MetaDefender 防范SolarWindsSupply Chain

SolarWinds 供应链攻击是通过破坏 Orion IT 管理平台中使用的合法 DLL（SolarWinds.Orion.Core.BusinessLayer.dll）来实现的。威胁行为者通过直接嵌入恶意代码，对该组件进行了隐蔽修改。

在一个熟悉的代码库中，几行不起眼的改动看似微小无害，但最终却带来了巨大的威胁。这个 DLL 是公共和私营部门组织广泛部署的平台的一部分，因此攻击范围之广前所未有。

被入侵的 DLL 中隐藏着一个功能齐全的后门，由大约 4000 行代码组成。这些代码允许攻击者秘密访问受影响的系统，在不发出警报的情况下实现对受害者网络的持续控制。

此次攻击最关键的一点是它被置于软件构建过程中。被篡改的 DLL 带有有效的数字签名，表明攻击者已渗入 SolarWinds 的软件开发或分发基础架构。這使得惡意程式碼顯得值得信任，並允許其在不觸發標準安全控制的情況下執行特權操作。

为了保持隐蔽性，攻击者避免破坏 DLL 的原有功能。注入的有效载荷包括一个轻量级修改：它在一个单独的线程中启动了一个新方法，确保主机应用程序的行为保持不变。方法调用被嵌入到一个现有函数RefreshInternal 中，但以并行方式执行，以避免被检测到。

后门逻辑位于一个名为 "OrionImprovementBusinessLayer "的类中，为了与合法组件相似，特意选择了这个名称。该类包含全部恶意逻辑，包括 13 个内部类和 16 个函数。所有字符串都被混淆，大大增加了静态分析的难度。

与易被规避的虚拟机沙箱不同MetaDefender 指令级仿真和自适应威胁分析技术。即使攻击者试图掩盖行为，该方案仍能揭露其隐藏的攻击迹象。

沙箱在发现这类攻击时起着至关重要的作用。即使恶意 DLL 经过数字签名和精心制作以模仿合法行为，沙箱也能通过分析二进制级别的异常情况检测出插入的后门。

为模拟 SolarWinds 攻击的原始条件，本沙箱扫描故意禁用了 YARA 规则和信誉检查，因为这两种规则和检查在当时都不可用。

在运行前，Sandbox 会反汇编二进制文件以提取嵌入式逻辑。在 SolarWinds 的案例中，它会标记：

• 1096 字节的大型静态数组，用于分段处理哈希值。
• 典型恶意软件的 压缩 + base64 编码字符串。
• 不寻常的 OrionImprovementBusinessLayer 类及其混淆函数。

MetaDefender 2.4.0 专门针对 SolarWinds 攻击中使用的战术：

• 暴露仅内存有效载荷→ 检测从不写入磁盘的代码。
• .NET的控制流去混淆功能 → 解包像Orion这样的混淆动态链接库的完美工具。
• 自动 Base64 解码→ 解除攻击者使用的加密字符串的屏蔽。

最新版本增加了直接映射类似 SolarWinds 威胁的功能：

• 仅内存有效载荷暴露→ 会暴露 SolarWinds 的隐秘内存执行。
• 打包恶意软件解包→ 识别隐藏在静态阵列中的分阶段有效载荷。
• 伪重构二进制文件→ 允许分析人员查看混淆 DLL 的全貌。
• 增强的 YARA 和配置提取功能→ 可在加密的情况下提取恶意软件配置。
• .NET Loader 解包→ 与 Orion DLL 的混淆 .NET 逻辑直接相关。

就在我们开始撰写这篇文章的同时，一场针对npm 生态系统供应链的新活动被公之于众（npm 是 Node.js 附带的 JavaScript 包管理器，它允许 JavaScript 在浏览器外运行）。最近的这次行动涉及一种名为 "Shai-Hulud "的自我复制蠕虫病毒，它成功入侵了数百个软件包。OPSWAT 出版物《从沙丘到 npm：Shai-Hulud 蠕虫重新定义了Supply Chain 风险》对这一事件进行了详细分析。

然而，这项新行动在本文语境中尤为重要，它同时MetaDefender 检测能力始终保持最新状态，能有效应对供应链攻击。请参阅我们关于恶意文件bundle.js的报告——该文件能检测到使用混淆代码下载库的行为，并将此类活动标记为"可能具有恶意"。

a.可疑的混淆类名（OrionImprovementBusinessLayer）。

b.链接到哈希值的大型静态数组。

c.加密的 Base64 字符串。

a.WMI 系统查询。

b.尝试权限升级电话。

c.在猎户座主工作流程之外创建隐藏线程。

SolarWinds 的漏洞事件敲响了警钟，但供应链攻击仍在继续增加。根据《2025 年OPSWAT 威胁态势报告》，关键基础设施仍然是首要目标，基于文件的混淆加载程序越来越常见。

MetaDefender 为防御者提供：