سواستفاده از MSBuild برای اجرای بدافزار Cobalt Strike
اخبار داغ فناوری اطلاعات و امنیت شبکه
در کمپینهای مخربی که به تازگی مشاهده شدهاند، از Microsoft Build Engine (MSBuild) برای اجرای payload متعلق به Cobalt Strike بر روی دستگاههای آسیب دیده سواستفاده گردیده است.
اساساً MSBuild که برای ایجاد برنامههای کاربردی در ویندوز طراحی شده است، از یک عنصر فایل پروژه به نام «Tasks» برای تعیین مؤلفههایی که در حین ساخت پروژه اجرا میشوند، استفاده میکند و عوامل تهدید از این Taskها برای اجرای کدهای مخرب در قالب MSBuild سواستفاده میکنند.
محقق امنیتی Morphus Labs و مدیر مرکز SANS Internet Storm (ISC) رناتو مارینیو اعلام کرد که دو کمپین مخرب مختلف مشاهده شده است که از MSBuild برای اجرای کد سواستفاده میکردهاند.
عوامل تهدید معمولاً با استفاده از یک حساب پروتکل دسکتاپ راه دور معتبر (RDP) به محیط هدف دسترسی پیدا میکنند، از خدمات ویندوز از راه دور (SCM) برای تحرکات جانبی استفاده میکنند و از MSBuild برای اجرای payload متعلق به Cobalt Strike Beacon سواستفاده مینمایند.
پروژه مخرب MSBuild برای کامپایل و اجرای کدهای C# بخصوصی طراحی شده است که به نوبه خود Cobalt Strike را رمزگشایی و اجرا میکند.
مارینیو همچنین میگوید که پس از تأیید اینکه واقعاً از Beacon در این حمله استفاده شده است، او میتواند ارتباط با سرور command-and-control (C&C) را که رمزگذاری SSL شده بود، رمزگشایی نماید.
این محقق همچنین خاطرنشان کرد که برای محافظت از چنین حملاتی، سازمانها باید سیاست Windows Defender Application Control (WDAC) را تنظیم کنند تا برنامههای تأیید شده توسط مایکرؤسافت را که میتوانند امکان اجرای کدهای دیگر را فراهم کنند، مسدود کنند. MSBuild لیستی از این برنامهها را ارائه داده است.
مارینیو در پایان بیان داشت: «یک نکته در MSBuild.exe وجود دارد که اگر از سیستم در زمینه توسعه برای ساخت برنامههای مدیریتشده استفاده میگردد، توصیه میشود که MSBuild.exe در پالیسیهای یکپارچه کد مجاز قرار گیرد».
برچسب ها: Windows Defender Application Control, WDAC, Tasks, SCM, Cobalt Strike Beacon, Cobalt Strike, Payload, Microsoft Build Engine, MSBuild, cybersecurity, RDP, windows, ویندوز, مایکروسافت, امنیت سایبری, Cyber Attacks, حمله سایبری