Lale Çorumlu

Yakın zamanda gözlemlenen kötü amaçlı kampanyalar, güvenliği ihlal edilmiş makinelerde bir Cobalt Strike yükü yürütmek için Microsoft Build Engine'i (MSBuild) kötüye kullandı.

Windows'ta uygulama oluşturmak için tasarlanan MSBuild, proje oluşturma sırasında yürütülen bileşenleri belirlemek için 'Görevler' adlı bir proje dosyası öğesi kullanır ve tehdit aktörleri, MSBuild olarak gizlenmiş kötü amaçlı kodu çalıştırmak için bu Görevleri kötüye kullanır.

Morphus Labs güvenlik araştırmacısı ve SANS İnternet Fırtına Merkezi (ISC) işleyicisi Renato Marinho, geçtiğimiz hafta boyunca, kod yürütme için MSBuild'i kötüye kullanan iki farklı kötü amaçlı kampanyanın gözlemlendiğini söylüyor.

Tehdit aktörleri tipik olarak geçerli bir uzak masaüstü protokolü (RDP) hesabı kullanarak hedef ortama erişim sağlar, yanal hareket için uzak Windows Hizmetlerinden (SCM) yararlanır ve Cobalt Strike Beacon yükünü yürütmek için MSBuild'i kötüye kullanır.

Kötü niyetli MSBuild projesi, sırayla Cobalt Strike'ı çözen ve yürüten belirli C# kodunu derlemek ve yürütmek için tasarlanmıştır.

Marinho ayrıca, saldırıda Beacon'ın gerçekten kullanıldığını doğruladıktan sonra, SSL şifreli komuta ve kontrol (C&C) sunucusuyla iletişimin şifresini de çözebildiğini söylüyor.

Araştırmacı ayrıca, kuruluşların bu tür saldırılardan korunmak için Windows Defender Uygulama Denetimi (WDAC) politikasını, diğer kodların yürütülmesine izin verebilecek Microsoft imzalı uygulamaları engelleyecek şekilde ayarlaması gerektiğini de belirtiyor. MSBuild, bu tür uygulamaların bir listesini oluşturur.

"MSBuild.exe için bir not var, ancak sistem yönetilen uygulamalar oluşturmak için bir geliştirme bağlamında kullanılıyorsa, önerinin kod bütünlüğü ilkelerinde MSBuild.exe'ye izin verilmesi olduğuna dair bir not var," diye bitiriyor Marinho.

Kaynak: https://www.securityweek.com/threat-actors-abuse-msbuild-cobalt-strike-beacon-execution