كيف كان من الممكن منع هجوم Supply Chain من SolarWinds باستخدام MetaDefender™ Sandbox

تم تمكين الهجوم على سلسلة توريد SolarWinds من خلال اختراق مكوّن DLL شرعي مستخدم في منصة إدارة تكنولوجيا المعلومات Orion (SolarWinds.Orion.Core.BusinessLayer.dll). وقد قامت الجهات التخريبية بتعديل هذا المكون خلسةً عن طريق تضمين تعليمات برمجية خبيثة مباشرة فيه.

ما بدا أنه تغيير طفيف وغير ضار، مع بعض الأسطر غير الواضحة في قاعدة برمجية مألوفة، انتهى به الأمر إلى إدخال تهديد كبير. كانت برمجية DLL هذه جزءًا من منصة منتشرة على نطاق واسع تستخدمها مؤسسات القطاعين العام والخاص، مما جعل نطاق الهجوم غير مسبوق.

كان مخبأً داخل DLL المخترقة باب خلفي يعمل بكامل طاقته، تم تصميمه من حوالي 4,000 سطر من التعليمات البرمجية. وقد منحت هذه الشيفرة البرمجية المهاجمين إمكانية الوصول السري إلى الأنظمة المتأثرة، مما أتاح لهم التحكم المستمر في شبكات الضحايا دون إطلاق الإنذارات.

كان أحد أهم جوانب هذا الهجوم هو وضعه داخل عملية بناء البرمجيات نفسها. وقد حملت الشيفرة البرمجية DLL التي تم التلاعب بها توقيعاً رقمياً صحيحاً، مما يشير إلى أن المهاجمين قد تسللوا إلى البنية التحتية لتطوير البرمجيات أو توزيعها في سولارويندز. وقد جعل هذا الأمر الشيفرة البرمجية الخبيثة تبدو جديرة بالثقة وسمح لها بتنفيذ إجراءات مميزة دون تفعيل ضوابط الأمان القياسية.

وللحفاظ على التخفي، تجنب المهاجمون تعطيل وظيفة DLL الأصلية. تألفت الحمولة المحقونة من تعديل خفيف الوزن: فقد أطلقت طريقة جديدة في مؤشر ترابط منفصل، مما يضمن بقاء سلوك التطبيق المضيف دون تغيير. تم تضمين استدعاء الأسلوب في دالة موجودة، RefreshInternal، ولكن تم تنفيذه بالتوازي لتجنب اكتشافه.

كان منطق الباب الخلفي موجودًا في فئة تحمل اسم OrionImprovementBusinessLayer، وهو اسم تم اختياره عمدًا ليشبه المكونات الشرعية. احتوى هذا الفصل على كامل المنطق الخبيث، بما في ذلك 13 فئة داخلية و16 دالة. تم التعتيم على جميع السلاسل مما جعل التحليل الساكن أكثر صعوبة إلى حد كبير.

على عكس صناديق الحماية القائمة على الآلة الافتراضية التي يسهل التهرب منها، يستخدم MetaDefender Sandbox محاكاة على مستوى التعليمات وتحليل التهديدات التكيفي. وهذا يسمح له بالكشف عن السلوكيات الخفية حتى عندما يحاول المهاجمون إخفاءها.

يلعب صندوق الحماية دورًا حاسمًا في كشف هذا النوع من الهجمات. على الرغم من أن DLL الخبيثة موقّعة رقميًا ومصممة بعناية لتقليد السلوك الشرعي، يمكن لصندوق الرمل اكتشاف الباب الخلفي المُدرج من خلال تحليل الحالات الشاذة على المستوى الثنائي.

تم تعطيل قواعد YARA وعمليات التحقق من السمعة عمدًا في هذا الفحص في وضع الحماية هذا لمحاكاة الظروف الأصلية لهجوم SolarWinds، حيث لم يكن أي منهما متاحًا في ذلك الوقت.

قبل وقت التشغيل، يقوم Sandbox بتفكيك الثنائيات لاستخراج المنطق المضمن. في حالة SolarWinds، كان سيتم الإبلاغ عنها:

• المصفوفة الثابتة الكبيرة 1096 بايت المستخدمة لتنظيم تجزئات المعالجة.
• السلاسل المضغوطة + السلاسل المشفرة بترميز base64 النموذجية للبرمجيات الخبيثة.
• فئة OrionImproprovementBusinessLayer غير المعتادة ووظائفها المبهمة.

يعالج MetaDefender Sandbox 2.4.0 على وجه التحديد التكتيكات المستخدمة في SolarWinds:

• كشف حمولات الذاكرة فقط → يكتشف التعليمات البرمجية التي لا تكتب على القرص أبدًا.
• إزالة التعتيم عن تدفق التحكم ل .NET → مثالي لتفريغ ملفات DLL المبهمة مثل Orion.
• فك تشفير Base64 الآلي → فك تشفير السلاسل المشفرة التي استخدمها المهاجمون.

يضيف الإصدار الأخير إمكانات ترتبط مباشرةً بالتهديدات المشابهة لـ SolarWinds:

• تعريض الحمولة للذاكرة فقط → كان سيكشف عن تنفيذ SolarWinds الخفي في الذاكرة.
• تفريغ البرمجيات الخبيثة المعبأة → يحدد الحمولات المرحلية المخبأة داخل مصفوفات ثابتة.
• الثنائيات الزائفة المعاد إنشاؤها → يسمح للمحللين برؤية صورة كاملة لملفات DLLs المشوشة.
• YARA المحسّن واستخراج التكوينات → سيستخرج تكوينات البرمجيات الخبيثة على الرغم من التشفير.
• .NET Loader Unpacking .NET Unpacking → ذات الصلة المباشرة بمنطق .NET المشوش لـ Orion DLL.

أثناء شروعنا في كتابة هذه المقالة، تم الإعلان عن حملة جديدة ضد سلسلة التوريد في منظومة npm (npm هو مدير حزم جافا سكريبت مضمن مع Node.js، والذي يسمح بتشغيل جافا سكريبت خارج المتصفح.) تضمّنت هذه الحملة الأخيرة دودة ذاتية التكاثر تُدعى "شاي-هولود"، والتي تمكنت من اختراق مئات الحزم البرمجية. وقد تم تحليل هذه الحادثة بالتفصيل في منشور OPSWAT "من الكثيب إلى npm: دودة Shai-Hulud تعيد تعريف مخاطر Supply Chain ".

ومع ذلك، فإن هذه الحملة الجديدة ذات أهمية خاصة في سياق هذه المقالة، لأنها توضح أيضًا أن قدرات الكشف في MetaDefender Sandbox محدثة وفعالة ضد الاختراقات في سلسلة التوريد. راجع تقريرنا للملف الخبيث bundle.js، الذي يكتشف تنزيل المكتبات باستخدام تعليمات برمجية مشوشة، ويصنّف هذا النشاط على أنه "خبيث على الأرجح".

a. اسم الفئة المشبوهة المشبوهة (OrionImprovementBusinessLayer).

b. مصفوفات ثابتة كبيرة مرتبطة بقيم التجزئة.

c. سلاسل Base64 المشفرة.

a. استعلامات نظام WMI.

b. مكالمات تصعيد الامتيازات المحاولات.

c. إنشاء خيوط مخفية خارج سير عمل أوريون الرئيسي.

لقد كان اختراق SolarWinds بمثابة جرس إنذار، ولكن هجمات سلسلة التوريد مستمرة في الارتفاع. فوفقًا لتقرير مشهد التهديدات لعام 2025 الصادر عن OPSWAT التهديدات OPSWAT لا تزال البنية التحتية الحيوية هدفًا رئيسيًا، كما أن برامج التحميل المشوشة القائمة على الملفات شائعة بشكل متزايد.

يوفر MetaDefender Sandbox للمدافعين ما يلي: