Cách cuộc tấn công chuỗi cung ứng SolarWinds đã có thể được ngăn chặn bằng MetaDefender™ Sandbox

Cuộc tấn công chuỗi cung ứng SolarWinds được thực hiện thông qua việc xâm nhập một DLL hợp pháp được sử dụng trong nền tảng quản lý IT Orion (SolarWinds.Orion.Core.BusinessLayer.dll Core . Kẻ tấn công đã lén lút sửa đổi thành phần này bằng cách nhúng mã độc trực tiếp vào đó.

Những gì tưởng chừng như là một thay đổi nhỏ, vô hại, với vài dòng mã không đáng chú ý trong một cơ sở dữ liệu mã quen thuộc, cuối cùng lại gây ra một mối đe dọa đáng kể. DLL này là một phần của một nền tảng được triển khai rộng rãi, được cả các tổ chức công và tư sử dụng, khiến phạm vi của cuộc tấn công trở nên chưa từng có.

Ẩn bên trong DLL bị xâm nhập là một backdoor hoạt động hoàn chỉnh, được tạo ra từ khoảng 4.000 dòng mã. Mã này cho phép kẻ tấn công truy cập bí mật vào các hệ thống bị ảnh hưởng, cho phép kiểm soát liên tục mạng lưới của nạn nhân mà không gây ra báo động.

Một trong những khía cạnh trọng yếu nhất của cuộc tấn công này là việc nó được đặt ngay trong quy trình xây dựng phần mềm. DLL bị giả mạo mang chữ ký số hợp lệ, cho thấy kẻ tấn công đã xâm nhập vào cơ sở hạ tầng phát triển hoặc phân phối phần mềm của SolarWinds. Điều này khiến mã độc trông có vẻ đáng tin cậy và cho phép nó thực hiện các hành động đặc quyền mà không kích hoạt các biện pháp kiểm soát bảo mật tiêu chuẩn.

Để duy trì tính ẩn danh, kẻ tấn công đã tránh làm gián đoạn chức năng gốc của DLL. Tải trọng được chèn bao gồm một sửa đổi nhẹ: nó khởi chạy một phương thức mới trong một luồng riêng biệt, đảm bảo hành vi của ứng dụng máy chủ không thay đổi. Lệnh gọi phương thức được nhúng vào một hàm hiện có, RefreshInternal , nhưng được thực thi song song để tránh bị phát hiện.

Logic cửa hậu nằm trong một lớp có tên OrionImprovementBusinessLayer, một cái tên được chọn một cách có chủ ý để trông giống với các thành phần hợp lệ. Lớp này chứa toàn bộ logic độc hại, bao gồm 13 lớp nội bộ và 16 hàm. Tất cả các chuỗi đều bị làm tối nghĩa, khiến việc phân tích tĩnh trở nên khó khăn hơn đáng kể.

Không giống như các hộp cát dựa trên VM dễ dàng trốn tránh, MetaDefender Sandbox sử dụng mô phỏng ở cấp độ lệnh và phân tích mối đe dọa thích ứng. Điều này cho phép phát hiện các hành vi ẩn ngay cả khi kẻ tấn công cố gắng che giấu chúng.

Sandbox đóng vai trò quan trọng trong việc phát hiện loại tấn công này. Mặc dù DLL độc hại được ký số và được thiết kế cẩn thận để mô phỏng hành vi hợp pháp, sandbox vẫn có thể phát hiện cửa hậu được chèn vào bằng cách phân tích các điểm bất thường ở cấp độ nhị phân.

Các quy tắc và kiểm tra danh tiếng của YARA đã bị vô hiệu hóa một cách có chủ ý trong lần quét hộp cát này để mô phỏng các điều kiện ban đầu của cuộc tấn công SolarWinds vì cả hai điều kiện này đều không khả dụng vào thời điểm đó.

Trước khi chạy, Sandbox phân tách các tệp nhị phân để trích xuất logic nhúng. Trong trường hợp của SolarWinds, nó sẽ đánh dấu:

• Mảng tĩnh lớn 1096 byte được sử dụng để phân đoạn các hàm băm xử lý.
• Chuỗi nén + mã hóa base64 thường thấy ở phần mềm độc hại.
• Lớp OrionImprovementBusinessLayer bất thường và các hàm ẩn của nó.

MetaDefender Sandbox Phiên bản 2.4.0 đề cập cụ thể đến các chiến thuật được sử dụng trong SolarWinds:

• Hiển thị các tải trọng chỉ dành cho bộ nhớ → Phát hiện mã không bao giờ ghi vào đĩa.
• Kiểm soát luồng giải mã cho .NET → Hoàn hảo để giải nén các DLL được giải mã như Orion.
• Giải mã Base64 tự động → Bỏ ẩn các chuỗi mã hóa mà kẻ tấn công đã sử dụng.

Phiên bản phát hành mới nhất bổ sung các khả năng tương thích trực tiếp với các mối đe dọa giống như SolarWinds:

• Tiết lộ tải trọng chỉ trong bộ nhớ → Sẽ tiết lộ quá trình thực thi ẩn trong bộ nhớ của SolarWinds.
• Giải nén phần mềm độc hại được đóng gói → Xác định các tải trọng được dàn dựng ẩn bên trong các mảng tĩnh.
• Tệp nhị phân giả được tái tạo → Cho phép các nhà phân tích thấy được toàn cảnh các tệp DLL bị che giấu.
• Trích xuất cấu hình & YARA nâng cao → Sẽ trích xuất cấu hình phần mềm độc hại bất chấp mã hóa.
• Giải nén .NET Loader → Liên quan trực tiếp đến logic .NET được ẩn giấu của Orion DLL.

Trong khi chúng tôi bắt đầu viết bài viết này, một chiến dịch mới chống lại chuỗi cung ứng trong hệ sinh thái npm đã được công khai (npm là một trình quản lý gói JavaScript được tích hợp trong Node.js, cho phép JavaScript chạy bên ngoài trình duyệt). Chiến dịch gần đây này liên quan đến một loại sâu tự sao chép có tên là "Shai-Hulud", đã xâm nhập thành công hàng trăm gói phần mềm. Sự cố này đã được phân tích chi tiết trong OPSWAT ấn phẩm “Từ Dune đến npm: Shai-Hulud Worm định nghĩa lại rủi ro Supply Chain ”.

Tuy nhiên, chiến dịch mới này đặc biệt có liên quan trong bối cảnh của bài viết này, vì nó cũng chứng minh rằng MetaDefender Sandbox Khả năng phát hiện của 'được cập nhật và hiệu quả trong việc chống lại các hành vi xâm phạm chuỗi cung ứng. Xem báo cáo của chúng tôi về tệp độc hại bundle.js , phát hiện việc tải xuống các thư viện bằng mã bị che giấu, gắn nhãn hoạt động này là "Có khả năng độc hại".

a. Tên lớp bị che giấu đáng ngờ (OrionImprovementBusinessLayer).

b. Mảng tĩnh lớn được liên kết với giá trị băm.

c. Chuỗi Base64 được mã hóa.

a. Truy vấn hệ thống WMI.

b. Đã cố gắng thực hiện các cuộc gọi leo thang đặc quyền.

c. Tạo các luồng ẩn bên ngoài quy trình làm việc chính của Orion.

Vụ tấn công SolarWinds là một hồi chuông cảnh tỉnh, nhưng các cuộc tấn công vào chuỗi cung ứng vẫn tiếp tục gia tăng. Theo Báo cáo Bối cảnh Mối đe dọa OPSWAT năm 2025, cơ sở hạ tầng trọng yếu vẫn là mục tiêu hàng đầu và các trình tải mã hóa dựa trên tệp ngày càng phổ biến.

MetaDefender Sandbox cung cấp cho người bảo vệ: