MSBuild użyty do uruchomienia Cobalt Strike Beacons

Beacon to ładunek Cobalt Strike mający na celu modelowanie zaawansowanego aktora. Beacon wykonuje skrypty PowerShell, rejestruje naciśnięcia klawiszy, wykonuje zrzuty ekranu, pobiera pliki i tworzy inne złosliwe ładunki.

Ostatnio zaobserwowano, że w złośliwych kampaniach wykorzystywany jest Microsoft Build Engine (MSBuild) do ukrycia kodu Cobalt Strike – to dobrze znane narzędzie do przeprowadzania testów penetracyjnych, weryfikujących, czy dana sieć komputerowa jest bezpieczna.

MSBuild to narzędzie do kompilacji, które pomaga w automatyzacji procesu tworzenia oprogramowania, w tym kompilacji kodu źródłowego, pakowania, testowania, wdrażania i tworzenia dokumentacji. Tworzenie projektów i rozwiązań programu Visual Studio za pomocą programu MSBuild jest możliwe, nawet jeśli środowisko IDE programu Visual Studio nie jest zainstalowane. MSBuild to bezpłatne oprogramowanie o otwartym kodzie źródłowym. MSBuild był wcześniej dołączony do .NET Framework; jednak począwszy od programu Visual Studio 2013, jest teraz dołączany do programu Visual Studio. MSBuild jest funkcjonalnym zamiennikiem narzędzia nmake, które nadal jest używane w projektach utworzonych w poprzednich edycjach programu Visual Studio.

MSBuild, został zaprojektowany do tworzenia aplikacji dla systemów MS Windows, wykorzystuje element pliku projektu o nazwie „Zadania” do oznaczania komponentów, które są wykonywane podczas tworzenia projektu, a cyberprzestępcy wykorzystują te zadania do uruchamiania złośliwego kodu podszywającego się pod MSBuild. Renato Marinho, badacz bezpieczeństwa z Morphus Labs i pracownik SANS Internet Storm Center (ISC) stwierdzili, że w zeszłym tygodniu odkryto dwie różne złośliwe kampanie wykorzystujące program MSBuild do wykonywania złośliwego kodu.

Zagrożenia często uzyskują dostęp do środowiska docelowego za pomocą prawdziwego konta protokołu zdalnego pulpitu (RDP), a następnie wykorzystują zdalne usługi systemu Windows (SCM) do ruchu bocznego i MSBuild do wykonywania kodu Cobalt Strike Beacon. Niebezpieczny projekt MSBuild został stworzony w celu budowania i uruchamiania określonego kodu C#, który następnie dekoduje i wykonuje kod Cobalt Strike.

Renato Marinho ponadto twierdzi, że po potwierdzeniu, że w ataku wykorzystano Beacon, był on w stanie odszyfrować szyfrowaną komunikację SSL z serwerem dowodzenia (C&C). Aby uniknąć takich ataków, Marinho zaleca, aby przedsiębiorstwa korzystały z zasad Windows Defender Application Control (WDAC) w celu ograniczenia aplikacji podpisanych przez Microsoft, które potencjalnie umożliwiają wykonanie innego złośliwego oprogramowania.

„Jest jednak uwaga dotycząca MSBuild.exe, jeśli system jest używany w kontekście programistycznym do tworzenia zarządzanych aplikacji, zaleca się, aby zezwolić na MSBuild.exe w zasadach integralności kodu” – Renato podsumował Marinho.