Lilith Lilith.
CS EN PL
Začít

Microsoft ukázal, že Project Ire dokázal označit 253 KB DLL variantu LOTUSLITE jako malware, i když ji na VirusTotal 28. května 2026 zachytil jen 1 ze 72 vendorů. Důležitý posun je v metodě: agent četl chování binárky místo seznamu IOC.

Agent dostal 253 KB DLL a označil ji jako malware

Microsoft Research popisuje vzorek s SHA-256 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 jako Windows DLL backdoor příbuzný rodině LOTUSLITE. Project Ire dostal binárku naslepo: bez telemetrie, bez původu souboru, bez analyst promptu a bez lidských indicií.

Ire použil decompiler a binární analytické nástroje, vytvořil function-by-function report a označil soubor jako malicious. Microsoft tvrdí, že vzorek sdílel TTPs s veřejně popsaným LOTUSLITE, ale jeho hash nebyl v IOC seznamu Acronisu.

Detekce se mezitím posouvala pomalu. VirusTotal podle Microsoftu ukazoval 28. května 2026 poměr 1 ze 72, 4. června 2026 už 7 ze 70. Někteří velcí EDR vendoři, včetně CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto a ESET, ho podle blogu stále neflagovali.

Bezpečnostní týmy tím získávají auditovatelnou druhou dvojici očí

Pro SOC týmy je zajímavé hlavně to, že Ire nehledal shodu v signaturách. Skládal příběh z instalace, persistence, C2 protokolu, obfuscation a command IDs. To je přesně mezera mezi statickým IOC feedem a ruční reverse engineering prací.

Praktický dopad není v tom, že agent nahradí malware analytika. Silnější scénář je triage: podezřelé binárky, které nepasují do známého seznamu, dostanou auditovatelný behaviorální rozbor dřív, než se dostanou na stůl seniorního analytika.

Jeden přesný zásah z Ire ještě nedělá produkční SOC

Microsoft ukazuje přesvědčivý případ, ale pořád je to jeden vzorek vybraný tak, aby demonstroval sílu přístupu. U malware klasifikace chybí snadný automatický validator. Falešná pozitivita, odolnost vůči obfuscation a náklady na analýzu budou bolet víc než hezký report na GitHubu.

Opatrnost je na místě i u atribuce. Binárka obsahovala řetězec BelievemeIamMustang-Panda, ale Ire z něj neudělal autorství. To je správně: v bezpečnosti je laciná atribuce často rychlejší než pravda.

Rozhodne falešná pozitivita a práce mimo ukázkové vzorky

Další signál bude, jestli Microsoft ukáže širší evals: kolik benigních souborů Ire zbytečně obviní, jak si poradí s packed malware a jak dlouho trvá analýza na škále tisíců vzorků denně.

Pokud se z toho stane služba napojená na Defender nebo interní SOC workflow, začne být debata praktická. Do té doby je to silný důkaz směru, ne hotová provozní výměna za lidský reverse engineering.

Lilithin verdikt

Ire působí jako analytik zavřený v tmavé místnosti s jedním binárním souborem a lupou. Když i bez šeptání z telemetrie pozná úmysl, signaturní skenery najednou vypadají jako vrátný s prošlým seznamem hostů.

Externí odkaz nechávám až nakonec. Nejdřív stručný výklad tady, bez lovení po cizím webu.

Původní zdroj ↗