T1127.001: MSBuild
Злоумышленники могут использовать MSBuild для выполнения кода через легитимную утилиту Windows. MSBuild.exe (Microsoft Build Engine) — это платформа сборки программного обеспечения, используемая в Visual Studio. Она работает с файлами проектов в формате XML, определяющими требования к загрузке и сборке различных платформ и конфигураций.
Злоумышленники могут использовать MSBuild для выполнения вредоносного кода. Возможность встраивания задач в MSBuild, появившаяся в .NET версии 4, позволяет вставлять код на C# или Visual Basic в XML-файл проекта. MSBuild скомпилирует и выполнит встроенную задачу. MSBuild.exe — это подписанный бинарный файл Microsoft, поэтому при его использовании указанным образом он может выполнить произвольный код; таким способом может быть обойден контроль приложений, если выполнение MSBuild.exe разрешено.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
mitre_attck_defense_evasion: PT-CR-196: MSBuild_AWL_Bypass: Попытка обойти запрет на запуск приложений c помощью утилиты .NET Framework msbuild.exe (используется для компиляции и выполнения кода)
process_chains_and_logons: PT-CR-1867: Suspicious_MSBuild_Process_Chain: Подозрительная цепочка запуска процессов для приложения MSBuild
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Monitor for newly executed processes of MSBuild.exe. Compare recent invocations of those binaries with prior history of known good arguments and executed binaries to determine anomalous and potentially adversarial activity. Trusted developer utilities such as MSBuild may be leveraged to run malicious code with elevated privileges. This analytic looks for any instances of msbuild.exe, which will execute any C# code placed within a given XML document; and msxsl.exe, which processes xsl transformation specifications for XML files and will execute a variaty of scripting languages contained within the XSL file. Both of these executables are rarely used outside of Visual Studio. Analytic 1 - MSBuild and msxsl
|
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Monitor executed commands and arguments used before and after invocation of the utilities may also be useful in determining the origin and purpose of the binary being executed. |
---|
Меры противодействия
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | MSBuild.exe may not be necessary within an environment and should be removed if not being used. |
---|
ID | M1038 | Название | Защита от выполнения | Описание | Use application control configured to block execution of |
---|