[Ahnlab] 개발 도구가 공격 도구로, MSBuild 악용 사례 분석

개발 도구가 공격 도구로, MSBuild 악용 사례 분석

개발 도구가 공격 도구로, MSBuild 악용 사례 분석

---

• MSBuild란 마이크로소프트(Microsoft)가 만든 윈도우용 정상 개발 도구로 개발자들이 코드를 프로그램으로 만들 때 쓰는 도구. 그러나 해커들은 다음 3가지 이유로 해당 도구들을 악용함.
  • 파일리스 공격: 악성 '파일'을 컴퓨터에 따로 설치하지 않고, MSBuild의 프로젝트 파일 안에 악성 코드만 끼워 넣어 실행. 눈에 보이는 파일이 없으니 보안 프로그램의 검사를 피하기 쉬움.
  • 다양한 기능 확장성: 파일 로드, 네트워크 통신, 바이너리 빌드 및 실행 등 해킹에 필요한 핵심 기능들을 모두 포함.
  • 마이크로소프트의 디지털 서명이 적용된 정상 바이너리: MSBuild.exe는 마이크로소프트의 공식 서명이 들어간 믿을 수 있는 프로그램이기 때문에 백신 프로그램들이 의심 없이 코드 서명 검증을 통과시켜 버릴 수 있음.
• MSBuild를 이용한 탐지 우회 공격 기법
  • 2025년 1월, Michał Walkowski의 블로그를 통해 MSBuild를 활용한 Windows 11 Defender 탐지 우회 기법이 소개. 이를 바탕으로 실제 환경에서 동일한 방식의 동작 여부를 검증한 결과, 보안 솔루션의 탐지를 회피할 수 있음이 확인.
  • 공격자는 main.csproj와 main.cs와 같은 프로젝트 파일과 C# 소스 파일만으로 공격을 구성할 수 있음. 예를 들어 main.csproj에는 main.cs를 컴파일해 실행하도록 설정돼 있으며, main.cs에는 공격자 시스템과 연결되는 TCP 리버스 셸 기능이 포함. MSBuild 실행 시 해당 프로젝트가 로드되면서 공격자 서버와의 연결이 이루어짐.
• 실제 공격 사례: MSBuild 다운로더와 DLL 사이드로딩
  • 2026년 2월, Lab52 블로그에서 공개된 사례로, 공격자가 회의 초대나 업무 문서로 위장한 압축 파일을 첨부함. 압축 파일 내부에는 정상 서명이 포함된 실행 파일과 프로젝트 파일이 함께 포함되어 있는데, 특히 실행 파일은 마이크로소프트 서명이 적용된 MSBuild.exe의 이름을 문서 파일처럼 보이도록 변경해 사용자의 의심을 줄임.
  • 사용자가 해당 실행 파일을 클릭 시, MSBuild의 기본 동작 특성에 따라 동일 경로에 존재하는 프로젝트 파일(.csproj)이 자동으로 탐색로드 됨. 이 때 사용자에게 인지되지 않는 수준으로 자연스럽게 이뤄짐.
  • 프로젝트 파일 내부의 C# 스크립트가 외부 C2 서버와 통신해 추가 파일을 다운로드. 이 때 해당 추가 파일은 사용자가 자주 사용하지 않는 경로에 저장되고 파일명에 무작위 문자열을 사용해 수동 분석을 어렵게 함.
  • 다운로드 완료 이후, MSBuild는 첫 번째 실행 파일을 자동으로 실행시키게 되는데,  실행 파일이 동작하는 과정에서 동일한 디렉터리에 악성 DLL을 함께 로드함. 해당 악성 DLL은 메모리로 로드되며, 최종 악성코드 실행이 이뤄짐.
• 공격 대응 방안
  • MSBuild 기반 공격은 단일 IoC만으로 식별하기 어렵기 때문에, 행위와 맥락을 중심으로 한 다계층 탐지 전략이 필요.
  • 수상한 행동을 감시하거나 파일 실행 위치 확인 등 평소와 다른 점이 발견된다면 해당 프로그램을 종합적으로 분석.