СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
12 апреля
#ИБ

MSBuild в атаках: LOLBins обходят защиту Windows

Кибератакеры все чаще используют двоичные файлы Living Off the Land (LOLBins) для злоупотребления законными инструментами, включая MSBuild.exe — утилиту Windows для разработки, подписанную Microsoft. Такой подход позволяет обходить традиционные механизмы обнаружения, ориентированные на выявление отдельных вредоносных файлов.

Как MSBuild становится инструментом атаки

MSBuild способен внедрять и выполнять произвольный C# code через XML-based project files, что позволяет злоумышленникам запускать вредоносные действия, не оставляя заметного следа вредоносного ПО. Поскольку инструмент имеет легитимный статус, он работает под доверием операционной системы, а значит, его активность сложнее отличить от обычной разработки.

В отчете отмечается, что наглядная демонстрация такого применения произошла в January 2025, когда была проверена техника обхода detection с использованием MSBuild. Для этого требовались лишь project file и source C# file, внутри которых могла скрываться obfuscated payload или shellcode. В результате атакующий мог добиться, например, создания TCP reverse shell.

Особо подчеркивается, что этот метод не был обнаружен даже Windows Defender, что демонстрирует высокую stealth capability атак на основе MSBuild.

February 2026: MSBuild как loader

Еще один конкретный случай атаки, зафиксированный в February 2026, показал роль MSBuild в качестве loader. Атака была запущена через phishing email, после чего MSBuild извлекал вредоносную payload с C2-server, используя Base64-encoded URLs.

После загрузки MSBuild вызывал executable file, который, выглядя легитимным благодаря своей signed nature, незаметно загружал вредоносную DLL library в memory. Такая тактика эффективно маскировала вредоносное поведение, в результате чего и security products, и пользователь воспринимали происходящее как безобидную активность.

Что рекомендуют эксперты

Чтобы минимизировать подобные угрозы, авторы отчета рекомендуют применять multi-layered strategy, основанную на behavioral detection и contextual analysis.

  • Контролировать запуск MSBuild в нехарактерных для него средах разработки.
  • Проверять подозрительную активность, если project files, такие как .csproj или .XML, выполняются вне типичных сценариев использования.
  • Анализировать indicators of compromise, включая частые external communications, быстрые file loads и аномальный запуск subprocesses, например PowerShell.
  • Отслеживать случаи, когда legitimate executable загружает malicious DLL, поскольку это может указывать на abuse of trusted software.

В отчете делается вывод, что именно сочетание законного статуса MSBuild, гибкости C# и возможности скрытной загрузки вредоносных компонентов делает этот инструмент особенно привлекательным для атакующих. В современных условиях защита от таких сценариев требует не только сигнатурного анализа, но и постоянного поведенческого мониторинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: