Microsoft Build Engine 悪用キャンペーンを観測:Cobalt Strike Beacon が実行されている

Threat Actors Abuse MSBuild for Cobalt Strike Beacon Execution

2021/12/28 SecurityWeek — 最近に観測された悪質なキャンペーンにおいて、Microsoft Build Engine (MSBuild) を悪用し、侵入したマシン上で Cobalt Strike ペイロードを実行するものがあった。Windows 上でアプリケーションを作成するために設計された MSBuild は、Tasks と呼ばれるプロジェクト・ファイルの要素を用いて、プロジェクトの構築中に実行されるコンポーネントを指定する。

Morphus Labs のセキュリティ研究者であり、SANS Internet Storm Center (ISC) の Handler である Renato Marinho によると、過去1週間で、MSBuild を悪用してコードを実行する2種類の悪意のキャンペーンが観察されている。脅威アクターたちは、有効な RDP アカウントを用いてターゲット環境にアクセスし、リモート Windows Services (SCM) を利用して横方向へ移動し、MSBuild を悪用してCobalt Strike Beacon ペイロードを実行する。

悪意の MSBuild プロジェクトは、特定の C# コードをコンパイルして実行し、それがCobalt Strike をデコードして実行するように設計されていた。Renato Marinho は、Beacon が攻撃に使用されていることを確認した後に、Command and Control (C&C) サーバーとの通信を復号化できたと述べている。

このような攻撃から身を守るためには、Windows Defender Application Control (WDAC) ポリシーを設定して、他のコードの実行を可能にする Microsoft 署名入りアプリケーションを、ブロックする必要があると研究者は指摘している。MSBuild は、そのようなアプリケーションのリストを作成する。

Marinho は、「しかし、MSBuild.exe には注意点がある、このシステムが、マネージド・アプリケーションを構築する開発環境で使用されている場合は、コード整合性ポリシーで MSBuild.exe を許可することが推奨される」と結論付けている。

MSBuild の悪用に関する記事としては、2021年5月に「Microsoft Build Engine を悪用する Filelessly なマルウェア拡散の手法とは?」がポストされていました。そこには、「MSBuild を悪用すれば、マシンを侵害するための悪意のファイルは不要となり、正規のアプリケーションを踏み台にして攻撃コードをメモリにロードできるため、レーダーによる探知や検出をくぐり抜けてしまう」と記されており、高スティルス性のマルウェアが懸念されると述べられていました。

%d bloggers like this: