MSBuild в атаках: LOLBins обходят защиту Windows

Кибератакеры все чаще используют двоичные файлы Living Off the Land (LOLBins) для злоупотребления законными инструментами, включая MSBuild.exe — утилиту Windows для разработки, подписанную Microsoft. Такой подход позволяет обходить традиционные механизмы обнаружения, ориентированные на выявление отдельных вредоносных файлов.

Как MSBuild становится инструментом атаки

MSBuild способен внедрять и выполнять произвольный C# code через XML-based project files, что позволяет злоумышленникам запускать вредоносные действия, не оставляя заметного следа вредоносного ПО. Поскольку инструмент имеет легитимный статус, он работает под доверием операционной системы, а значит, его активность сложнее отличить от обычной разработки.

В отчете отмечается, что наглядная демонстрация такого применения произошла в January 2025, когда была проверена техника обхода detection с использованием MSBuild. Для этого требовались лишь project file и source C# file, внутри которых могла скрываться obfuscated payload или shellcode. В результате атакующий мог добиться, например, создания TCP reverse shell.

Особо подчеркивается, что этот метод не был обнаружен даже Windows Defender, что демонстрирует высокую stealth capability атак на основе MSBuild.

February 2026: MSBuild как loader

Еще один конкретный случай атаки, зафиксированный в February 2026, показал роль MSBuild в качестве loader. Атака была запущена через phishing email, после чего MSBuild извлекал вредоносную payload с C2-server, используя Base64-encoded URLs.

После загрузки MSBuild вызывал executable file, который, выглядя легитимным благодаря своей signed nature, незаметно загружал вредоносную DLL library в memory. Такая тактика эффективно маскировала вредоносное поведение, в результате чего и security products, и пользователь воспринимали происходящее как безобидную активность.

Что рекомендуют эксперты

Чтобы минимизировать подобные угрозы, авторы отчета рекомендуют применять multi-layered strategy, основанную на behavioral detection и contextual analysis.

• Контролировать запуск MSBuild в нехарактерных для него средах разработки.
• Проверять подозрительную активность, если project files, такие как .csproj или .XML, выполняются вне типичных сценариев использования.
• Анализировать indicators of compromise, включая частые external communications, быстрые file loads и аномальный запуск subprocesses, например PowerShell.
• Отслеживать случаи, когда legitimate executable загружает malicious DLL, поскольку это может указывать на abuse of trusted software.

В отчете делается вывод, что именно сочетание законного статуса MSBuild, гибкости C# и возможности скрытной загрузки вредоносных компонентов делает этот инструмент особенно привлекательным для атакующих. В современных условиях защита от таких сценариев требует не только сигнатурного анализа, но и постоянного поведенческого мониторинга.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "MSBuild в атаках: LOLBins обходят защиту Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.