det0556-behavior-chain-detection-strategy-for-t1127001-trusted-developer-utiliti

# DET0556 — Behavior-chain detection strategy for T1127.001 Trusted Developer Utilities Proxy Execution: MSBuild (Windows) ## Descrição O abuso do MSBuild ([[t1127-001-msbuild|T1127.001 — MSBuild]]) é uma técnica de execução por proxy onde adversários utilizam o Microsoft Build Engine (`MSBuild.exe`), uma ferramenta legítima e assinada pela Microsoft presente em toda instalação do .NET Framework, para compilar e executar código C# ou VB.NET malicioso embutido em arquivos de projeto XML (`.csproj`, `.vbproj`, `.xml`). Como o MSBuild é um binário confiável (trusted) e assinado digitalmente, sua execução frequentemente bypassa controles de application whitelisting como AppLocker e Windows Defender Application Control (WDAC), tornando-o um vetor popular de living-off-the-land (LOLBin). Esta estratégia adota uma abordagem de behavior chain (cadeia comportamental), correlacionando múltiplos indicadores ao longo da kill chain em vez de depender de um único evento. A cadeia típica inclui: (1) entrega de arquivo `.csproj`/`.xml` via email ou download, (2) execução de `MSBuild.exe` com parâmetros atípicos por processo pai suspeito (Explorer, Outlook, browser), (3) MSBuild compilando e carregando assembly .NET em memória, (4) o assembly executando ações maliciosas como download de payload, injeção em processo, ou conexão C2. A telemetria requerida inclui Sysmon Event ID 1 (Process Creation) para capturar a cadeia de processos, Event ID 7 (Image Loaded) para DLLs carregadas pelo MSBuild, e Event ID 3 (Network Connection) para conexões de rede originadas pelo MSBuild. No contexto LATAM, o abuso de MSBuild tem sido observado em campanhas de spear-phishing direcionadas a organizações governamentais e do setor financeiro no Brasil e no México. Adversários enviam documentos com macros que invocam MSBuild para compilar e executar payloads, evitando detecção por soluções de endpoint que confiam em binários Microsoft assinados. A implementação desta cadeia comportamental no SIEM, correlacionando a execução de MSBuild por processos não-IDE (fora do Visual Studio) com atividade de rede subsequente, é um controle de alta eficácia para SOCs que enfrentam campanhas de LOLBin na região. ## Indicadores de Detecção - Execução de `MSBuild.exe` com processo pai diferente de `devenv.exe` (Visual Studio), `dotnet.exe` ou sistema de build CI/CD autorizado - `MSBuild.exe` executado a partir de diretórios atípicos: linha de comando referênciando arquivo `.csproj`/`.xml` em `%TEMP%`, `%APPDATA%`, `Downloads` ou `C:\Users\Public\` - Conexão de rede (Sysmon Event ID 3) originada por `MSBuild.exe` para endereço IP externo — comportamento completamente atípico para builds legítimos - `MSBuild.exe` carregando assemblies .NET de diretórios não-padrão (fora de `C:\Windows\Microsoft.NET\` e diretórios de projeto de desenvolvimento) - Processo filho de `MSBuild.exe` que não é `csc.exe`, `vbc.exe` ou `resgen.exe` — especialmente shells (`cmd.exe`, `powershell.exe`) ou ferramentas de rede - Arquivo `.csproj` ou `.xml` criado em diretório de usuário seguido de execução de MSBuild dentro de janela de 60 segundos (indicando drop-and-execute) ## Técnicas Relacionadas - [[t1127-001-msbuild|T1127.001 — MSBuild]] — técnica principal coberta por esta estratégia - [[t1127-trusted-developer-utilities-proxy-execution|T1127 — Trusted Developer Utilities Proxy Execution]] — família de abuso de ferramentas de desenvolvedor - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] — técnica relacionada de execução via binários de sistema confiáveis - [[t1059-001-powershell|T1059.001 — PowerShell]] — frequentemente invocado como passo seguinte na cadeia após MSBuild - [[t1055-process-injection|T1055 — Process Injection]] — técnica complementar executada pelo assembly compilado pelo MSBuild ## Analytics Relacionadas - [[an1535-analytic-1535|AN1535 — Analytic 1535]] --- *Fonte: [MITRE ATT&CK — DET0556](https://attack.mitre.org/detectionstrategies/DET0556)*