我們將微軟的自主惡意軟體分類代理 Project Ire 指向一個惡意軟體樣本,在沒有任何預設資訊的情況下,要求它做出判斷。該樣本是 LOTUSLITE 的一個變種,這是一種最近由 Acronis 記錄的 Windows DLL 後門程式。

截至 6 月 4 日,我們的樣本雜湊值不在 Acronis 的 IOC 列表中,且大多數主流 EDR(如 CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto、ESET)仍未將其標記為惡意軟體。

Ire 針對該樣本生成了一份逐函數的行為報告,內容涵蓋安裝程序、C2 封包佈局、命令 ID、持久化機制和混淆技術,這與 Acronis 發布的分析結果一致。這一切都透過一次反編譯器驅動的執行完成,沒有任何人工預設。

這就是當特徵碼比對和人工檢查不足時,行為驅動的代理式逆向工程所能達成的成就。那些共享 TTPs 但沒有入侵指標(IOC)的變種,將會被捕獲,而不是從特徵碼列表中溜走。新型惡意軟體分類是一個沒有自動驗證器的領域,需要深入調查和對軟體行為的整體理解才能揭示並確定其意圖。

Ire 在沒有任何上下文資訊的情況下運作:沒有來源中繼資料、沒有遙測資料、也沒有分析師的提示詞。它會調用反編譯器和二進位分析工具,建立可審計的證據鏈,並得出惡意或良性的判斷。

Acronis 的威脅研究部門(TRU)發布了一篇關於 LOTUSLITE 的報告,這是一個透過政治主題 ZIP 檔案傳遞的 DLL 後門,透過重新命名的騰訊酷狗啟動器進行側載。他們根據基礎設施重疊和載入器/DLL 分割,以中等信心將其歸因於 Mustang Panda 組織。

我們在 VirusTotal 上搜尋行為與該報告相符的樣本,發現了一個 SHA-256 值未出現在 Acronis IOC 列表中的樣本。

該樣本為:47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653。當我們在 5 月 28 日取得它時,VirusTotal 顯示 72 家廠商中只有 1 家將其標記。一週後,這個數字上升到 70 家中的 7 家。

這些廠商包括:Microsoft Trojan:Win32/Malgent!MSR、Kaspersky HEUR:Trojan-Dropper.Win32.Dorifel.gen、Rising Dropper.Dorifel!8.31E (CLOUD)、Cynet (分數 100)、Elastic (中等信心)、Kingsoft 和 TrendMicro-HouseCall。

隨著微軟現在也將其標記,VirusTotal 的熱門威脅標籤已轉變為 dropper.dorifel / malgent。然而,CrowdStrike Falcon、SentinelOne、Sophos、Trellix、Palo Alto 和 ESET 仍然未能偵測到它。

我們僅使用 Ire 基於反編譯器的工具,透過單一工具呼叫來分析該樣本。Ire 的判斷是「惡意」,您可以在 Github 上查閱完整的報告。

首先值得強調的是 Ire 報告中的一個顯著觀察。Ire 將 nfapi::nf_unRegisterDriver 和 NetFilter 的命名標記為可疑,但明確表示沒有聲稱存在主動封包攔截。該函數實際上是寫入 Run 鍵,而不是安裝驅動程式。

這就是大型語言模型(LLM)驅動分析可能出錯的地方:暗示性的字串可能會引導判斷。一個名為 nf_unRegisterDriver 的函數聽起來像是在執行核心級別的工作,一個不夠徹底的代理可能會將其寫入報告中。下游的防禦者隨後將追逐一個虛假的威脅,為可能不存在的行為建立偵測規則。Ire 標記了這個誤導性的名稱,並在最終判斷惡意性時將其行為視為證據的一部分。

將 Ire 的輸出與 Acronis 的報告進行比較,我們分析的樣本與 LOTUSLITE 惡意軟體家族的行為特徵相符。兩者都顯示了載入器/DLL 分割、帶有自定義二進位協議和魔術 DWORD 的 HTTPS C2、透過管道的互動式 shell、目錄列舉、檔案基本操作、分塊上傳、HKCU 持久化以及偽裝成 Google 和 Microsoft 服務的流量。

表面細節——例如檔案名稱、路徑和魔術值——有所不同,但底層行為一致。Ire 透過反編譯和逆向工程識別出的行為,而非僅僅透過字串比對,正確地將此樣本識別為同一惡意軟體家族的一部分。

由於該樣本是一個 DLL(根據 VirusTotal 為 pedll),其安裝程序讀取方式與初看可能不同。該 DLL 將兩個檔案複製到 C:\ProgramData\SmartPrint\:一個是側載它的載入器 EXE(其主機程序,透過 GetModuleFileName(NULL) 取得,寫入為 SmartPrintScreen.exe),另一個是它本身(AMPV.dll,即被分析的樣本)。

Run 鍵指向載入器,帶有 –DaDaBar 參數。在下次登入時,載入器會執行並從安裝路徑側載 AMPV.dll。這與 Acronis 識別出的模式相同,只是檔案名稱不同。

這也解釋了該二進位檔奇怪的匯出介面。該 DLL 匯出了一長串與銀行和 QR 碼相關的名稱(如 Query_Bank、BankSepah_Iran、BankToman_BMI、BankofChina、qrBankInit、JpgSymbolToBMP 等),其中大多數解析為訊息框或 ExitProcess。

這種形式暗示了一個被劫持的銀行/QR SDK shell,被重新利用,以便主機 EXE 可以透過 GetProcAddress 呼叫其中任何一個匯出函數,並到達 LOTUSLITE 的入口點。Acronis 將其命名為 DataImporterMain。Ire 的報告沒有顯示匹配的入口點名稱,但它識別出行為模式是相同的。

Acronis 根據我們無法存取之基礎設施和 TTPs,以中等信心將該惡意軟體家族歸因於 Mustang Panda。而我們的樣本直接包含一個未經混淆的字串「BelievemeIamMustang-Panda」。一個字串並非作者身份的直接證據;它可能是一個開發者遺留物、一個戰利品,或是一個故意的栽贓。

雖然我們不做出歸因判斷,但我們注意到該二進位檔命名了與 Acronis 透過其他方式命名的相同行為者,我們將這個問題懸而未決。對於這項發現,另一個需要考慮的因素是:這樣的字串可能會作為對 LLM 驅動分析的對抗性輸入,從而偏離判斷。

Ire 靜態逆向工程二進位檔,並從函數到系統層級識別其行為,以描述軟體的功能並做出判斷。由於 Ire 能夠揭示的具體細節,包括函數角色、封包佈局、命令 ID、持久化登錄檔鍵和誘餌字串,該樣本的判斷來自於單次 Ire 執行。

Ire 在其報告或證據鏈中從未提及 LOTUSLITE。家族映射是我們事後將 Ire 的報告與 Acronis 的報告進行比較後完成的。Ire 精確地描述了該樣本的行為,足以使其與 LOTUSLITE 的映射變得直接明瞭。

請關注我們的專案頁面,以獲取 Project Ire 的最新發現和其他有趣的樣本偵測結果。