Ire識別出又一個LOTUSLITE樣本

微軟的自主惡意軟件分類代理Project Ire近日成功識別並分析了一個LOTUSLITE變種樣本，展示了行為分析和代理逆向工程在簽名匹配和人工檢查失效時的巨大價值。該樣本是一個Windows DLL後門，與Acronis最近記錄的LOTUSLITE家族共享戰術、技術和程序（TTP），但其哈希值並未出現在Acronis的入侵指標（IOC）列表中。截至6月4日，大多數主流端點檢測和響應（EDR）工具（包括CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto和ESET）仍然未能將其標記為惡意軟件。

Ire在完全盲測的情況下，僅通過一次基於反編譯器的調用就生成了詳盡的功能級行為報告，涵蓋了安裝例程、C2數據包佈局、命令ID、持久化機制和混淆手段。該報告與Acronis的公開分析高度吻合，證實了樣本的惡意本質。值得注意的是，Ire並未依賴任何上下文信息（如來源元數據、遙測數據或分析師的提示），完全依靠解編譯器和二進制分析工具構建可審計的證據鏈，最終得出“惡意”的判決。

在分析過程中，Ire的一個關鍵觀察點在於對函數名稱的謹慎處理。例如，樣本中包含名為“nfapi::nf_unRegisterDriver”的函數，該名稱暗示了內核級網絡攔截，但實際行為僅是寫入註冊表運行鍵。Ire正確識別了這種誤導性命名，並未將其誤判為活躍的數據包攔截，從而避免了後續防禦者構建錯誤的檢測規則。

與Acronis樣本的對比顯示，兩者在行為模式上高度一致：均採用加載器/DLL分離架構、基於HTTPS的C2通信、自定義二進制協議（含魔數DWORD）、交互式shell管道、目錄枚舉、文件操作、分塊上傳、HKCU持久化以及偽裝成Google和Microsoft服務的流量。區別僅在於具體的文件名、路徑和魔數值。Ire通過行為分析而非字符串匹配，準確地將該樣本歸入同一惡意軟件家族。

樣本中還出現了一個引人注目的細節：二進制文件中以明文形式包含了字符串“BelievemeIamMustang-Panda”，直接指向Acronis以中等置信度歸因的Mustang Panda組織。儘管該字符串可能為開發人員遺留、戰利品或故意植入的誤導信息，但它確實與Acronis的歸屬線索相吻合。Ire在報告中未進行歸屬判斷，而是專注於行為分析本身。

此次檢測驗證了Ire在新型惡意軟件分類領域的核心能力：無需自動驗證器，僅通過靜態逆向工程即可從函數級到系統級全面描述軟件行為並做出判決。Ire的報告從未提及“LOTUSLITE”這一家族名稱，但所描述的行為精確到足以讓研究人員輕鬆將其與Acronis的報告進行映射。這一成果凸顯了行為分析和代理逆向工程在應對變種惡意軟件時的獨特優勢。