Come Supply Chain di SolarWinds avrebbe potuto essere prevenuto utilizzando MetaDefender

L'attacco alla catena di approvvigionamento di SolarWinds è stato reso possibile dalla compromissione di una DLL legittima utilizzata nella piattaforma di gestione IT Orion (SolarWinds.Orion.Core.BusinessLayer.dll). Gli attori della minaccia hanno modificato furtivamente questo componente incorporandovi direttamente del codice dannoso.

Quella che sembrava essere una modifica minore e innocua, con poche righe poco appariscenti in una base di codice familiare, ha finito per introdurre una minaccia significativa. Questa DLL faceva parte di una piattaforma ampiamente utilizzata da organizzazioni del settore pubblico e privato, rendendo la portata dell'attacco senza precedenti.

All'interno della DLL compromessa era nascosta una backdoor completamente funzionale, realizzata con circa 4.000 righe di codice. Questo codice garantiva agli aggressori l'accesso occulto ai sistemi interessati, consentendo un controllo persistente sulle reti delle vittime senza che venissero lanciati allarmi.

Uno degli aspetti più critici di questo attacco è stato il suo posizionamento all'interno del processo di creazione del software stesso. La DLL manomessa recava una firma digitale valida, indicando che gli aggressori si erano infiltrati nell'infrastruttura di sviluppo o distribuzione del software di SolarWinds. Questo ha fatto apparire il codice maligno come affidabile e gli ha permesso di eseguire azioni privilegiate senza attivare i controlli di sicurezza standard.

Per mantenere la segretezza, gli aggressori hanno evitato di interrompere la funzionalità originale della DLL. Il payload iniettato consisteva in una modifica leggera: lanciava un nuovo metodo in un thread separato, garantendo che il comportamento dell'applicazione host rimanesse invariato. La chiamata al metodo è stata incorporata in una funzione esistente, RefreshInternal, ma eseguita in parallelo per evitare il rilevamento.

La logica della backdoor risiedeva in una classe denominata OrionImprovementBusinessLayer, un nome scelto deliberatamente per assomigliare a componenti legittimi. Questa classe ospitava la totalità della logica dannosa, comprese 13 classi interne e 16 funzioni. Tutte le stringhe erano offuscate, rendendo l'analisi statica molto più difficile.

A differenza delle sandbox basate su macchine virtuali, che sono facili da eludere, MetaDefender utilizza l'emulazione a livello di istruzione e l'analisi adattiva delle minacce. Ciò gli consente di individuare comportamenti nascosti anche quando gli aggressori cercano di mascherarli.

Una sandbox svolge un ruolo fondamentale per scoprire questo tipo di attacco. Anche se la DLL dannosa è firmata digitalmente e realizzata con cura per simulare un comportamento legittimo, una sandbox può rilevare la backdoor inserita analizzando le anomalie a livello binario.

Le regole YARA e i controlli di reputazione sono stati intenzionalmente disattivati per questa scansione sandbox per simulare le condizioni originali dell'attacco SolarWinds, poiché all'epoca non erano disponibili.

Prima dell'esecuzione, Sandbox disassembla i binari per estrarre la logica incorporata. Nel caso di SolarWinds, avrebbe segnalato:

• L'array statico grande da 1096 byte utilizzato per lo stage degli hash dei processi.
• Stringhe compresse + codificate in base64 tipiche del malware.
• L'insolita classe OrionImprovementBusinessLayer e le sue funzioni offuscate.

MetaDefender 2.4.0 affronta in modo specifico le tattiche utilizzate nell'attacco SolarWinds:

• Esporre i payload di sola memoria → Rileva il codice che non scrive mai su disco.
• Deobfuscazione del flusso di controllo per .NET → Perfetto per decomprimere le DLL offuscate come Orion.
• Decodifica Base64 automatica → Smaschera le stringhe crittografate utilizzate dagli aggressori.

L'ultima versione aggiunge funzionalità che si rifanno direttamente alle minacce di SolarWinds:

• Esposizione del payload solo in memoria → Avrebbe rivelato l'esecuzione furtiva in memoria di SolarWinds.
• Disimballaggio del malware impacchettato → Identifica i payload nascosti all'interno di array statici.
• Binari pseudo-ricostruiti → Permette agli analisti di vedere un quadro completo delle DLL offuscate.
• Estrazione YARA e configurazione migliorata → Estrae le configurazioni del malware nonostante la crittografia.
• Disimballaggio del caricatore .NET → Direttamente pertinente alla logica .NET offuscata della DLL Orion.

Mentre iniziavamo a scrivere questo articolo, è stata resa pubblica una nuova campagna contro la catena di fornitura dell'ecosistema npm (npm è un gestore di pacchetti JavaScript incluso in Node.js, che consente l'esecuzione di JavaScript al di fuori del browser). Questa recente campagna ha coinvolto un worm autoreplicante chiamato "Shai-Hulud", che è riuscito a compromettere centinaia di pacchetti software. Questo incidente è stato analizzato in dettaglio nella pubblicazione di OPSWAT "From Dune to npm: Shai-Hulud Worm Redefines Supply Chain Risk".

Tuttavia, questa nuova campagna è particolarmente rilevante nel contesto del presente articolo, poiché dimostra anche che le capacità di rilevamento MetaDefender sono aggiornate ed efficaci contro le violazioni della catena di approvvigionamento. Si veda il nostro rapporto sul file dannoso bundle.js, che rileva il download di librerie tramite codice offuscato, classificando tale attività come «Probabilmente dannosa».

a. Nome di classe offuscato sospetto (OrionImprovementBusinessLayer).

b. Grandi array statici collegati a valori hash.

c. Stringhe Base64 crittografate.

a. Interrogazione del sistema WMI.

b. Tentativi di escalation dei privilegi.

c. Creazione di thread nascosti al di fuori del flusso di lavoro principale di Orion.

La violazione di SolarWinds è stata un campanello d'allarme, ma gli attacchi alla supply chain continuano ad aumentare. Secondo il 2025 Threat Landscape Report di OPSWAT , le infrastrutture critiche rimangono un obiettivo primario e i caricatori basati su file e offuscati sono sempre più comuni.

MetaDefender offre agli addetti alla sicurezza: