如何運用MetaDefender 預防 SolarWindsSupply Chain

SolarWinds 的供應鏈攻擊是透過破壞 Orion IT 管理平台中使用的合法 DLL(SolarWinds.Orion.Core.BusinessLayer.dll)而實現的。威脅者透過直接嵌入惡意程式碼來隱蔽地修改此元件。

在熟悉的程式碼基礎中，幾行不起眼的小改動看似無傷大雅，結果卻引發了重大的威脅。這個 DLL 是公共與私營機構廣泛部署的平台的一部分，使得攻擊的範圍空前廣泛。

被攻擊的 DLL 中隱藏了一個功能完整的後門，由大約 4,000 行程式碼製作而成。這段程式碼讓攻擊者可以秘密存取受影響的系統，在不發出警報的情況下持續控制受害者網路。

此攻擊最關鍵的方面之一是其在軟體建立過程中的位置。被篡改的 DLL 帶有有效的數位簽章，表明攻擊者已滲透 SolarWinds 的軟體開發或發行基礎結構。這使得惡意程式碼看起來值得信任，並允許其在不觸發標準安全控制的情況下執行特權動作。

為了保持隱蔽性，攻擊者避免破壞 DLL 的原始功能。注入的有效載荷包含一個輕量級的修改：它在一個獨立的線程中啟動了一個新方法，確保主應用程式的行為保持不變。方法呼叫被嵌入到現有的函數RefreshInternal 中，但以平行方式執行，以避免被偵測到。

後門邏輯存在於一個名為 OrionImprovementBusinessLayer 的類別中，這個名稱是刻意選來與合法元件相似的。這個類別包含了整個惡意邏輯，包括 13 個內部類別和 16 個函數。所有字串都經過混淆處理，大大增加了靜態分析的難度。

與容易被繞過的虛擬機器沙箱MetaDefender 指令層級模擬技術與自適應威脅分析。即使攻擊者試圖偽裝行為，此技術仍能揭露隱藏的惡意活動。

沙箱在發現此類攻擊時扮演著重要的角色。即使惡意 DLL 經過數位簽章和精心製作以模仿合法行為，沙箱仍可透過分析二進位層級的異常現象，偵測出插入的後門。

為了模擬 SolarWinds 攻擊的原始情況，本沙盒掃描故意停用了 YARA 規則和信譽檢查，因為當時兩者都不可用。

在執行前，Sandbox 會分解二進位檔案以擷取嵌入式邏輯。在 SolarWinds 的案例中，它會標記：

• 1096 位元組的大型靜態陣列，用來分期處理切細值。
• 惡意軟體典型的 壓縮 + base64 編碼字串。
• 不尋常的 OrionImprovementBusinessLayer 類別及其混淆函式。

MetaDefender 2.4.0 特別針對 SolarWinds 事件中使用的攻擊手法進行防禦：

• 暴露僅記憶體有效負載→ 檢測從不寫入磁碟的程式碼。
• 適用於 .NET 的控制流程解除混淆→ 解壓縮混淆 DLL（如 Orion）的完美工具。
• 自動 Base64 解碼→ 解除攻擊者使用的加密字串。

最新版本增加了直接對應 SolarWinds 類似威脅的功能：

• 僅記憶體有效負載暴露→ 將會暴露 SolarWinds 隱秘的記憶體內執行。
• 打包式惡意軟體解包→ 識別隱藏在靜態陣列內的分期有效載荷。
• 偽重構二進位檔案 → 可讓分析師看到混淆 DLL 的全貌。
• 增強的 YARA 與組態擷取功能→ 儘管已加密，仍可擷取惡意軟體的組態。
• .NET Loader 解壓縮→ 與 Orion DLL 的混淆 .NET 邏輯直接相關。

當我們開始撰寫這篇文章時，一項針對npm 生態系統供應鏈的新攻擊活動被公開（npm 是 Node.js 隨附的 JavaScript 套件管理程式，可讓 JavaScript 在瀏覽器外執行）。最近的這場攻擊活動涉及一個名為「Shai-Hulud」的自我複製蠕蟲，它成功入侵了數百個軟體套件。OPSWAT 出版物「從 Dune 到 npm：Shai-Hulud 蠕蟲重新Supply Chain 風險」對此事件進行了詳細分析。

然而，這項新行動在本文脈絡下尤具意義，因其同時MetaDefender 能力既能與時俱進，亦能有效防禦供應鏈攻擊。請參閱我們針對惡意檔案bundle.js的報告，該報告偵測到使用混淆程式碼下載函式庫的行為，並將此活動標記為「可能惡意」。

a.可疑的混淆類別名稱 (OrionImprovementBusinessLayer)。

b.連結至雜湊值的大型靜態陣列。

c.加密的 Base64 字串。

a.WMI 系統查詢。

b.試圖提升權限的電話。

c.在 Orion 的主要工作流程之外建立隱藏線程。

SolarWinds 入侵事件敲響了警鐘，但供應鏈攻擊仍在持續增加。根據《2025 年OPSWAT 威脅趨勢報告》，關鍵基礎設施仍是首要攻擊目標，而以檔案為基礎的混淆式載入程式越來越普遍。

MetaDefender 為防禦者提供：