Lạm dụng MSBuild: Kỹ thuật tấn công fileless nguy hiểm

Các tác nhân đe dọa đang ngày càng chuyển sang sử dụng những công cụ có sẵn trong Windows để thực hiện tấn công, trong đó việc lạm dụng MSBuild.exe đã trở thành một kỹ thuật phổ biến. Tiện ích build này, được Microsoft ký số và tin cậy bởi hệ điều hành, hiện đang bị vũ khí hóa để chạy mã độc mà không cần ghi file thực thi truyền thống xuống đĩa.

Lạm dụng MSBuild: Kỹ thuật tấn công Fileless trên Windows

MSBuild.exe ban đầu được thiết kế để hỗ trợ các nhà phát triển phần mềm biên dịch và xây dựng ứng dụng bằng các tệp dự án dựa trên XML. Vì nó mang chữ ký số hợp lệ của Microsoft, hầu hết các giải pháp bảo mật đều mặc định xem nó là an toàn.

Kẻ tấn công đã tận dụng triệt để sự tin cậy này, sử dụng nó để chèn mã C# độc hại trực tiếp vào các tệp dự án và thực thi trong bộ nhớ. Kỹ thuật này gần như không để lại dấu vết trên hệ thống tệp, khiến các cuộc tấn công fileless trở nên vô hình trước các công cụ phát hiện dựa trên chữ ký truyền thống.

MSBuild dưới góc nhìn của một LOLBin

Các nhà phân tích từ ASEC đã xác định và ghi nhận hai kịch bản tấn công thực tế, nơi MSBuild bị lạm dụng như một Living Off the Land Binary (LOLBin). Đây là một phương pháp tấn công mạng tinh vi, sử dụng chính các công cụ hợp pháp của hệ điều hành để thực hiện hành vi độc hại.

Phân tích các chiến dịch lạm dụng MSBuild

Hai chiến dịch được ghi nhận đã chứng minh khả năng của MSBuild trong việc thực thi các hành vi nguy hiểm mà không bị phát hiện.

Kịch bản 1: Thiết lập Reverse Shell

Chiến dịch đầu tiên, được quan sát vào tháng 1 năm 2025, cho thấy MSBuild có thể thiết lập một kết nối TCP reverse shell. Đáng chú ý, hành động này hoàn toàn không kích hoạt bất kỳ cảnh báo nào từ Windows 11 Defender, ngay cả khi chế độ giám sát thời gian thực được bật.

Kịch bản 2: Downloader kết hợp DLL Sideloading

Chiến dịch thứ hai, được phát hiện vào tháng 2 năm 2026, phức tạp hơn. Trong kịch bản này, kẻ tấn công sử dụng MSBuild như một downloader để tải các tệp độc hại từ một máy chủ điều khiển và chỉ huy (C2) bên ngoài, kết hợp với kỹ thuật DLL sideloading.

Chuỗi tấn công chi tiết

Chiến dịch tấn công vào tháng 2 năm 2026 đã cho thấy rõ cách thức hoạt động của mối đe dọa này trong thực tế. Cuộc tấn công bắt đầu bằng một email lừa đảo chứa một tệp nén đính kèm, được ngụy trang thành lời mời họp hoặc tài liệu liên quan đến công việc.

• Giai đoạn 1: Xâm nhập ban đầu
  Bên trong tệp lưu trữ, nạn nhân tìm thấy một tệp trông giống như một tài liệu nhưng thực chất là một bản sao của MSBuild.exe đã được đổi tên. Tệp này vẫn giữ chữ ký số gốc của Microsoft để tránh gây nghi ngờ.
• Giai đoạn 2: Thực thi tự động
  Khi nạn nhân mở tệp, hành vi mặc định của MSBuild sẽ được kích hoạt. Nó tự động quét cùng thư mục để tìm một tệp dự án (.csproj) và tải nó mà không yêu cầu bất kỳ tham số dòng lệnh nào từ người dùng.
• Giai đoạn 3: Tải mã độc
  Tệp dự án này chứa một script C# inline với các URL được mã hóa Base64 trỏ đến máy chủ C2. Script sẽ giải mã các URL và tải xuống ba tệp: một tệp thực thi có tên ngẫu nhiên, một DLL tên là Avk.dll và một tệp dữ liệu tên AVKTray.dat, tất cả được lưu trữ trong thư mục tạm của hệ thống.
• Giai đoạn 4: DLL Sideloading
  Sau khi tải xuống, MSBuild tự động chạy tệp thực thi. Tệp này, cũng mang chữ ký số hợp lệ, sẽ tải DLL độc hại Avk.dll từ cùng thư mục thông qua kỹ thuật DLL sideloading, tiêm mã của kẻ tấn công trực tiếp vào bộ nhớ.

Tại sao kỹ thuật này hiệu quả?

Sức hấp dẫn của việc lạm dụng MSBuild đối với kẻ tấn công nằm ở ba điểm mạnh cốt lõi. Thứ nhất, nó có thể thực thi mã C# inline trong các tệp dự án, loại bỏ nhu cầu về một tệp thực thi độc hại độc lập.

Thứ hai, nó hỗ trợ tải tệp, giao tiếp mạng và thực thi nhị phân—tất cả những gì kẻ tấn công cần. Cuối cùng, vì nó được Microsoft ký số, nó dễ dàng vượt qua các bước kiểm tra xác minh chữ ký mã mà nhiều công cụ bảo mật điểm cuối dựa vào.

Rủi ro và tác động

Các tổ chức chỉ dựa vào phần mềm diệt virus truyền thống hoặc phát hiện dựa trên chữ ký phần lớn không thể nhận diện các kỹ thuật này. Bản chất tấn công fileless đồng nghĩa với việc có rất ít bằng chứng pháp lý được để lại trên đĩa, khiến việc phân tích và điều tra trở nên khó khăn hơn.

Chiến lược phát hiện và giảm thiểu

Để phòng chống các cuộc tấn công dựa trên MSBuild, các đội ngũ bảo mật cần áp dụng các biện pháp giám sát nâng cao. Một phương pháp tiếp cận phát hiện đa lớp, dựa trên hành vi thay vì chỉ phụ thuộc vào chữ ký tệp, vẫn là cách đáng tin cậy nhất.

Các biện pháp cụ thể bao gồm:

• Giám sát việc thực thi MSBuild.exe bên ngoài môi trường phát triển thông thường.
• Gắn cờ các tệp .csproj chạy từ các thư mục tạm thời hoặc thư mục tải xuống.
• Theo dõi các kết nối mạng ra ngoài được thực hiện bởi tiến trình MSBuild.
• Phát hiện các mẫu DLL sideloading, nơi các tệp thực thi được ký hợp lệ tải các DLL bất thường.