Cum ar fi putut fi prevenit atacul Supply Chain SolarWinds folosind MetaDefender™ Sandbox

Atacul lanțului de aprovizionare SolarWinds a fost posibil prin compromiterea unei DLL legitime utilizate în platforma de gestionare IT Orion (SolarWinds.Orion.Core.BusinessLayer.dll). Actorii amenințării au modificat pe furiș această componentă prin încorporarea de cod rău intenționat direct în ea.

Ceea ce părea a fi o modificare minoră, inofensivă, cu câteva linii discrete într-o bază de cod familiară, a sfârșit prin a introduce o amenințare semnificativă. Această DLL făcea parte dintr-o platformă larg răspândită, utilizată atât de organizații din sectorul public, cât și din cel privat, ceea ce a făcut ca atacul să aibă o amploare fără precedent.

În DLL-ul compromis era ascuns un backdoor complet funcțional, creat din aproximativ 4 000 de linii de cod. Acest cod a acordat atacatorilor acces secret la sistemele afectate, permițând controlul persistent asupra rețelelor victimelor fără a declanșa alarme.

Unul dintre cele mai importante aspecte ale acestui atac a fost plasarea sa în cadrul procesului de creare a software-ului. DLL-ul alterat purta o semnătură digitală validă, indicând faptul că atacatorii s-au infiltrat în infrastructura de dezvoltare sau distribuție de software a SolarWinds. Acest lucru a făcut ca codul malițios să pară demn de încredere și i-a permis să execute acțiuni privilegiate fără a declanșa controalele de securitate standard.

Pentru a rămâne discreți, atacatorii au evitat să perturbe funcționalitatea originală a DLL-ului. Sarcina utilă injectată a constat într-o modificare ușoară: aceasta a lansat o nouă metodă într-un fir separat, asigurându-se că comportamentul aplicației gazdă a rămas neschimbat. Apelul la metodă a fost încorporat într-o funcție existentă, RefreshInternal, dar executat în paralel pentru a evita detectarea.

Logica backdoor se afla într-o clasă numită OrionImprovementBusinessLayer, un nume ales în mod deliberat pentru a semăna cu componentele legitime. Această clasă găzduia întreaga logică malițioasă, inclusiv 13 clase interne și 16 funcții. Toate șirurile de caractere au fost ofuscate, făcând analiza statică mult mai dificilă.

Spre deosebire de sandboxurile bazate pe VM care sunt ușor de evitat, MetaDefender Sandbox utilizează emulația la nivel de instrucțiuni și analiza adaptivă a amenințărilor. Acest lucru îi permite să descopere comportamente ascunse chiar și atunci când atacatorii încearcă să le deghizeze.

Un sandbox joacă un rol crucial în descoperirea acestui tip de atac. Chiar dacă DLL-ul malițios este semnat digital și creat cu grijă pentru a imita comportamentul legitim, un sandbox poate detecta backdoor-ul introdus prin analizarea anomaliilor la nivel binar.

Regulile YARA și verificările reputației au fost dezactivate în mod intenționat pentru această scanare sandbox pentru a simula condițiile inițiale ale atacului SolarWinds, deoarece niciuna nu era disponibilă la acel moment.

Înainte de execuție, Sandbox dezasamblează binarele pentru a extrage logica încorporată. În cazul SolarWinds, ar fi marcat:

• Matricea statică mare de 1096 de octeți utilizată pentru etapizarea hașurilor procesului.
• Șiruri comprimate + codificate în baza 64, tipice programelor malware.
• Clasa neobișnuită OrionImprovementBusinessLayer și funcțiile sale ofuscate.

MetaDefender Sandbox 2.4.0 abordează în mod specific tacticile utilizate în SolarWinds:

• Expune sarcinile utile numai în memorie → Detectează codul care nu scrie niciodată pe disc.
• Deobfuscare a fluxului de control pentru .NET → Perfect pentru despachetarea DLL-urilor ofuscate precum Orion.
• Decodificare automată Base64 → Demaschează șirurile criptate utilizate de atacatori.

Cea mai recentă versiune adaugă capabilități care corespund în mod direct amenințărilor de tip SolarWinds:

• Expunerea sarcinii utile numai în memorie → Ar fi dezvăluit executarea discretă în memorie a SolarWinds.
• Packed Malware Unpacking → Identifică sarcinile utile etapizate ascunse în matrice statice.
• Binari pseudoreconstruiți → Permite analiștilor să vadă o imagine completă a DLL-urilor ofuscate.
• Extracție YARA & Config îmbunătățită → Ar extrage configurațiile malware în ciuda criptării.
• .NET Loader Unpacking → Direct relevant pentru logica .NET ofuscată a DLL-ului Orion.

În timp ce începeam să scriem acest articol, a fost făcută publică o nouă campanie împotriva lanțului de aprovizionare din ecosistemul npm (npm este un manager de pachete JavaScript inclus în Node.js, care permite JavaScript să ruleze în afara browserului). Această campanie recentă a implicat un vierme autoreplicant numit "Shai-Hulud", care a reușit să compromită sute de pachete software. Acest incident a fost analizat în detaliu în publicația OPSWAT "From Dune to npm: Shai-Hulud Worm Redefines Supply Chain Risk".

Cu toate acestea, această nouă campanie este deosebit de relevantă în contextul acestui articol, deoarece demonstrează, de asemenea, că capacitățile de detectare ale MetaDefender Sandbox sunt actualizate și eficiente împotriva compromiterilor lanțului de aprovizionare. Consultați raportul nostru pentru fișierul malițios bundle.js, care detectează descărcarea de biblioteci utilizând cod ofuscat, etichetând această activitate drept "probabil malițioasă".

a. Nume suspect de clasă ofuscată (OrionImprovementBusinessLayer).

b. Matrici statice mari legate la valori hash.

c. Șiruri Base64 criptate.

a. Interogări de sistem WMI.

b. Încercări de apeluri de escaladare a privilegiilor.

c. Crearea de fire ascunse în afara fluxului de lucru principal al Orion.

Breșa SolarWinds a fost un semnal de alarmă, dar atacurile asupra lanțului de aprovizionare continuă să crească. Conform raportului OPSWAT 2025 Threat Landscape Report, infrastructura critică rămâne o țintă principală, iar încărcătoarele ofuscate, bazate pe fișiere, sunt din ce în ce mai frecvente.

MetaDefender Sandbox oferă apărătorilor: