от выполненияОписание

Use application control configured to block execution of msbuild.exe if it is not required for a given system or network to prevent potential misuse by adversaries. For example, in Windows 10 and Windows Server 2016 and above, Windows Defender Application Control (WDAC) policy rules may be applied to block the msbuild.exe application and to prevent abuse.