Ire識別出又一個LOTUSLITE樣本

微軟的自主惡意軟體分類代理Project Ire近日成功識別並分析了一個LOTUSLITE變種樣本，展示了行為分析和代理逆向工程在簽名匹配和人工檢查失效時的巨大價值。該樣本是一個Windows DLL後門，與Acronis最近記錄的LOTUSLITE家族共享戰術、技術和程式（TTP），但其雜湊值並未出現在Acronis的入侵指標（IOC）列表中。截至6月4日，大多數主流端點檢測和響應（EDR）工具（包括CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto和ESET）仍然未能將其標記為惡意軟體。

Ire在完全盲測的情況下，僅透過一次基於反編譯器的呼叫就生成了詳盡的功能級行為報告，涵蓋了安裝例程、C2資料包佈局、命令ID、持久化機制和混淆手段。該報告與Acronis的公開分析高度吻合，證實了樣本的惡意本質。值得注意的是，Ire並未依賴任何上下文資訊（如來源後設資料、遙測資料或分析師的提示），完全依靠解編譯器和二進位制分析工具構建可審計的證據鏈，最終得出“惡意”的判決。

在分析過程中，Ire的一個關鍵觀察點在於對函式名稱的謹慎處理。例如，樣本中包含名為“nfapi::nf_unRegisterDriver”的函式，該名稱暗示了核心級網路攔截，但實際行為僅是寫入登錄檔執行鍵。Ire正確識別了這種誤導性命名，並未將其誤判為活躍的資料包攔截，從而避免了後續防禦者構建錯誤的檢測規則。

與Acronis樣本的對比顯示，兩者在行為模式上高度一致：均採用載入器/DLL分離架構、基於HTTPS的C2通訊、自定義二進位制協議（含魔數DWORD）、互動式shell管道、目錄列舉、檔案操作、分塊上傳、HKCU持久化以及偽裝成Google和Microsoft服務的流量。區別僅在於具體的檔名、路徑和魔數值。Ire透過行為分析而非字串匹配，準確地將該樣本歸入同一惡意軟體家族。

樣本中還出現了一個引人注目的細節：二進位制檔案中以明文形式包含了字串“BelievemeIamMustang-Panda”，直接指向Acronis以中等置信度歸因的Mustang Panda組織。儘管該字串可能為開發人員遺留、戰利品或故意植入的誤導資訊，但它確實與Acronis的歸屬線索相吻合。Ire在報告中未進行歸屬判斷，而是專注於行為分析本身。

此次檢測驗證了Ire在新型惡意軟體分類領域的核心能力：無需自動驗證器，僅透過靜態逆向工程即可從函式級到系統級全面描述軟體行為並做出判決。Ire的報告從未提及“LOTUSLITE”這一家族名稱，但所描述的行為精確到足以讓研究人員輕鬆將其與Acronis的報告進行對映。這一成果凸顯了行為分析和代理逆向工程在應對變種惡意軟體時的獨特優勢。