Project Ire 检测了一个及时的恶意软件样本，并通过逆向工程确定了其意图——识别出 LOTUSLITE 特征，即使大多数主流 EDR 工具未能检测到它。https://t.co/YPfCJPLeFn https://t.co/voZ1LcZQIq

Project Ire 发现一个逃避检测的恶意软件样本的内幕

来源：https://www.microsoft.com/en-us/research/blog/ire-identifies-another-lotuslite-specimen/ Project Ire | | 三个白色线条图标在抽象紫色背景上 | 大于/小于图标，搜索图标，盾牌图标## 概览

• Project Ire 识别出一个 LOTUSLITE 变体，该变体与公开家族共享 TTPs（工具、战术、程序），但不共享任何入侵指标（IOC）。
• 基于 LLM 的代理在无需任何用户交互的情况下，生成该样本的逐功能行为报告，以判定其是否为恶意。
• 二进制文件中以明文形式命名了一个威胁行为者；代理拒绝进行归因，而是专注于静态分析其行为。

我们将 Project Ire（https://www.microsoft.com/en-us/research/project/project-ire/）——微软的自主恶意软件分类代理——对准一个恶意软件样本（盲测），并要求其给出判定。该样本是 LOTUSLITE 的一个变种，LOTUSLITE 是 Acronis 最近记录的一种 Windows DLL 后门。我们副本的哈希值不在他们的 IOC 列表中，截至 6 月 4 日，大多数主流 EDR（CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto、ESET）仍将其标记为未检出。Ire 生成了一份逐功能行为报告——安装例程、C2 数据包布局、命令 ID、持久化机制、混淆——与 Acronis 发布的报告相符。基于反编译器的一次运行，无需人工先验知识。

这就是当签名匹配和手动检测不足时，行为化、代理驱动的逆向工程所能达到的效果。共享 TTPs 但不共享入侵指标（IOC）的变种会被捕获，而不会从签名列表旁溜走。新颖的恶意软件分类是一个没有自动验证器的领域，需要深入调查和整体理解软件行为，以浮现并确定意图。Ire 在无上下文的情况下运行：没有来源元数据、没有遥测、没有分析师的提示。它调用反编译器和二进制分析工具，构建可审计的证据链，并给出恶意或良性的判定。

Acronis 威胁研究组（TRU）发布了一篇报告（在新标签页中打开）（https://www.acronis.com/en/tru/posts/lotuslite-targeted-espionage-leveraging-geopolitical-themes/），关于 LOTUSLITE，这是一种通过政治主题 ZIP 分发的 DLL 后门，通过重命名的腾讯酷狗启动器进行侧加载。他们以中等置信度将其归因于 Mustang Panda，基于基础设施重叠和加载器/DLL 分离。在 VirusTotal 上搜索行为与报告匹配的样本时，我们找到一个 SHA-256 不在 Acronis IOC 列表中的样本。

该样本：47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653（在新标签页中打开）（https://www.virustotal.com/gui/file/47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653）。当我们于 5 月 28 日获取它时，VirusTotal 显示只有 1/72 的供应商标记其为恶意。

一张 253 KB 样本在 VirusTotal 上的截图，拍摄于 2026 年 5 月 28 日，显示只有 1/72 的供应商标记其为恶意。图 1. 文件样本 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 于 2026 年 5 月 28 日在 VirusTotal 上的检测状态。

一周后，这个数字上升到 7/70。集群：Microsoft Trojan:Win32/Malgent!MSR、Kaspersky HEUR:Trojan-Dropper.Win32.Dorifel.gen、Rising Dropper.Dorifel!8.31E (CLOUD)、Cynet (得分 100)、Elastic (中等置信度)、Kingsoft、TrendMicro-HouseCall。由于 Microsoft 现在已标记，VT 的流行威胁标签已转向 dropper.dorifel / malgent。CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto 和 ESET 仍然漏检。VT 列出文件类型为 pedll (PE DLL)，文件名为 SmartPrintScreen.Print。

一张相同的 253 KB 样本于 2026 年 6 月 4 日的截图，显示 7/70 的安全供应商已将该样本识别为恶意：Cynet、Kaspersky、Microsoft、TrendMicro-HouseCall、Elastic、Kingsoft、Rising 和 Acronis (Static MIL)。图 2. 文件样本 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 于 2026 年 6 月 4 日在 VirusTotal 上的检测状态。

我们使用 Ire 对该样本进行分析，仅通过一次工具调用使用了其基于反编译器的工具。Ire 的判定是“恶意”；您可以在 Github 上查看完整报告（在新标签页中打开）（https://nam06.safelinks.protection.outlook.com/?url=https%3A%2F%2Fgithub.com%2Fmicrosoft%2Fproject-ire%2Fblob%2Fmain%2Freports%2F47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653.md&data=05%7C02%7Csmithsarah%40microsoft.com%7Cabbc5bb6be7e4ddca50b08dec7d70737%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C639167923516521150%7CUnknown%7CTWFpbGZsb3d8eyJFbXB0eU1hcGkiOnRydWUsIlYiOiIwLjAuMDAwMCIsIlAiOiJXaW4zMiIsIkFOIjoiTWFpbCIsIldUIjoyfQ%3D%3D%7C0%7C%7C%7C&sdata=rr4gCWnGCAHITM4ARAtVXqu66UzUVqByMacq%2BsOmNQ8%3D&reserved=0）。

关于 Ire 的校准

在 Ire 的报告（在新标签页中打开）（https://github.com/microsoft/project-ire/blob/main/reports/47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653.md）中，有一个值得注意的观察点需要首先强调。Ire 将 nfapi::nf_unRegisterDriver 和 NetFilter 命名标记为可疑，但明确未声称有主动数据包拦截。所讨论的函数写入 Run 键；它并未安装驱动程序。这正是 LLM 驱动分析可能出错的地方：暗示性的字符串可能会引导判定。一个名为 nf_unRegisterDriver 的函数听起来像是在内核级别工作，而一个不够彻底的代理会将其写入报告。下游的防御者便会追逐一个幽灵，针对可能并不存在的行为构建检测规则。Ire 标记了具有误导性的名称，并在最终判定恶意时将这一行为作为证据的一部分进行了考量。

比较两份报告

将 Ire 的输出与 Acronis 的报告进行比较，我们分析的样本与 LOTUSLITE 恶意软件家族的行为特征相符。两者都显示加载器/DLL 分离、带有自定义二进制协议（含魔法 DWORD）的 HTTPS C2、通过管道实现的交互式 shell、目录枚举、文件原语、分块上传、HKCU 持久化，以及伪装成 Google 和 Microsoft 服务的流量。表面细节不同——文件名、路径、魔法值——但底层行为一致。Ire 正确地将该样本识别为同一恶意软件家族的一员，这是因为它通过反编译和逆向工程识别出的行为，而不仅仅是基于字符串匹配。

由于该样本是一个 DLL（VT 标记为 pedll），其安装例程与初看时可能有所不同。该 DLL 将两个文件复制到 C:\ProgramData\SmartPrint\：侧加载它的加载器 EXE（其宿主进程，通过 GetModuleFileName(NULL) 获取，写入为 SmartPrintScreen.exe）以及自身 (AMPV.dll, 即被分析的样本)。Run 键指向带有 –DaDaBar 参数的加载器。下次登录时，加载器运行并从安装路径侧加载 AMPV.dll。这与 Acronis 识别的模式相同，只是文件名不同。

这也解释了该二进制文件奇怪的导出接口。该 DLL 导出了一长串以银行和 QR 为主题的名称（Query_Bank、BankSepah_Iran、BankToman_BMI、BankofChina、qrBankInit、JpgSymbolToBMP 等），其中大部分解析为消息框或 ExitProcess。其结构暗示了一个被劫持的银行/QR SDK 外壳，经过改造后，宿主 EXE 可以通过 GetProcAddress 调用其中任何一个导出函数，并到达 LOTUSLITE 入口点。Acronis 将其命名为 DataImporterMain。Ire 的报告并未显示匹配的入口点名称，但已识别出行为模式相同。

Acronis 以中等置信度将恶意软件家族归因于 Mustang Panda，基于我们无法获取的基础设施和 TTPs，而我们的样本直接包含一个文字行为者名称字符串 “BelievemeIamMustang-Panda”，且未经过混淆。一个字符串并不能直接证明作者身份；它可能是一个开发者遗留物、一个战利品，或者一个故意放置的误导。尽管我们不做归因判断，但我们注意到该二进制文件命名了 Acronis 通过其他手段命名的同一行为者，我们对此问题保持开放态度。对于这一发现的另一个考虑：这样的字符串可以作为 LLM 驱动分析的对抗性输入，从而影响判定结果。

视频系列

三思而后行 with Sinead Bovell（https://www.microsoft.com/en-us/research/story/on-second-thought/）

三思而后行

一个与 Sinead Bovell 共同制作的视频系列，围绕每个人都在问的关于 AI 的问题展开。与微软的专家一起，我们剖析这项快速变化的技术所面临的紧张关系和前景，探索正在演变和可能实现的一切。

为什么这很重要

Ire 静态逆向工程二进制文件，并从函数到系统层面识别行为，以描述软件的功能并确定判定。该样本的判定来自于一次 Ire 运行，因为 Ire 能够揭示出具体细节：函数角色、数据包布局、命令 ID、持久化注册表键和诱饵字符串。Ire 在其报告或证据链中从未提及 LOTUSLITE 这个名称。家族映射是我们事后进行的，通过将 Ire 的报告与 Acronis 的报告进行比较。Ire 足够精确地描述了行为，使得将该样本映射到 LOTUSLITE 变得直接。

通过关注我们的项目页面（https://www.microsoft.com/en-us/research/project/project-ire/），了解 Project Ire 的最新发现和其他有趣的样本检测结果。