איך רוחות השמש Supply Chain ניתן היה למנוע את ההתקפה באמצעות MetaDefender™ Sandbox

מתקפת שרשרת האספקה ​​של SolarWinds התאפשרה באמצעות פריצה לקובץ DLL לגיטימי המשמש בפלטפורמת ניהול ה-IT של Orion ( Core ) . גורמי איום שינו בחשאי רכיב זה על ידי הטמעת קוד זדוני ישירות לתוכו.

מה שנראה כשינוי מינורי ולא מזיק, עם כמה שורות סתומות בבסיס קוד מוכר, בסופו של דבר הציג איום משמעותי. קובץ ה-DLL הזה היה חלק מפלטפורמה נפוצה בשימוש על ידי ארגונים במגזר הציבורי והפרטי כאחד, מה שהפך את טווח ההתקפה לחסר תקדים.

בתוך קובץ ה-DLL שנפגע הייתה דלת אחורית מתפקדת במלואה, שנבנתה מכ-4,000 שורות קוד. קוד זה העניק לתוקפים גישה חשאית למערכות שנפגעו, ואפשר שליטה מתמשכת על רשתות הקורבן מבלי להפעיל אזעקות.

אחד ההיבטים הקריטיים ביותר של מתקפה זו היה מיקומה בתהליך בניית התוכנה עצמו. קובץ ה-DLL שעבר פגיעה נשא חתימה דיגיטלית תקפה, המצביעה על כך שהתוקפים חדרו לתשתית פיתוח או הפצת התוכנה של SolarWinds. זה גרם לקוד הזדוני להיראות אמין ואפשר לו לבצע פעולות חסויות מבלי להפעיל בקרות אבטחה סטנדרטיות.

כדי לשמור על חמקנות, התוקפים נמנעו משיבוש הפונקציונליות המקורית של קובץ ה-DLL. המטען שהוזרק כלל שינוי קל משקל: הוא השיק מתודה חדשה בשרשור נפרד, מה שהבטיח שהתנהגות האפליקציה המארחת תישאר ללא שינוי. קריאה למתודה הוטמעה בפונקציה קיימת, RefreshInternal , אך בוצעה במקביל כדי למנוע זיהוי.

הלוגיקה האחורית שכנה במחלקה בשם OrionImprovementBusinessLayer, שם שנבחר במכוון כדי להידמות לרכיבים לגיטימיים. מחלקה זו הכילה את מלוא הלוגיקה הזדונית, כולל 13 מחלקות פנימיות ו-16 פונקציות. כל המחרוזות היו מעורפלות, מה שהקשה משמעותית על ניתוח סטטי.

בניגוד לארגזי חול מבוססי VM שקל להתחמק מהם, MetaDefender Sandbox משתמש באמולציה ברמת הוראה ובניתוח איומים אדפטיבי. זה מאפשר לו לחשוף התנהגויות נסתרות גם כאשר תוקפים מנסים להסוות אותן.

ארגז חול ממלא תפקיד מכריע בגילוי סוג זה של התקפה. למרות שקובץ ה-DLL הזדוני חתום דיגיטלית ומעוצב בקפידה כדי לחקות התנהגות לגיטימית, ארגז חול יכול לזהות את הדלת האחורית שהוכנסה על ידי ניתוח אנומליות ברמה הבינארית.

כללי YARA ובדיקות מוניטין הושבתו במכוון עבור סריקת ארגז חול זו כדי לדמות את התנאים המקוריים של מתקפת SolarWinds, מכיוון שאף אחד מהם לא היה זמין באותו זמן.

לפני זמן ריצה, Sandbox מפרק קבצים בינאריים כדי לחלץ לוגיקה מוטמעת. במקרה של SolarWinds, זה היה מסמן:

• המערך הסטטי הגדול של 1096 בתים המשמש לביצוע גיבובי תהליכים.
• מחרוזות דחוסות + מקודדות בbase64 אופייניות לתוכנה זדונית.
• המחלקה יוצאת הדופן OrionImprovementBusinessLayer והפונקציות המעורפלות שלה.

MetaDefender Sandbox 2.4.0 מתייחס ספציפית לטקטיקות המשמשות ב-SolarWinds:

• חשיפת מטענים של זיכרון בלבד → מזהה קוד שמעולם לא כותב לדיסק.
• הסרת ערפול זרימת בקרה עבור .NET → מושלם לפריקת קבצי DLL מעורפלים כמו Orion.
• פענוח Base64 אוטומטי → חושף את המחרוזות המוצפנות בהן השתמשו התוקפים.

הגרסה האחרונה מוסיפה יכולות הממופות ישירות לאיומים דמויי SolarWinds:

• חשיפת מטען בזיכרון בלבד → הייתה חושפת את הביצוע החשאי בזיכרון של SolarWinds.
• פירוק תוכנות זדוניות ארוזה → מזהה מטענים מבוימים המוסתרים בתוך מערכים סטטיים.
• קבצי בינאריים משוחזרים מדומה → מאפשר לאנליסטים לראות תמונה מלאה של קבצי DLL מעורפלים.
• חילוץ YARA ותצורה משופרים → יחלץ תצורות של תוכנות זדוניות למרות הצפנה.
• פירוק טוען .NET → רלוונטי ישירות ללוגיקת .NET המעורפלת של קובץ ה-DLL של Orion.

בזמן שהתחלנו לכתוב מאמר זה, פורסם קמפיין חדש נגד שרשרת האספקה ​​במערכת האקולוגית של npm (npm הוא מנהל חבילות JavaScript הכלול ב-Node.js, המאפשר ל-JavaScript לפעול מחוץ לדפדפן). קמפיין זה כלל תולעת משכפלת את עצמה בשם "שי-חולוד", שהצליחה לפגוע במאות חבילות תוכנה. תקרית זו נותחה בפירוט ב... OPSWAT פרסום "מדיון ל-npm: תולעת שי-חולוד מגדירה מחדש את הסיכון Supply Chain ".

עם זאת, קמפיין חדש זה רלוונטי במיוחד בהקשר של מאמר זה, שכן הוא גם מדגים כי MetaDefender Sandbox יכולות הזיהוי של מעודכנות ויעילות כנגד פגיעות בשרשרת האספקה. עיין בדוח שלנו עבור הקובץ הזדוני bundle.js , אשר מזהה הורדת ספריות באמצעות קוד ערום, ומסמן פעילות זו כ"סביר להניח זדונית".

א. שם מחלקה מעורפל חשוד (OrionImprovementBusinessLayer).

ב. מערכים סטטיים גדולים המקושרים לערכי גיבוב.

ג. מחרוזות Base64 מוצפנות.

א. שאילתות מערכת WMI.

ב. ניסיון קריאות להסלמת הרשאות.

ג. יצירת שרשורים נסתרים מחוץ לתהליך העבודה הראשי של Orion.

הפריצה ל-SolarWinds הייתה קריאת השכמה, אך מתקפות שרשרת האספקה ​​ממשיכות לעלות. על פי דוח נוף האיומים OPSWAT לשנת 2025, תשתית קריטית נותרה מטרה מרכזית, ותוכנות מעורפלות מבוססות קבצים הופכות נפוצות יותר ויותר.

MetaDefender Sandbox מספק למגינים: