MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1127.001: MSBuild

Злоумышленники могут использовать MSBuild для выполнения кода через легитимную утилиту Windows. MSBuild.exe (Microsoft Build Engine) — это платформа сборки программного обеспечения, используемая в Visual Studio. Она работает с файлами проектов в формате XML, определяющими требования к загрузке и сборке различных платформ и конфигураций.

Злоумышленники могут использовать MSBuild для выполнения вредоносного кода. Возможность встраивания задач в MSBuild, появившаяся в .NET версии 4, позволяет вставлять код на C# или Visual Basic в XML-файл проекта. MSBuild скомпилирует и выполнит встроенную задачу. MSBuild.exe — это подписанный бинарный файл Microsoft, поэтому при его использовании указанным образом он может выполнить произвольный код; таким способом может быть обойден контроль приложений, если выполнение MSBuild.exe разрешено.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_defense_evasion: PT-CR-196: MSBuild_AWL_Bypass: Попытка обойти запрет на запуск приложений c помощью утилиты .NET Framework msbuild.exe (используется для компиляции и выполнения кода)
process_chains_and_logons: PT-CR-1867: Suspicious_MSBuild_Process_Chain: Подозрительная цепочка запуска процессов для приложения MSBuild

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова утилит, чтобы определить происхождение и назначение выполняемого бинарного файла.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов MSBuild.exe. Сопоставляйте недавние вызовы этих бинарных файлов с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность.

Доверенные утилиты разработчика, такие как MSBuild, могут использоваться для выполнения вредоносного кода с повышенным уровнем привилегий. Эта аналитика отслеживает все случаи запуска процесса msbuild.exe, который выполняет любой код на языке C#, записанный в XML-документе, и msxsl.exe, который обрабатывает спецификации XSLT для XML-файлов и выполняет встроенные в XSL-файл сценарии, написанные на различных языках. Как правило, оба этих файла используются только в Visual Studio.

Аналитика 1. MSBuild и msxsl

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688")(Image="C:\Program Files (x86)\Microsoft Visual Studio\\bin\MSBuild.exe" OR Image="C:\Windows\Microsoft.NET\Framework\msbuild.exe" OR Image="C:\users\\appdata\roaming\microsoft\msxsl.exe") ParentImage!="\Microsoft Visual Studio*")

Меры противодействия

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Файл MSBuild.exe может быть не нужен в среде и должен быть удален, если не используется.

IDM1038НазваниеЗащита от выполненияОписание

Используйте контроль приложений, настроенный на блокировку выполнения msbuild.exe, если он не требуется для данной системы или сети, чтобы предотвратить потенциальное использование злоумышленниками. Например, в Windows 10, Windows Server 2016 и более поздних версий для блокировки приложения msbuild.exe и предотвращения злоупотреблений можно применять правила политики управления приложениями в Защитнике Windows (WDAC).