Naplófájlok, riasztások és telemetriai adatok továbbítása adatdiódán keresztül

Tudja meg, hogyan
A nem angol nyelvű oldalak fordításokhoz AI-t használunk, és bár törekszünk a pontosságra, nem biztos, hogy mindig 100%-os az eredmény. Megértését nagyra értékeljük.

Hogyan lehetett volna megelőzni a SolarWinds Supply Chain MetaDefender Aether segítségével

Adaptive elemzés és Threat Intelligence Supply Chain Zero-Day Supply Chain Threat Intelligence
Írta: OPSWAT
Utolsó frissítés:
Ossza meg ezt a bejegyzést

Bevezetés: A betörés, amely újradefiniálta a kiberbiztonságot

2020 végén a SolarWinds ellátási láncát ért támadás megrázta a kiberbiztonsági közösséget.

A SolarWinds Orion platformjának digitálisan aláírt frissítésébe rosszindulatú kódot juttatva a támadók titkos hozzáférést szereztek több ezer köz- és magánszektorbeli szervezethez. A megbízható szoftverfrissítésnek tűnő szoftver egy olyan hátsó ajtót tartalmazott, amely lehetővé tette a történelem egyik legpusztítóbb kiberkémkedési kampányát.

Ez az eset egy fájdalmas igazságot tárt fel: a szignatúra- és hírnév-alapú védelmi megoldások nem elegendőek zero-day kifinomult, észrevétlen zero-day ellen. De mi lett volna, ha az ellátási láncban szereplő szervezetek bevezették volna OPSWAT MetaDefender Aether?

A legújabb MetaDefender Aether .4.0 verzióval OPSWAT egy adaptív, emulációalapú sandbox OPSWAT sandbox beépítették a fenyegetési információkat, és amely egyedülálló módon képes felismerni azokat a finom eltéréseket is, amelyeket a SolarWinds kártevőprogram el akart rejteni.

Ez a blogbejegyzés részletesen bemutatja, hogyan zajlott le a támadás, és ami még fontosabb, hogy MetaDefender Aether hogyanAether volna megakadályozni azt.

Hogyan működött a SolarWinds támadása

A SolarWinds ellátási láncot érintő támadást az Orion IT-kezelési platformban használt legitim DLL (SolarWinds.Orion.Core.BusinessLayer.dll) kompromittálása tette lehetővé. A fenyegető szereplők lopakodva módosították ezt a komponenst, közvetlenül beleágyazva rosszindulatú kódot.

Ami egy apró, ártalmatlan változtatásnak tűnt, néhány feltűnésmentes sorral egy ismerős kódbázisban, végül jelentős veszélyt jelentett. Ez a DLL egy széles körben alkalmazott platform része volt, amelyet mind az állami, mind a magánszektorbeli szervezetek használtak, így a támadás hatósugara példátlan volt.

A veszélyeztetett DLL-ben egy teljesen működőképes hátsó ajtó volt elrejtve, amely nagyjából 4000 sornyi kódból állt össze. Ez a kód a támadóknak titkos hozzáférést biztosított az érintett rendszerekhez, lehetővé téve az áldozatok hálózatai feletti tartós ellenőrzést anélkül, hogy riasztást keltenének.

A támadás egyik legkritikusabb aspektusa az volt, hogy a támadást magában a szoftverkészítési folyamatban helyezték el. A manipulált DLL érvényes digitális aláírással rendelkezett, ami azt jelezte, hogy a támadók behatoltak a SolarWinds szoftverfejlesztő vagy -terjesztő infrastruktúrájába. Ezáltal a rosszindulatú kód megbízhatónak tűnt, és lehetővé tette, hogy kiváltságos műveleteket hajtson végre anélkül, hogy a szabványos biztonsági ellenőrzések beindulnának.

Az észrevétlenség fenntartása érdekében a támadók elkerülték a DLL eredeti funkcióinak megzavarását. A bejuttatott hasznos teher egy könnyű módosításból állt: egy új metódust indított el egy külön szálban, biztosítva, hogy a gazdalkalmazás viselkedése változatlan maradjon. A metódushívást egy meglévő funkcióba, a RefreshInternalba ágyazták be, de a felismerés elkerülése érdekében párhuzamosan hajtották végre.

A hátsó ajtó logikája az OrionImprovementBusinessLayer nevű osztályban volt, amelyet szándékosan választottunk, hogy hasonlítson a legális komponensekre. Ez az osztály tartalmazta a teljes rosszindulatú logikát, beleértve 13 belső osztályt és 16 függvényt. Minden karakterláncot elfedtek, ami jelentősen megnehezítette a statikus elemzést.

A SolarWinds ellátási lánc támadásának lépéseit bemutató diagram a rosszindulatú szoftverek fertőzésétől a parancsnokságig és a támadó akciójáig.

Miért maradt ki a hagyományos biztonság

  • A digitális aláírás nem elég: A DLL alá volt írva, így az AV és a végponti eszközök legitimnek tekintették.
  • A statikus elemzés nem sikerült: Obfuscation és titkosított karakterláncok álcázták a gyanús logikát.
  • A futásidejű ellenőrzések kikerülték az észlelést: A hátsó ajtó lopakodása azt jelentette, hogy csak nagyon speciális feltételek teljesülése esetén váltott ki rendellenességeket.
  • Az ellátási lánc vakfoltja: A biztonsági csapatok gyakran megbíztak a szoftverfrissítésekben anélkül, hogy azokat előbb egy sandbox tesztelték volna.

Ez nem csak egy rosszindulatú szoftver volt; ez egy láthatatlanságra tervezett ellátási lánc kompromittálás volt.

Hogyan észlelhetteAether ezt a MetaDefender Aether ?

A könnyen kijátszható, virtuális gépen alapuló sandboxokkal ellentétben MetaDefender Aether utasításszintű emulációt és adaptív fenyegetéselemzéstAether . Ez lehetővé teszi számára, hogy felfedje a rejtett viselkedésmintákat még akkor is, ha a támadók megpróbálják azokat álcázni.

A sandbox döntő szerepet játszik az ilyen típusú támadások felderítésében. Annak ellenére, hogy a rosszindulatú DLL digitálisan alá van írva és gondosan úgy lett kialakítva, hogy a legitim viselkedést utánozza, a sandbox a bináris szinten fellelhető rendellenességek elemzésével sandbox felismerni a beépített hátsóajtót.

A YARA-szabályokat és a hírnév-ellenőrzéseket szándékosan letiltottuk ennek sandbox a keretében, hogy szimuláljuk a SolarWinds-támadás eredeti körülményeit, mivel akkoriban egyik sem állt rendelkezésre.

Balra látható a törvényes SolarWinds.Orion.Core.BusinessLayer.dll fájl. Jobbra a trójai változat, amely a SolarWinds hírhedt incidenséért felelős.

Vessünk egy pillantást a sandbox által feltárt legfontosabb eredményekre:

  • Szövegtitkosítás: a kód egy tipikus, különböző rosszindulatú szoftverekben megtalálható elhomályosítási technikát alkalmaz: tömörítés, majd base64 kódolás.
Aether MetaDefender Aether , amely a SolarWinds ellátási lánc elleni támadás megelőzéséhez kapcsolódó rosszindulatú karakterláncok észlelését mutatja

A WMI-lekérdezéseket általában a rendszer ujjlenyomatának meghatározásához társítják. Ebben az esetben a kapcsolódó karakterláncokat titkosították, hogy elkerüljék a felderítést.

Aether MetaDefender Aether , amely a SolarWinds ellátási lánc elleni támadás megelőzéséhez kapcsolódó rosszindulatú elemek észlelését mutatja

Több mutató a jogosultságok kiterjesztéséhez, a felhasználói identitás meghamisításához és a hozzáférés-szabályozás meghamisításához kötődik.

Aether MetaDefender Aether , amely magas jogosultságú műveleteket végző .NET PE fájlt jelez, és releváns a SolarWinds ellátási lánc elleni támadások megelőzése szempontjából
A .NET PE jelentős bizonyítékot szolgáltat a magas privilégiumú műveletekre, és megkerüli a hozzáférési korlátozásokat.
.NET PE Importál nem felügyelt függvényeket a folyamatok jogosultságainak módosításához
Aether MetaDefender Aether jelzi a valószínűsíthetően rosszindulatú tevékenységeket a SolarWinds ellátási lánc elleni támadások megelőzésére irányuló elemzés során
Talált hivatkozások a kritikus Windows-jogosultságokra
MetaDefender Aether gyanús minősítést jelenít meg egy fájlra vonatkozóan, ami a SolarWinds ellátási lánc elleni támadások megelőzéséhez kapcsolódik
A .NET PE taghivatkozásokat használ a Windows felhasználói kontextusok felsorolásához vagy meghamisításához
Aether MetaDefender Aether gyanús .NET PE-fájlokatAether , bemutatva a SolarWinds ellátási lánc elleni támadások megelőzését és felderítését
A .NET PE taghivatkozásokat használ az ACL módosításához

Egy nagy statikus bájt-tömb (1096 bájt) található a rendszerben, amelyet általában rejtett hasznos adat beágyazására vagy előkészítésére használnak. Ebben az esetben a folyamatnevek hash-értékeit képviselő egész számokat tárol, valószínűleg felderítési vagy szűrési célokra. Mivel sandbox egy ilyen rendellenességet, az elemzők tovább vizsgálhatják az ügyet.

MetaDefender Aether a fájlt valószínűleg rosszindulatúnak jelöli meg, és statikus tömb alapján történő észlelést jelenít meg a SolarWinds ellátási lánc elleni támadások megelőzése érdekében
.NET PE tartalmaz egy nagy statikus tömböt

Összefoglalva: egy 4 000 sor kódból álló osztály elsőre nagynak tűnhet, de egy több ezer fájlt tartalmazó nagy szoftverprojektben nagyon könnyen elkerülheti a figyelmünket. Éppen ebben a tekintetben sandbox felbecsülhetetlen értékűnek a sandbox . Rávilágít a szokatlan viselkedésre, és megmutatja az elemzőknek, hol kell keresniük, és mi az, ami valóban fontos.

Hogyan működik egy Adaptive Sandbox Threat Intelligence val Threat Intelligence akadályozta volna meg a támadást

1. Mélyszerkezeti elemzés (DSA)

A futás előtt, Sandbox disassembles binaries to extract embedded logic. A SolarWinds esetében a következőket jelölte volna meg:

  • A nagy, 1096 bájtos statikus tömb, amelyet a folyamat hash-ok rendezésére használnak.
  • Tömörített + base64-kódolt karakterláncok, amelyek a rosszindulatú szoftverekre jellemzőek.
  • A szokatlan OrionImprovementBusinessLayer osztály és annak titkosított függvényei.

2. Következő generációs behatolásgátló motor

MetaDefender Aether .4.0 kifejezetten a SolarWinds-támadás során alkalmazott taktikákra összpontosít:

  • Kizárólag memóriára korlátozódó hasznos terhelések feltárása → Olyan kódok felismerése, amelyek soha nem írnak a lemezre.
  • Control flow deobfuscation for .NET → Tökéletes az olyan obfuszkált DLL-ek kicsomagolásához, mint az Orion.
  • Automatizált Base64 dekódolás → Leleplezi a támadók által használt titkosított karakterláncokat.

3. Threat Intelligence gazdagítása

Az észlelés nem ér véget a sandbox. MetaDefender Aether a MetaDefender Threat Intelligenceszolgáltatással, amely a következőket biztosítja:

  • 50B+ IOC (IP-k, URL-ek, domainek, hash-ok) a dúsításhoz.
  • Hasonlósági keresés az ismert rosszindulatú programok változatainak felismerésére - még akkor is, ha azok módosításra kerültek.
  • Fenyegetés-értékelés, hogy ezt a DLL-t magas súlyosságúnak minősítse.

A MetaDefender Aether .4.0 előnyei

A legújabb kiadás olyan képességekkel bővül, amelyek közvetlenül a SolarWinds-hez hasonló fenyegetésekhez kapcsolódnak:

  • Memory-Only Payload Exposure → felfedte volna a SolarWinds titkos memórián belüli végrehajtását.
  • Csomagolt rosszindulatú programok kicsomagolása → Azonosítja a statikus tömbökben elrejtett szakaszos hasznos terheket.
  • Pszeudo-rekonstruált binárisok → Lehetővé teszi az elemzők számára, hogy teljes képet kapjanak az obfuszkált DLL-ekről.
  • Továbbfejlesztett YARA & Config Extraction → A rosszindulatú programok konfigurációit a titkosítás ellenére is kinyerné.
  • .NET Loader kicsomagolása → Közvetlenül kapcsolódik az Orion DLL elhomályosított .NET logikájához.

Miközben elkezdtük írni ezt a cikket, egy új kampányt hoztak nyilvánosságra az npm ökoszisztéma ellátási lánca ellen (az npm a Node.js csomagkezelője, amely lehetővé teszi a JavaScript futtatását a böngészőn kívül). Ez a friss kampány egy "Shai-Hulud" nevű önszaporodó férget érintett, amelynek sikerült több száz szoftvercsomagot kompromittálnia. Ezt az incidenst részletesen elemezte az OPSWAT "From Dune to npm: Shai-Hulud Worm Redefines Supply Chain Risk" című kiadványa .

Ez az új kampány azonban különösen releváns a cikk kontextusában, mivel azt is bizonyítja, hogy a MetaDefender Aether észlelési képességei naprakészek és hatékonyak az ellátási láncba való behatolások ellen. Olvassa el jelentésünket a bundle.js nevű rosszindulatú fájlról, amely felismeri a könyvtárak letöltését elrejtett kód használatával, és ezt a tevékenységet „Valószínűleg rosszindulatú” kategóriába sorolja.

Aether MetaDefender Aether , amely a SolarWinds ellátási lánc elleni támadások megelőzéséhez szükséges fenyegetési mutatókat és értékelést jeleníti meg
.NET PE tartalmaz egy nagy statikus tömböt

A fent említett bejegyzésben ismertetett bevált gyakorlatoknak megfelelően minden nyílt forráskódú függőséget megbízhatatlannak kell tekinteni mindaddig, amíg biztonságuk nem bizonyosodik be. Ha az érintett npm-csomagok frissítéseit előzetesen elemezték volna MetaDefender Aether segítségével, a rosszindulatú és gyanús viselkedést még a terjedésük előtt azonosították volna.

Ezek a funkciók együttesen jól szemléltetik, hogy MetaDefender Aether kifejezetten az olyan rejtőzködési és álcázási technikákraAether kifejlesztve, amelyekre a SolarWinds- és az NPM-támadók támaszkodtak.

Esettanulmány: Hogyan működik a Sandbox jelentés hogyan nézett volna ki

1. Statikus megállapítások

a. Gyanúsan homályos osztálynév (OrionImprovementBusinessLayer).

b. Nagy statikus tömbök, amelyek hash-értékekhez kapcsolódnak.

c. Titkosított Base64 karakterláncok.

2. Dinamikus megállapítások

a. WMI rendszerlekérdezések.

b. Megkísérelt jogosultság-emelési hívások.

c. Rejtett szálak létrehozása az Orion fő munkafolyamatán kívül.

3. Threat Intelligence korreláció

a. A hasonlósági keresés >95%-os egyezést mutat az ismert APT-mintákkal.

b. Az IOC korreláció azonosítja a C2 infrastruktúra átfedéseit.

c. A fenyegetésértékelés a DLL-t "magas biztonságú rosszindulatúnak" minősíti.

Tanulságok a védők számára: SolarWinds és azon túl

A SolarWinds betörése ébresztő volt, de az ellátási láncot érő támadások száma továbbra is növekszik. A 2025-ös OPSWAT Threat Landscape Report szerint a kritikus infrastruktúra továbbra is kiemelt célpont, és egyre gyakoribbak a fájlalapú, obfuszkált betöltők.

MetaDefender Aether a következőketAether a védelmi szakemberek számára:

Zero-Day

Viselkedésérzékelés, amely nem támaszkodik előzetes ismeretekre.

Supply Chain védelme

Minden frissítés, javítás vagy a gyártó által szállított fájl felrobbantható.

jogszabályi megfelelőségbiztosítás

Megfelel a NIST, a NIS2, a HIPAA és a NERC CIP zero-day követelményeinek.

Cselekvőképes intelligencia

Nagy pontosságú IOC-k közvetlenül a SIEM és a SOAR pipelinekbe táplálva.

A Zero-Day védelmi rendszer kiépítése

A SolarWinds ellátási lánc elleni támadás nem volt megakadályozhatatlan – egyszerűen csak észrevétlen maradt. Ha MetaDefender Aether működésbenAether , az elrejtett DLL-t már jóval azelőtt felismertek, dekódolták és jelölték volna, hogy az eljutott volna a termelési környezetekbe.

Manapság, amikor a támadók egyre kifinomultabbá teszik az észlelés elkerülésére irányuló taktikáikat, sandboxing emulációalapú sandboxing már nem sandboxing opcionális sandboxing . Ez képezi minden komoly zero-day stratégia alapját.

MetaDefender Aether .4.0 ésThreat Intelligence OPSWAT Threat Intelligence segítségével a szervezetek átállhatnak a biztonsági incidensekre való reagálásról azok proaktív semlegesítésére – még mielőtt azok bekövetkeznének.

Tudjon meg többet a MetaDefender Aetherről .

Fedezze fel az OPSWAT Threat Intelligence

Vegye fel a kapcsolatot OPSWAT szervezetét felkészítse Zero-Day .

Fedezze fel az OPSWAT Threat Intelligence

Vegye fel a kapcsolatot OPSWAT szervezetét felkészítse Zero-Day .

Címkék:

Maradjon naprakész az OPSWAT oldalon!

Iratkozzon fel még ma, hogy értesüljön a vállalat legfrissebb híreiről, történetekről, eseményinformációkról és sok másról.