便利なものはあなた以外にとっても便利

MSBuild使ってますか？
MicrosoftのVisual Studioを使ってる人の多くは使っているかもしれません。
MSBuildは開発作業の自動化ツールです。開発物のコンパイルなどの手順をXMLで記述した設定ファイルによって自動化できるものになっています。
よくVisual Studioと一緒に使われたりします。
Makefileのようなものなんだけど、もう少し簡単で、もう少し痒い所に手が届くものとおもってもらって差し支えないと思います。
少し違うかもですが。

もう、なんか、想像できちゃいますよね。
はい、そうです、そのMSBuildが犯罪者さんにとっても便利なことに気が付いてしまいました。
XMLで仕込みをしておきます。
その後、正規の利用者が開発行為の中で開発物のbuildを実施します。
そのタイミングで、ファイルレス攻撃の段取りをMSBuildで行う、というわけです。

MSBuildを使うタイミングは正規の利用者のタイミングなので怪しくないです。
また、そもそもとしてMSBuildはそういうものなので、動作時にいろいろなファイルを読み込んだりするような動きをします。
まさしく「It’s like looking for a needle in a haystack.」な感じがしますよね。

今回観測されている犯罪では、この手法でRemcos RATやQuasar RATやRedLine stealerがファイルレスで展開されています。
Remcosはリモートコントロール機能のあるものでBreaking Securityが販売しています。
Breaking Securityって社名もどうかと思います。
Quasar RATはGitHubで無料で手に入ります。
Quasar RATは.NET FrameworkベースのオープンソースRATです。
RedLine stealerはその名の通り情報盗用ツールです。パスワードなどを持っていかれます。

怖いですね。
これらのことは、1つのXMLを手元に置かれてしまうだけで成り立ってしまいそうです。
注意一秒怪我一生という感じです。
アンチウイルスのソリューションだけではカバーできない感じがします。
注意していきましょう。

参考記事（外部リンク）：MSBuild tool used to deliver RATs filelessly
securityaffairs.co/wordpress/117969/malware/msbuild-delivers-rat.html