2026-07-02 · ← Radar
Microsoftowy Ire znalazł LOTUSLITE tam, gdzie sygnatury zawiodły
Microsoft pokazał, że Project Ire potrafił oznaczyć 253 KB wariant DLL LOTUSLITE jako malware, choć 28 maja 2026 roku na VirusTotal wykrywał go tylko 1 z 72 vendorów. Sedno tkwi w analizie zachowania binarki, a nie w dopasowaniu do listy IOC.
Agent dostał 253 KB DLL i zwrócił werdykt malicious
Microsoft Research opisuje próbkę o SHA-256 47e51e82229e80a387c3cb100d39d3705e6360bbf9bfa1601dbc484e8d02e653 jako Windows DLL backdoor powiązany z rodziną LOTUSLITE. Project Ire dostał binarkę w ciemno: bez telemetrii, bez informacji o pochodzeniu pliku, bez analyst promptu i bez ludzkich podpowiedzi.
Ire użył decompilera oraz narzędzi do analizy binarnej, przygotował function-by-function report i uznał plik za malicious. Microsoft twierdzi, że próbka dzieliła TTPs z publicznie opisanym LOTUSLITE, ale jej hash nie znajdował się na liście IOC Acronisu.
Detekcja przesuwała się powoli. Według Microsoftu VirusTotal pokazywał 28 maja 2026 roku wynik 1 z 72, a 4 czerwca 2026 roku 7 z 70. Część dużych vendorów EDR, w tym CrowdStrike Falcon, SentinelOne, Sophos, Trellix, Palo Alto i ESET, nadal jej nie flagowała.
Zespoły bezpieczeństwa dostają audytowalną drugą parę oczu
Dla SOC najciekawsze jest to, że Ire nie szukał zgodności z sygnaturą. Składał obraz z instalacji, persistence, protokołu C2, obfuscation i command IDs. To właśnie luka między statycznym feedem IOC a ręcznym reverse engineering.
Praktyczny efekt polega na triage. Podejrzane binarki, które nie pasują do znanej listy, mogą dostać audytowalny opis zachowania, zanim trafią do senior malware analityka.
Jeden celny strzał nie buduje jeszcze produkcyjnego SOC
Microsoft pokazuje mocny przypadek, ale to wciąż jedna próbka dobrana do demonstracji podejścia. Malware classification nie ma prostego automatycznego validatora. False positives, odporność na obfuscation i koszt analizy będą ważniejsze niż ładny raport na GitHubie.
Ostrożność jest potrzebna także przy atribucji. Binarka zawierała tekst BelievemeIamMustang-Panda, ale Ire nie zrobił z niego dowodu autorstwa. Słusznie: w security tania atribucja często wyprzedza prawdę.
O wartości zdecydują false positives i brudne próbki
Następny sygnał to szersze evals: ile benign files Ire niesłusznie oskarży, jak poradzi sobie z packed malware i ile trwa analiza przy tysiącach próbek dziennie.
Jeśli trafi jako usługa do Defendera albo wewnętrznych workflow SOC, rozmowa stanie się praktyczna. Na razie to mocny dowód kierunku, nie gotowa wymiana ludzkiego reverse engineering.
Werdykt Lilith
Ire wygląda jak analityk zamknięty w ciemnym pokoju z jedną binarką i lupą. Jeśli bez szeptu telemetrii potrafi odczytać zamiar, skanery sygnatur zaczynają przypominać ochroniarza z wczorajszą listą gości.
Link zewnętrzny zostawiam na koniec. Najpierw krótkie wyjaśnienie tutaj, bez polowania po cudzej stronie.
Oryginalne źródło ↗ ↗