Ire识别出又一个LOTUSLITE样本

微软的自主恶意软件分类代理Project Ire近日成功识别并分析了一个LOTUSLITE变种样本，展示了行为分析和代理逆向工程在签名匹配和人工检查失效时的巨大价值。该样本是一个Windows DLL后门，与Acronis最近记录的LOTUSLITE家族共享战术、技术和程序（TTP），但其哈希值并未出现在Acronis的入侵指标（IOC）列表中。截至6月4日，大多数主流端点检测和响应（EDR）工具（包括CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto和ESET）仍然未能将其标记为恶意软件。

Ire在完全盲测的情况下，仅通过一次基于反编译器的调用就生成了详尽的功能级行为报告，涵盖了安装例程、C2数据包布局、命令ID、持久化机制和混淆手段。该报告与Acronis的公开分析高度吻合，证实了样本的恶意本质。值得注意的是，Ire并未依赖任何上下文信息（如来源元数据、遥测数据或分析师的提示），完全依靠解编译器和二进制分析工具构建可审计的证据链，最终得出“恶意”的判决。

在分析过程中，Ire的一个关键观察点在于对函数名称的谨慎处理。例如，样本中包含名为“nfapi::nf_unRegisterDriver”的函数，该名称暗示了内核级网络拦截，但实际行为仅是写入注册表运行键。Ire正确识别了这种误导性命名，并未将其误判为活跃的数据包拦截，从而避免了后续防御者构建错误的检测规则。

与Acronis样本的对比显示，两者在行为模式上高度一致：均采用加载器/DLL分离架构、基于HTTPS的C2通信、自定义二进制协议（含魔数DWORD）、交互式shell管道、目录枚举、文件操作、分块上传、HKCU持久化以及伪装成Google和Microsoft服务的流量。区别仅在于具体的文件名、路径和魔数值。Ire通过行为分析而非字符串匹配，准确地将该样本归入同一恶意软件家族。

样本中还出现了一个引人注目的细节：二进制文件中以明文形式包含了字符串“BelievemeIamMustang-Panda”，直接指向Acronis以中等置信度归因的Mustang Panda组织。尽管该字符串可能为开发人员遗留、战利品或故意植入的误导信息，但它确实与Acronis的归属线索相吻合。Ire在报告中未进行归属判断，而是专注于行为分析本身。

此次检测验证了Ire在新型恶意软件分类领域的核心能力：无需自动验证器，仅通过静态逆向工程即可从函数级到系统级全面描述软件行为并做出判决。Ire的报告从未提及“LOTUSLITE”这一家族名称，但所描述的行为精确到足以让研究人员轻松将其与Acronis的报告进行映射。这一成果凸显了行为分析和代理逆向工程在应对变种恶意软件时的独特优势。