Como Supply Chain da SolarWinds poderia ter sido evitado usando MetaDefender

O ataque à cadeia de abastecimento da SolarWinds foi ativado através do comprometimento de uma DLL legítima utilizada na plataforma de gestão de TI Orion (SolarWinds.Orion.Core.BusinessLayer.dll). Os agentes da ameaça modificaram furtivamente este componente, incorporando código malicioso diretamente no mesmo.

O que parecia ser uma alteração menor e inofensiva, com algumas linhas discretas numa base de código familiar, acabou por introduzir uma ameaça significativa. Esta DLL fazia parte de uma plataforma amplamente utilizada por organizações do sector público e privado, tornando o alcance do ataque sem precedentes.

Escondida na DLL comprometida estava uma backdoor totalmente funcional, criada a partir de cerca de 4.000 linhas de código. Este código concedia aos atacantes acesso secreto aos sistemas afectados, permitindo um controlo persistente sobre as redes das vítimas sem dar alarmes.

Um dos aspectos mais críticos desse ataque foi sua colocação no próprio processo de criação de software. A DLL adulterada continha uma assinatura digital válida, indicando que os atacantes haviam se infiltrado na infraestrutura de desenvolvimento ou distribuição de software da SolarWinds. Isso fez com que o código malicioso parecesse confiável e permitiu que ele executasse ações privilegiadas sem acionar os controles de segurança padrão.

Para manter a discrição, os atacantes evitaram perturbar a funcionalidade original da DLL. A carga útil injectada consistia numa modificação ligeira: lançava um novo método numa thread separada, assegurando que o comportamento da aplicação anfitriã permanecia inalterado. A chamada do método foi incorporada numa função existente, RefreshInternal, mas executada em paralelo para evitar a deteção.

A lógica do backdoor residia numa classe chamada OrionImprovementBusinessLayer, um nome escolhido deliberadamente para se assemelhar a componentes legítimos. Essa classe abrigava a totalidade da lógica maliciosa, incluindo 13 classes internas e 16 funções. Todas as cadeias de caracteres foram ofuscadas, tornando a análise estática significativamente mais difícil.

Ao contrário das sandboxes baseadas em máquinas virtuais, que são fáceis de contornar, MetaDefender utiliza emulação ao nível da instrução e análise adaptativa de ameaças. Isto permite-lhe detetar comportamentos ocultos, mesmo quando os atacantes tentam disfarçá-los.

Uma caixa de areia desempenha um papel crucial na descoberta deste tipo de ataque. Mesmo que a DLL maliciosa seja assinada digitalmente e cuidadosamente criada para imitar o comportamento legítimo, uma caixa de areia pode detetar o backdoor inserido analisando anomalias no nível binário.

As regras YARA e as verificações de reputação foram intencionalmente desactivadas para esta análise sandbox para simular as condições originais do ataque da SolarWinds, uma vez que nenhuma delas estava disponível na altura.

Antes do tempo de execução, Sandbox desmonta os binários para extrair a lógica incorporada. No caso da SolarWinds, teria sido sinalizada:

• A grande matriz estática de 1096 bytes utilizada para organizar os hashes do processo.
• Strings comprimidas + codificadas em base64, típicas de malware.
• A invulgar classe OrionImprovementBusinessLayer e as suas funções ofuscadas.

MetaDefender 2.4.0 aborda especificamente as táticas utilizadas no caso SolarWinds:

• Expor cargas úteis apenas de memória → Detecta código que nunca grava no disco.
• Desofuscação do fluxo de controlo para .NET → Perfeito para descompactar DLLs ofuscadas como o Orion.
• Descodificação automatizada Base64 → Desmascara as cadeias encriptadas utilizadas pelos atacantes.

A versão mais recente acrescenta capacidades diretamente relacionadas com ameaças semelhantes às da SolarWinds:

• Exposição de carga útil somente na memória → Teria revelado a execução furtiva da SolarWinds na memória.
• Desempacotamento de malware empacotado → Identifica cargas úteis escalonadas escondidas dentro de matrizes estáticas.
• Binários Pseudo-Reconstruídos → Permite que os analistas vejam uma imagem completa das DLLs ofuscadas.
• Extração melhorada de YARA e configuração → Extrai configurações de malware apesar da encriptação.
• Desempacotamento do carregador .NET → Diretamente relevante para a lógica .NET ofuscada da DLL do Orion.

Enquanto começávamos a escrever este artigo, uma nova campanha contra a cadeia de suprimentos no ecossistema npm foi tornada pública (npm é um gerenciador de pacotes JavaScript incluído no Node.js, que permite que o JavaScript seja executado fora do navegador). Esta recente campanha envolveu um worm auto-replicante chamado "Shai-Hulud", que conseguiu comprometer centenas de pacotes de software. Este incidente foi analisado em pormenor na publicação OPSWAT "From Dune to npm: Shai-Hulud Worm Redefines Supply Chain Risk".

No entanto, esta nova campanha é particularmente relevante no contexto deste artigo, uma vez que também demonstra que as capacidades de deteção MetaDefender estão atualizadas e são eficazes contra ataques à cadeia de abastecimento. Consulte o nosso relatório sobre o ficheiro malicioso bundle.js, que deteta o download de bibliotecas através de código ofuscado, classificando esta atividade como «Provavelmente maliciosa».

a. Nome de classe ofuscado suspeito (OrionImprovementBusinessLayer).

b. Grandes matrizes estáticas ligadas a valores hash.

c. Cadeias de caracteres Base64 encriptadas.

a. Consultas de sistema WMI.

b. Tentativa de chamadas de escalonamento de privilégios.

c. Criação de threads ocultas fora do fluxo de trabalho principal do Orion.

A violação da SolarWinds foi um sinal de alerta, mas os ataques à cadeia de abastecimento continuam a aumentar. De acordo com o relatório 2025 OPSWAT Threat Landscape Report, as infra-estruturas críticas continuam a ser um dos principais alvos e os carregadores ofuscados baseados em ficheiros são cada vez mais comuns.

MetaDefender oferece aos responsáveis pela segurança: