Exploring Trojanized Closed-Source Software Supply Chain Attacks Through Differential Malware Analysis

Abstract

I de siste årene så har det vært en økning av angrep gjennom kompromittert forsyninskjede for programvare. SolarWinds angrepet i 2020 var et ondsinnet angrep som ble gjennomført av en avansert trussel aktør som hadde hold seg unna deteksjon i SolarWinds sitt nettverk i over et år mens dem tilegnet seg tilgang til kundenettverk. Denne masteroppgaven ønsket å avgjøre om grunnleggende statiske analysemetoder som PE fil analyse og string analyse sammen med dynamisk sandboksing sammen med differensial analyse kunne brukes til å detektere slike angrep. Analysen har blitt gjennomført på 10 par med trojaniserte og legitime filer, og ledet til funn at statiske metoder var vel fungerende til å oppdage ondsinnede indikatorer og indikatorer for obfuskering, mens sandboksing fungerte ikke like bra.

In the last few years, there has been an increase in the amount of software supply chain attacks. The SolarWinds attack in 2020 was an insidious attack conducted by an Advanced Persistent Threat that managed to remain undetected within the Solarwinds networks for over a year, and while they backdoored their way through several victimised customers. This master's thesis sought to determine if basic analysis methods such as PE file analysis and embedded string analysis together with dynamic sandboxing leveraged through differential analysis of the benign and trojanized sample pairs would reveal indicators of compromise. The analysis of 10 sample pairs of trojanized and legitimate software was conducted and led to the findings that these static methods were well suited to finding both malicious indicators and indications of obfuscation, while the sandboxing techniques were less able.