SolarWinds Supply Chain Saldırısı MetaDefender™ Sandbox Kullanılarak Nasıl Önlenebilirdi?

SolarWinds tedarik zinciri saldırısı, Orion BT yönetim platformunda (SolarWinds.Orion.Core.BusinessLayer.dll) kullanılan meşru bir DLL'nin tehlikeye atılmasıyla etkinleştirildi. Tehdit aktörleri, kötü amaçlı kodu doğrudan içine yerleştirerek bu bileşeni gizlice değiştirdi.

Tanıdık bir kod tabanında göze çarpmayan birkaç satırla küçük, zararsız bir değişiklik gibi görünen şey, önemli bir tehdit ortaya çıkardı. Bu DLL, hem kamu hem de özel sektör kuruluşları tarafından kullanılan yaygın bir platformun parçasıydı ve saldırının erişimini eşi benzeri görülmemiş bir hale getirdi.

Ele geçirilen DLL'nin içine gizlenmiş, yaklaşık 4.000 satır koddan hazırlanmış tamamen işlevsel bir arka kapı vardı. Bu kod, saldırganlara etkilenen sistemlere gizli erişim sağlayarak alarm vermeden kurban ağları üzerinde kalıcı kontrol sağladı.

Bu saldırının en kritik yönlerinden biri, yazılım oluşturma sürecinin içine yerleştirilmesiydi. Tahrif edilmiş DLL, saldırganların SolarWinds'in yazılım geliştirme veya dağıtım altyapısına sızdığını gösteren geçerli bir dijital imza taşıyordu. Bu, kötü amaçlı kodun güvenilir görünmesini sağladı ve standart güvenlik kontrollerini tetiklemeden ayrıcalıklı eylemler gerçekleştirmesine izin verdi.

Saldırganlar gizliliği korumak için DLL'nin orijinal işlevselliğini bozmaktan kaçınmışlardır. Enjekte edilen yük hafif bir değişiklikten oluşuyordu: ayrı bir iş parçacığında yeni bir yöntem başlatarak ana uygulamanın davranışının değişmeden kalmasını sağlıyordu. Yöntem çağrısı mevcut bir işlev olan RefreshInternal'ın içine yerleştirilmiş, ancak tespit edilmesini önlemek için paralel olarak yürütülmüştür.

Arka kapı mantığı OrionImprovementBusinessLayer adlı bir sınıfta bulunuyordu ve bu isim yasal bileşenlere benzemesi için kasıtlı olarak seçilmişti. Bu sınıf, 13 dahili sınıf ve 16 işlev dahil olmak üzere kötü niyetli mantığın tamamını barındırıyordu. Tüm dizeler gizlenmişti, bu da statik analizi önemli ölçüde zorlaştırıyordu.

Kaçırılması kolay olan sanal makine tabanlı sanal alanların aksine MetaDefender Sandbox , komut düzeyinde emülasyon ve uyarlanabilir tehdit analizi kullanır. Bu, saldırganlar onları gizlemeye çalışsa bile gizli davranışları ortaya çıkarmasını sağlar.

Kum havuzu bu tür saldırıların ortaya çıkarılmasında çok önemli bir rol oynar. Kötü niyetli DLL dijital olarak imzalanmış ve meşru davranışı taklit etmek için dikkatlice hazırlanmış olsa da, bir kum havuzu ikili düzeydeki anormallikleri analiz ederek eklenen arka kapıyı tespit edebilir.

YARA kuralları ve itibar kontrolleri, SolarWinds saldırısının orijinal koşullarını simüle etmek için bu sanal alan taramasında kasıtlı olarak devre dışı bırakılmıştır, çünkü o sırada ikisi de mevcut değildi.

Çalışma zamanından önce Sandbox , gömülü mantığı ayıklamak için ikili dosyaları parçalarına ayırır. SolarWinds'in durumunda, işaretlenmiş olurdu:

• İşlem karmalarını düzenlemek için kullanılan 1096 baytlık büyük statik dizi.
• Kötü amaçlı yazılımlara özgü sıkıştırılmış + base64 kodlu dizeler.
• Alışılmadık OrionImprovementBusinessLayer sınıfı ve gizlenmiş işlevleri.

MetaDefender Sandbox 2.4.0 özellikle SolarWinds'te kullanılan taktikleri ele alır:

• Yalnızca bellek yüklerini açığa çıkarır → Diske hiç yazmayan kodu tespit eder.
• NET için kontrol akışı deobfuscation → Orion gibi gizlenmiş DLL'leri açmak için mükemmeldir.
• Otomatik Base64 kod çözme → Saldırganların kullandığı şifrelenmiş dizelerin maskesini kaldırır.

En son sürüm, SolarWinds benzeri tehditlerle doğrudan eşleşen yetenekler ekliyor:

• Yalnızca Bellek Yüküne Maruz Kalma → SolarWinds'in gizli bellek içi yürütmesini ortaya çıkarabilirdi.
• Paketlenmiş Kötü Amaçlı Yazılım Paketini Açma → Statik dizilerin içine gizlenmiş aşamalı yükleri tanımlar.
• Pseudo-Reconstructed Binaries → Analistlerin gizlenmiş DLL'lerin tam bir resmini görmelerini sağlar.
• Geliştirilmiş YARA ve Yapılandırma Çıkarma → Şifrelemeye rağmen kötü amaçlı yazılım yapılandırmalarını çıkarır.
• .NET Yükleyici Paketinden Çıkarma → Orion DLL'nin gizlenmiş .NET mantığı ile doğrudan ilgilidir.

Bu makaleyi yazmaya başladığımız sırada, npm ekosistemindeki tedarik zincirine karşı yeni bir kampanya kamuoyuna duyuruldu (npm, JavaScript'in tarayıcı dışında çalışmasını sağlayan Node.js ile birlikte gelen bir JavaScript paket yöneticisidir). Bu son kampanya, yüzlerce yazılım paketini tehlikeye atmayı başaran "Shai-Hulud" adlı kendi kendini kopyalayan bir solucanı içeriyordu. Bu olay OPSWAT 'ın "From Dune to npm: Shai-Hulud Worm Redefines Supply Chain Risk" başlıklı yayınında ayrıntılı olarak analiz edilmiştir.

Ancak bu yeni kampanya, MetaDefender Sandbox'ın tespit yeteneklerinin tedarik zinciri tehlikelerine karşı güncel ve etkili olduğunu göstermesi açısından bu makale bağlamında özellikle önemlidir. Karartılmış kod kullanan kütüphanelerin indirildiğini tespit eden ve bu etkinliği "Muhtemelen kötü amaçlı" olarak etiketleyen bundle.js adlı kötü amaçlı dosya için raporumuza bakın.

a. Şüpheli gizlenmiş sınıf adı (OrionImprovementBusinessLayer).

b. Hash değerlerine bağlı büyük statik diziler.

c. Şifrelenmiş Base64 dizeleri.

a. WMI sistem sorguları.

b. Ayrıcalık yükseltme çağrıları girişimi.

c. Orion'un ana iş akışının dışında gizli iş parçacıklarının oluşturulması.

SolarWinds ihlali bir uyanış çağrısıydı, ancak tedarik zinciri saldırıları artmaya devam ediyor. 2025 OPSWAT Threat Landscape Report' a göre, kritik altyapı en önemli hedef olmaya devam ediyor ve dosya tabanlı, gizlenmiş yükleyiciler giderek yaygınlaşıyor.

MetaDefender Sandbox , savunuculara şunları sağlar: