MSBuild.exeは、明らかなマルウェアバイナリをドロップするのではなく、信頼できる開発者ツールを悪用することで、最新のWindowsシステムにステルスなファイルレス侵入を可能にする高値のLOLBinとして登場しています。
MSBuild(Microsoft Build Engine)は、正規のMicrosoft署名付きコンポーネントで、.csprojなどのXMLベースのプロジェクトファイルから.NETアプリケーションをビルドするために使用されます。WindowsとVisual Studioに付属しているため、セキュリティツールとホワイトリストポリシーは通常、信頼できるプロセスとして扱います。
2025年1月、公開されたProof of Conceptは、悪意のあるMSBuildプロジェクトがWindows Defenderのリアルタイム保護が沈黙したままWindows 11でTCPリバースシェルを確立できることを示し、ディスク上に明示的なマルウェアファイルなしで実用的なAV回避を実証しました。
このテストでは、main.csprojプロジェクトはmain.csをmain.exeにコンパイルして即座に実行し、C#コードは攻撃者のマシンに接続するシェルコードをロードしました。
2026年2月、研究者はMSBuildがPlugXのダウンローダーとして機能したフィッシングキャンペーンを文書化し、MSBuildの悪用をDLLサイドローディングと組み合わせてペイロードをステルスに配信しました。
被害者は会議招待状またはビジネス文書に偽装したメール添付ファイルを受け取りました。アーカイブ内では、正当に署名された実行ファイルとプロジェクトファイルがバンドルされ、実行ファイルは文書に見えるように名前を変更され、疑いを減らしました。
埋め込まれたインラインC#スクリプトは攻撃者が制御するURL(Base64文字列として保存)に接続し、3つのペイロードをランダムなファイル名を持つ一時ディレクトリにダウンロードして最初のバイナリを実行し、後のサイドローディング用に特別に命名されたDLLとデータファイルをドロップしました。
最初のバイナリも署名されており、明らかに正当であったため、防御側は自分のディレクトリからDLLをロードする通常のプロセスのみを見るでしょう。これはDLLサイドローディングによってメモリで悪意のあるコードを実行するために悪用される一般的なパターンです。
翻訳元: https://cyberpress.org/msbuild-fuels-fileless-intrusions/
