ハッカーがMSBuild LOLBinを悪用してFileless Windowsサイバー攻撃での検出回避

サイバー攻撃者は、セキュリティ検出を回避するためにLiving Off the Land Binaries (LOLBins)をますます使用しています。合法的なシステムツールを利用することで、これらの攻撃はシグネチャベースの防御を回避し、従来のマルウェアファイルをドロップすることなく動作します。

現在注目を集めているそのようなLOLBinの一つがMSBuild.exeで、Microsoftによって署名されたネイティブWindowsの開発ツールです。

元々はXMLベースのプロジェクトファイルからC#コードをビルドして実行するために設計されていましたが、攻撃者によってメモリから直接任意のペイロードを実行するために悪用され、ステルス性のあるFilelessな侵入につながっています。

MSBuildは攻撃者に3つの大きな利点をもたらします。

まず、悪意のあるC#コードはXMLプロジェクトファイル内にインラインで埋め込まれて直接実行される可能性があります。これにより、スタンドアロンの実行ファイルの作成が回避され、完全にFilelessのペイロード配信が可能になります。

第二に、MSBuildはファイルハンドリング、ネットワーク通信、バイナリコンパイルを含むフル実行機能を提供し、攻撃者が多段階ペイロードを柔軟に展開できるようにします。

最後に、それはMicrosoftの正当なデジタル署名を持っているため、ほとんどのエンドポイントソリューションはその活動を自動的に信頼できるものとして扱い、シグネチャベースの検出をほぼ無意味にします。

MSBuildを使用した検出回避技術

C#ソースコード(main.cs)とプロジェクト設定(main.csproj)の2つのファイルのみを使用して、攻撃者はMSBuildに任意のシェルコードをコンパイルして実行するよう指示できます。

起動時に、MSBuildはDefenderからのアラートを回避しながら、被害者のシステムをリモート攻撃者のマシンに接続するリバースTCPシェルを確立します。

テストにより、リアルタイム保護が有効な場合でも、実行中に警告またはブロックが発生しないことが確認されました。

理由は簡単です：プロセスチェーンが完全に信頼できるコンポーネントで構成されているため、行動の異常が従来の検出ルールに見えなくなります。

攻撃は会議招待を装ったアーカイブ添付ファイルを使用していました。ZIPファイル内で、名前を変更されたMSBuild実行ファイルと悪意のあるプロジェクトファイルが連携して、被害者がそれを知らずに開いたときに感染を開始しました。

MSBuildは同じディレクトリから.csproj ファイルを自動的にロードしました。このファイルには、攻撃者が制御するサーバーに接続し、エンコードされたペイロードをダウンロードし、Windows一時ディレクトリ内のランダムなファイル名の下に保存するインラインスクリプトロジックが含まれていました。

ダウンロードが成功した後、MSBuildはDLLサイドロードを実行する一見正当なプログラムを実行しました：同じパス内の悪意のあるDLLがメモリにロードされ、PlugXが隠密に実行されました。

署名付きバイナリ、MSBuildロジック、およびDLLインジェクションを組み合わせたこの階層化されたアプローチにより、攻撃は通常のWindowsの動作と完全に混合することができました。エンドポイントおよびアンチウイルスソフトウェアの両方が、実行チェーンを正当なものとして認識していました。

MSBuildベースの攻撃から防御するには、静的シグネチャチェックを超えたコンテキスト認識型の監視が必要です。

MSBuildはFilelessな攻撃チェーンの強力なLOLBinになっています。その信頼できるステータス、インラインスクリプト機能、および自動ロードメカニズムは、攻撃者にステルス性と機能的な汎用性の両方をもたらします。

悪用の増加傾向は、防御者にとって重大な転換を浮き彫りにします：行動コンテキストとプロセス間の関係の監視は、単純なシグネチャ検証よりも重要になる必要があります。

LOLBin技術が進化するにつれて、プロアクティブな脅威ハンティングとポリシー施行は、Windows環境を保護するために不可欠であり続けます。