- Bevezetés: A betörés, amely újradefiniálta a kiberbiztonságot
- Hogyan működött a SolarWinds támadása
- Miért maradt ki a hagyományos biztonság
- Hogyan észlelhetteAether ezt a MetaDefender Aether ?
- Hogyan működik egy Adaptive Sandbox Threat Intelligence val Threat Intelligence akadályozta volna meg a támadást
- A MetaDefender Aether .4.0 előnyei
- Esettanulmány: Hogyan működik a Sandbox jelentés hogyan nézett volna ki
- Tanulságok a védők számára: SolarWinds és azon túl
- A Zero-Day védelmi rendszer kiépítése
Bevezetés: A betörés, amely újradefiniálta a kiberbiztonságot
2020 végén a SolarWinds ellátási láncát ért támadás megrázta a kiberbiztonsági közösséget.
A SolarWinds Orion platformjának digitálisan aláírt frissítésébe rosszindulatú kódot juttatva a támadók titkos hozzáférést szereztek több ezer köz- és magánszektorbeli szervezethez. A megbízható szoftverfrissítésnek tűnő szoftver egy olyan hátsó ajtót tartalmazott, amely lehetővé tette a történelem egyik legpusztítóbb kiberkémkedési kampányát.
Ez az eset egy fájdalmas igazságot tárt fel: a szignatúra- és hírnév-alapú védelmi megoldások nem elegendőek zero-day kifinomult, észrevétlen zero-day ellen. De mi lett volna, ha az ellátási láncban szereplő szervezetek bevezették volna OPSWAT MetaDefender Aether?
A legújabb MetaDefender Aether .4.0 verzióval OPSWAT egy adaptív, emulációalapú sandbox OPSWAT sandbox beépítették a fenyegetési információkat, és amely egyedülálló módon képes felismerni azokat a finom eltéréseket is, amelyeket a SolarWinds kártevőprogram el akart rejteni.
Ez a blogbejegyzés részletesen bemutatja, hogyan zajlott le a támadás, és ami még fontosabb, hogy MetaDefender Aether hogyanAether volna megakadályozni azt.
Hogyan működött a SolarWinds támadása
A SolarWinds ellátási láncot érintő támadást az Orion IT-kezelési platformban használt legitim DLL (SolarWinds.Orion.Core.BusinessLayer.dll) kompromittálása tette lehetővé. A fenyegető szereplők lopakodva módosították ezt a komponenst, közvetlenül beleágyazva rosszindulatú kódot.
Ami egy apró, ártalmatlan változtatásnak tűnt, néhány feltűnésmentes sorral egy ismerős kódbázisban, végül jelentős veszélyt jelentett. Ez a DLL egy széles körben alkalmazott platform része volt, amelyet mind az állami, mind a magánszektorbeli szervezetek használtak, így a támadás hatósugara példátlan volt.
A veszélyeztetett DLL-ben egy teljesen működőképes hátsó ajtó volt elrejtve, amely nagyjából 4000 sornyi kódból állt össze. Ez a kód a támadóknak titkos hozzáférést biztosított az érintett rendszerekhez, lehetővé téve az áldozatok hálózatai feletti tartós ellenőrzést anélkül, hogy riasztást keltenének.
A támadás egyik legkritikusabb aspektusa az volt, hogy a támadást magában a szoftverkészítési folyamatban helyezték el. A manipulált DLL érvényes digitális aláírással rendelkezett, ami azt jelezte, hogy a támadók behatoltak a SolarWinds szoftverfejlesztő vagy -terjesztő infrastruktúrájába. Ezáltal a rosszindulatú kód megbízhatónak tűnt, és lehetővé tette, hogy kiváltságos műveleteket hajtson végre anélkül, hogy a szabványos biztonsági ellenőrzések beindulnának.
Az észrevétlenség fenntartása érdekében a támadók elkerülték a DLL eredeti funkcióinak megzavarását. A bejuttatott hasznos teher egy könnyű módosításból állt: egy új metódust indított el egy külön szálban, biztosítva, hogy a gazdalkalmazás viselkedése változatlan maradjon. A metódushívást egy meglévő funkcióba, a RefreshInternalba ágyazták be, de a felismerés elkerülése érdekében párhuzamosan hajtották végre.
A hátsó ajtó logikája az OrionImprovementBusinessLayer nevű osztályban volt, amelyet szándékosan választottunk, hogy hasonlítson a legális komponensekre. Ez az osztály tartalmazta a teljes rosszindulatú logikát, beleértve 13 belső osztályt és 16 függvényt. Minden karakterláncot elfedtek, ami jelentősen megnehezítette a statikus elemzést.

Miért maradt ki a hagyományos biztonság
- A digitális aláírás nem elég: A DLL alá volt írva, így az AV és a végponti eszközök legitimnek tekintették.
- A statikus elemzés nem sikerült: Obfuscation és titkosított karakterláncok álcázták a gyanús logikát.
- A futásidejű ellenőrzések kikerülték az észlelést: A hátsó ajtó lopakodása azt jelentette, hogy csak nagyon speciális feltételek teljesülése esetén váltott ki rendellenességeket.
- Az ellátási lánc vakfoltja: A biztonsági csapatok gyakran megbíztak a szoftverfrissítésekben anélkül, hogy azokat előbb egy sandbox tesztelték volna.
Ez nem csak egy rosszindulatú szoftver volt; ez egy láthatatlanságra tervezett ellátási lánc kompromittálás volt.
Hogyan észlelhetteAether ezt a MetaDefender Aether ?
A könnyen kijátszható, virtuális gépen alapuló sandboxokkal ellentétben MetaDefender Aether utasításszintű emulációt és adaptív fenyegetéselemzéstAether . Ez lehetővé teszi számára, hogy felfedje a rejtett viselkedésmintákat még akkor is, ha a támadók megpróbálják azokat álcázni.
A sandbox döntő szerepet játszik az ilyen típusú támadások felderítésében. Annak ellenére, hogy a rosszindulatú DLL digitálisan alá van írva és gondosan úgy lett kialakítva, hogy a legitim viselkedést utánozza, a sandbox a bináris szinten fellelhető rendellenességek elemzésével sandbox felismerni a beépített hátsóajtót.
A YARA-szabályokat és a hírnév-ellenőrzéseket szándékosan letiltottuk ennek sandbox a keretében, hogy szimuláljuk a SolarWinds-támadás eredeti körülményeit, mivel akkoriban egyik sem állt rendelkezésre.

Tiszta DLL jelentés:
Filescan.IO - Újgenerációs rosszindulatú programok elemzési platformja
Balra látható a törvényes SolarWinds.Orion.Core.BusinessLayer.dll fájl. Jobbra a trójai változat, amely a SolarWinds hírhedt incidenséért felelős.
Vessünk egy pillantást a sandbox által feltárt legfontosabb eredményekre:
- Szövegtitkosítás: a kód egy tipikus, különböző rosszindulatú szoftverekben megtalálható elhomályosítási technikát alkalmaz: tömörítés, majd base64 kódolás.

A WMI-lekérdezéseket általában a rendszer ujjlenyomatának meghatározásához társítják. Ebben az esetben a kapcsolódó karakterláncokat titkosították, hogy elkerüljék a felderítést.

Több mutató a jogosultságok kiterjesztéséhez, a felhasználói identitás meghamisításához és a hozzáférés-szabályozás meghamisításához kötődik.





Egy nagy statikus bájt-tömb (1096 bájt) található a rendszerben, amelyet általában rejtett hasznos adat beágyazására vagy előkészítésére használnak. Ebben az esetben a folyamatnevek hash-értékeit képviselő egész számokat tárol, valószínűleg felderítési vagy szűrési célokra. Mivel sandbox egy ilyen rendellenességet, az elemzők tovább vizsgálhatják az ügyet.

Összefoglalva: egy 4 000 sor kódból álló osztály elsőre nagynak tűnhet, de egy több ezer fájlt tartalmazó nagy szoftverprojektben nagyon könnyen elkerülheti a figyelmünket. Éppen ebben a tekintetben sandbox felbecsülhetetlen értékűnek a sandbox . Rávilágít a szokatlan viselkedésre, és megmutatja az elemzőknek, hol kell keresniük, és mi az, ami valóban fontos.
Hogyan működik egy Adaptive Sandbox Threat Intelligence val Threat Intelligence akadályozta volna meg a támadást
1. Mélyszerkezeti elemzés (DSA)
A futás előtt, Sandbox disassembles binaries to extract embedded logic. A SolarWinds esetében a következőket jelölte volna meg:
- A nagy, 1096 bájtos statikus tömb, amelyet a folyamat hash-ok rendezésére használnak.
- Tömörített + base64-kódolt karakterláncok, amelyek a rosszindulatú szoftverekre jellemzőek.
- A szokatlan OrionImprovementBusinessLayer osztály és annak titkosított függvényei.
2. Következő generációs behatolásgátló motor
MetaDefender Aether .4.0 kifejezetten a SolarWinds-támadás során alkalmazott taktikákra összpontosít:
- Kizárólag memóriára korlátozódó hasznos terhelések feltárása → Olyan kódok felismerése, amelyek soha nem írnak a lemezre.
- Control flow deobfuscation for .NET → Tökéletes az olyan obfuszkált DLL-ek kicsomagolásához, mint az Orion.
- Automatizált Base64 dekódolás → Leleplezi a támadók által használt titkosított karakterláncokat.
3. Threat Intelligence gazdagítása
Az észlelés nem ér véget a sandbox. MetaDefender Aether a MetaDefender Threat Intelligenceszolgáltatással, amely a következőket biztosítja:
- 50B+ IOC (IP-k, URL-ek, domainek, hash-ok) a dúsításhoz.
- Hasonlósági keresés az ismert rosszindulatú programok változatainak felismerésére - még akkor is, ha azok módosításra kerültek.
- Fenyegetés-értékelés, hogy ezt a DLL-t magas súlyosságúnak minősítse.
A MetaDefender Aether .4.0 előnyei
A legújabb kiadás olyan képességekkel bővül, amelyek közvetlenül a SolarWinds-hez hasonló fenyegetésekhez kapcsolódnak:
- Memory-Only Payload Exposure → felfedte volna a SolarWinds titkos memórián belüli végrehajtását.
- Csomagolt rosszindulatú programok kicsomagolása → Azonosítja a statikus tömbökben elrejtett szakaszos hasznos terheket.
- Pszeudo-rekonstruált binárisok → Lehetővé teszi az elemzők számára, hogy teljes képet kapjanak az obfuszkált DLL-ekről.
- Továbbfejlesztett YARA & Config Extraction → A rosszindulatú programok konfigurációit a titkosítás ellenére is kinyerné.
- .NET Loader kicsomagolása → Közvetlenül kapcsolódik az Orion DLL elhomályosított .NET logikájához.
Miközben elkezdtük írni ezt a cikket, egy új kampányt hoztak nyilvánosságra az npm ökoszisztéma ellátási lánca ellen (az npm a Node.js csomagkezelője, amely lehetővé teszi a JavaScript futtatását a böngészőn kívül). Ez a friss kampány egy "Shai-Hulud" nevű önszaporodó férget érintett, amelynek sikerült több száz szoftvercsomagot kompromittálnia. Ezt az incidenst részletesen elemezte az OPSWAT "From Dune to npm: Shai-Hulud Worm Redefines Supply Chain Risk" című kiadványa .
Ez az új kampány azonban különösen releváns a cikk kontextusában, mivel azt is bizonyítja, hogy a MetaDefender Aether észlelési képességei naprakészek és hatékonyak az ellátási láncba való behatolások ellen. Olvassa el jelentésünket a bundle.js nevű rosszindulatú fájlról, amely felismeri a könyvtárak letöltését elrejtett kód használatával, és ezt a tevékenységet „Valószínűleg rosszindulatú” kategóriába sorolja.

A fent említett bejegyzésben ismertetett bevált gyakorlatoknak megfelelően minden nyílt forráskódú függőséget megbízhatatlannak kell tekinteni mindaddig, amíg biztonságuk nem bizonyosodik be. Ha az érintett npm-csomagok frissítéseit előzetesen elemezték volna MetaDefender Aether segítségével, a rosszindulatú és gyanús viselkedést még a terjedésük előtt azonosították volna.
Ezek a funkciók együttesen jól szemléltetik, hogy MetaDefender Aether kifejezetten az olyan rejtőzködési és álcázási technikákraAether kifejlesztve, amelyekre a SolarWinds- és az NPM-támadók támaszkodtak.
Esettanulmány: Hogyan működik a Sandbox jelentés hogyan nézett volna ki
1. Statikus megállapítások
a. Gyanúsan homályos osztálynév (OrionImprovementBusinessLayer).
b. Nagy statikus tömbök, amelyek hash-értékekhez kapcsolódnak.
c. Titkosított Base64 karakterláncok.
2. Dinamikus megállapítások
a. WMI rendszerlekérdezések.
b. Megkísérelt jogosultság-emelési hívások.
c. Rejtett szálak létrehozása az Orion fő munkafolyamatán kívül.
3. Threat Intelligence korreláció
a. A hasonlósági keresés >95%-os egyezést mutat az ismert APT-mintákkal.
b. Az IOC korreláció azonosítja a C2 infrastruktúra átfedéseit.
c. A fenyegetésértékelés a DLL-t "magas biztonságú rosszindulatúnak" minősíti.
Tanulságok a védők számára: SolarWinds és azon túl
A SolarWinds betörése ébresztő volt, de az ellátási láncot érő támadások száma továbbra is növekszik. A 2025-ös OPSWAT Threat Landscape Report szerint a kritikus infrastruktúra továbbra is kiemelt célpont, és egyre gyakoribbak a fájlalapú, obfuszkált betöltők.
MetaDefender Aether a következőketAether a védelmi szakemberek számára:
Zero-Day
Viselkedésérzékelés, amely nem támaszkodik előzetes ismeretekre.
Supply Chain védelme
Minden frissítés, javítás vagy a gyártó által szállított fájl felrobbantható.
jogszabályi megfelelőségbiztosítás
Megfelel a NIST, a NIS2, a HIPAA és a NERC CIP zero-day követelményeinek.
Cselekvőképes intelligencia
Nagy pontosságú IOC-k közvetlenül a SIEM és a SOAR pipelinekbe táplálva.
A Zero-Day védelmi rendszer kiépítése
A SolarWinds ellátási lánc elleni támadás nem volt megakadályozhatatlan – egyszerűen csak észrevétlen maradt. Ha MetaDefender Aether működésbenAether , az elrejtett DLL-t már jóval azelőtt felismertek, dekódolták és jelölték volna, hogy az eljutott volna a termelési környezetekbe.
Manapság, amikor a támadók egyre kifinomultabbá teszik az észlelés elkerülésére irányuló taktikáikat, sandboxing emulációalapú sandboxing már nem sandboxing opcionális sandboxing . Ez képezi minden komoly zero-day stratégia alapját.
MetaDefender Aether .4.0 ésThreat Intelligence OPSWAT Threat Intelligence segítségével a szervezetek átállhatnak a biztonsági incidensekre való reagálásról azok proaktív semlegesítésére – még mielőtt azok bekövetkeznének.
Tudjon meg többet a MetaDefender Aetherről .



