Hogyan lehetett volna megelőzni a SolarWinds Supply Chain támadást a MetaDefender™ Sandbox használatával?

A SolarWinds ellátási láncot érintő támadást az Orion IT-kezelési platformban használt legitim DLL (SolarWinds.Orion.Core.BusinessLayer.dll) kompromittálása tette lehetővé. A fenyegető szereplők lopakodva módosították ezt a komponenst, közvetlenül beleágyazva rosszindulatú kódot.

Ami egy apró, ártalmatlan változtatásnak tűnt, néhány feltűnésmentes sorral egy ismerős kódbázisban, végül jelentős veszélyt jelentett. Ez a DLL egy széles körben alkalmazott platform része volt, amelyet mind az állami, mind a magánszektorbeli szervezetek használtak, így a támadás hatósugara példátlan volt.

A veszélyeztetett DLL-ben egy teljesen működőképes hátsó ajtó volt elrejtve, amely nagyjából 4000 sornyi kódból állt össze. Ez a kód a támadóknak titkos hozzáférést biztosított az érintett rendszerekhez, lehetővé téve az áldozatok hálózatai feletti tartós ellenőrzést anélkül, hogy riasztást keltenének.

A támadás egyik legkritikusabb aspektusa az volt, hogy a támadást magában a szoftverkészítési folyamatban helyezték el. A manipulált DLL érvényes digitális aláírással rendelkezett, ami azt jelezte, hogy a támadók behatoltak a SolarWinds szoftverfejlesztő vagy -terjesztő infrastruktúrájába. Ezáltal a rosszindulatú kód megbízhatónak tűnt, és lehetővé tette, hogy kiváltságos műveleteket hajtson végre anélkül, hogy a szabványos biztonsági ellenőrzések beindulnának.

Az észrevétlenség fenntartása érdekében a támadók elkerülték a DLL eredeti funkcióinak megzavarását. A bejuttatott hasznos teher egy könnyű módosításból állt: egy új metódust indított el egy külön szálban, biztosítva, hogy a gazdalkalmazás viselkedése változatlan maradjon. A metódushívást egy meglévő funkcióba, a RefreshInternalba ágyazták be, de a felismerés elkerülése érdekében párhuzamosan hajtották végre.

A hátsó ajtó logikája az OrionImprovementBusinessLayer nevű osztályban volt, amelyet szándékosan választottunk, hogy hasonlítson a legális komponensekre. Ez az osztály tartalmazta a teljes rosszindulatú logikát, beleértve 13 belső osztályt és 16 függvényt. Minden karakterláncot elfedtek, ami jelentősen megnehezítette a statikus elemzést.

A VM-alapú sandboxokkal ellentétben, amelyek könnyen kijátszhatók, a MetaDefender Sandbox utasításszintű emulációt és adaptív fenyegetéselemzést használ. Ez lehetővé teszi a rejtett viselkedések felfedését még akkor is, ha a támadók megpróbálják azokat álcázni.

A sandbox döntő szerepet játszik az ilyen típusú támadások leleplezésében. Annak ellenére, hogy a rosszindulatú DLL digitálisan alá van írva és gondosan úgy van kialakítva, hogy legitim viselkedést imitáljon, a homokozó a bináris szintű anomáliák elemzésével képes felismerni a behelyezett hátsó ajtót.

A YARA-szabályok és a hírnév-ellenőrzések szándékosan ki lettek kapcsolva ehhez a homokszitában végzett vizsgálathoz, hogy szimulálják a SolarWinds-támadás eredeti körülményeit, mivel akkoriban egyik sem volt elérhető.

Futás előtt a Sandbox szétszereli a bináris programokat a beágyazott logika kinyerése érdekében. A SolarWinds esetében ez jelezte volna:

• A nagy, 1096 bájtos statikus tömb, amelyet a folyamat hash-ok rendezésére használnak.
• Tömörített + base64-kódolt karakterláncok, amelyek a rosszindulatú szoftverekre jellemzőek.
• A szokatlan OrionImprovementBusinessLayer osztály és annak titkosított függvényei.

MetaDefender Sandbox 2.4.0 kifejezetten a SolarWindsben használt taktikákkal foglalkozik:

• Kizárólag memóriára korlátozódó hasznos terhelések feltárása → Olyan kódok felismerése, amelyek soha nem írnak a lemezre.
• Control flow deobfuscation for .NET → Tökéletes az olyan obfuszkált DLL-ek kicsomagolásához, mint az Orion.
• Automatizált Base64 dekódolás → Leleplezi a támadók által használt titkosított karakterláncokat.

A legújabb kiadás olyan képességekkel bővül, amelyek közvetlenül a SolarWinds-hez hasonló fenyegetésekhez kapcsolódnak:

• Memory-Only Payload Exposure → felfedte volna a SolarWinds titkos memórián belüli végrehajtását.
• Csomagolt rosszindulatú programok kicsomagolása → Azonosítja a statikus tömbökben elrejtett szakaszos hasznos terheket.
• Pszeudo-rekonstruált binárisok → Lehetővé teszi az elemzők számára, hogy teljes képet kapjanak az obfuszkált DLL-ekről.
• Továbbfejlesztett YARA & Config Extraction → A rosszindulatú programok konfigurációit a titkosítás ellenére is kinyerné.
• .NET Loader kicsomagolása → Közvetlenül kapcsolódik az Orion DLL elhomályosított .NET logikájához.

Miközben elkezdtük írni ezt a cikket, egy új kampányt hoztak nyilvánosságra az npm ökoszisztéma ellátási lánca ellen (az npm a Node.js csomagkezelője, amely lehetővé teszi a JavaScript futtatását a böngészőn kívül). Ez a friss kampány egy "Shai-Hulud" nevű önszaporodó férget érintett, amelynek sikerült több száz szoftvercsomagot kompromittálnia. Ezt az incidenst részletesen elemezte az OPSWAT "From Dune to npm: Shai-Hulud Worm Redefines Supply Chain Risk" című kiadványa .

Ez az új kampány azonban különösen fontos e cikk szempontjából, mivel azt is bizonyítja, hogy a MetaDefender Sandbox észlelési képességei naprakészek és hatékonyak az ellátási láncot érintő veszélyeztetésekkel szemben. Lásd a bundle.js rosszindulatú fájlra vonatkozó jelentésünket, amely érzékeli a könyvtárak obfuszkált kódot használó letöltését, és ezt a tevékenységet "Valószínűleg rosszindulatúnak" minősíti.

a. Gyanúsan homályos osztálynév (OrionImprovementBusinessLayer).

b. Nagy statikus tömbök, amelyek hash-értékekhez kapcsolódnak.

c. Titkosított Base64 karakterláncok.

a. WMI rendszerlekérdezések.

b. Megkísérelt jogosultság-emelési hívások.

c. Rejtett szálak létrehozása az Orion fő munkafolyamatán kívül.

A SolarWinds betörése ébresztő volt, de az ellátási láncot érő támadások száma továbbra is növekszik. A 2025-ös OPSWAT Threat Landscape Report szerint a kritikus infrastruktúra továbbra is kiemelt célpont, és egyre gyakoribbak a fájlalapú, obfuszkált betöltők.

A MetaDefender Sandbox a védők rendelkezésére bocsátja a következőket: