T1127.001: MSBuild
Злоумышленники могут использовать MSBuild для выполнения кода через легитимную утилиту Windows. MSBuild.exe (Microsoft Build Engine) — это платформа сборки программного обеспечения, используемая в Visual Studio. Она работает с файлами проектов в формате XML, определяющими требования к загрузке и сборке различных платформ и конфигураций.
Злоумышленники могут использовать MSBuild для выполнения вредоносного кода. Возможность встраивания задач в MSBuild, появившаяся в .NET версии 4, позволяет вставлять код на C# или Visual Basic в XML-файл проекта. MSBuild скомпилирует и выполнит встроенную задачу. MSBuild.exe — это подписанный бинарный файл Microsoft, поэтому при его использовании указанным образом он может выполнить произвольный код; таким способом может быть обойден контроль приложений, если выполнение MSBuild.exe разрешено.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-196: MSBuild_AWL_Bypass: Попытка обойти запрет на запуск приложений c помощью утилиты .NET Framework msbuild.exe (используется для компиляции и выполнения кода)
process_chains_and_logons: PT-CR-1867: Suspicious_MSBuild_Process_Chain: Подозрительная цепочка запуска процессов для приложения MSBuild
Способы обнаружения
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые использовались до и после вызова утилит, чтобы определить происхождение и назначение выполняемого бинарного файла. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов MSBuild.exe. Сопоставляйте недавние вызовы этих бинарных файлов с историей запуска допустимых бинарных файлов и их аргументов, чтобы выявить аномальную и потенциально вредоносную активность. Доверенные утилиты разработчика, такие как MSBuild, могут использоваться для выполнения вредоносного кода с повышенным уровнем привилегий. Эта аналитика отслеживает все случаи запуска процесса msbuild.exe, который выполняет любой код на языке C#, записанный в XML-документе, и msxsl.exe, который обрабатывает спецификации XSLT для XML-файлов и выполняет встроенные в XSL-файл сценарии, написанные на различных языках. Как правило, оба этих файла используются только в Visual Studio. Аналитика 1. MSBuild и msxsl
|
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Файл MSBuild.exe может быть не нужен в среде и должен быть удален, если не используется. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Используйте контроль приложений, настроенный на блокировку выполнения |
---|