-
-
[分享]微软推出 Ire项目:用于实现大规模自主识别恶意软件
-
发表于: 2025-8-9 11:42
-
一、事件概述
2025年8月5日微软在其官方博客网站发布了一篇博文《Project Ire autonomously identifies malware at scale》,该文章介绍了微软推出一款能够自主分析和分类软件的AI模型 Ire,预期是能够无需人工干预,自动分析并判断软件是否安全。
它实现了恶意软件分类领域长期追求的目标:在完全不了解软件来源或用途的情况下,自动完成对一个软件文件的完整逆向工程。系统利用反编译器和其它工具,深入分析软件的行为,并最终判断:这个软件是有害的(恶意软件),还是无害的(我们称之为“良性”软件,即正常、安全的程序)。
博客地址:2f5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4y4f1y4Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4y4f1y4Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3M7X3g2K6k6h3q4J5j5$3S2Q4x3V1k6T1L8r3!0Y4i4K6u0r3M7s2u0G2K9X3g2U0N6q4)9J5k6r3W2J5k6g2)9J5k6r3q4#2N6r3!0F1L8$3#2G2N6i4y4D9P5g2)9J5k6r3W2V1k6h3&6@1K9h3k6A6k6i4y4Q4x3X3c8E0j5h3I4%4j5i4u0W2i4K6u0V1j5i4c8Q4x3X3c8K6j5$3q4D9k6g2)9J5c8V1W2J5k6b7`.`. 项目地址:670K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4y4f1y4Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4y4f1y4Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3M7X3g2K6k6h3q4J5j5$3S2Q4x3V1k6H3M7X3!0B7k6h3y4@1i4K6u0r3M7s2u0G2K9X3g2U0N6q4)9J5k6r3W2J5k6g2)9J5c8R3`.`.
二、项目背景:为什么需要 Project Ire?
微软的 Defender 平台每天要保护全球超过10亿台设备,每天都会遇到海量的新软件。目前,许多可疑文件仍需安全专家手动分析,工作量巨大。
这种工作不仅耗时耗力,还容易让分析师产生疲劳,甚至“职业倦怠”。更复杂的是,很多软件行为模棱两可——比如某些程序为了保护自己不被破解,会使用“反分析”技术,但这并不一定代表它是坏的。这就像是一个人穿得很神秘,不一定就是坏人。 因此,判断一个软件是否恶意,需要像侦探一样,一步步收集证据,综合判断。过去,这种复杂、需要“动脑”的过程很难交给机器自动完成。
三、Project Ire 是如何工作的?
Project Ire 试图通过作为一个自动化分析系统来解决这些挑战,该系统利用专用工具对软件进行逆向工程。该系统的架构支持多层次推理,从低级二进制分析到控制流重建,再到高级代码行为解释。
其工具使用API使系统能够通过多种逆向工程工具更新对文件的理解,包括基于Freta项目的Microsoft内存分析沙箱、自定义和开源工具、文档搜索以及多个反编译器。
(一)Freta项目介绍
介绍地址:
46eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3M7X3g2K6k6h3q4J5j5$3S2Q4x3V1k6T1L8r3!0Y4i4K6u0r3N6r3!0%4j5i4u0V1i4K6u0V1N6s2u0#2M7%4c8W2k6q4)9J5k6s2y4W2L8Y4y4A6L8X3N6Q4x3X3c8X3L8%4u0Q4x3X3c8@1K9r3g2Q4x3X3c8U0L8r3!0#2k6q4)9J5k6r3W2F1N6s2u0G2k6s2g2U0K9h3&6Y4i4K6u0V1M7s2u0G2K9X3g2U0N6q4)9J5k6r3k6J5k6i4c8S2i4K6u0r3
Freta 诞生于微软研究院,是通往“可信感知”(trusted sensing)在云环境中实现的路线图之一。它使企业能够定期、全面地扫描未被发现的恶意软件。
该项目的命名灵感来自Freta Street,即Marie Curie的出生地,她曾是战场成像技术的先驱者。尽管基于快照的内存取证技术已有十余年历史,但至今尚无商业云服务商能够为客户提供一种非侵入式、无需预先准备即可对数千台虚拟机(VM)进行完整内存审计的能力。
正如过去的胶片相机与今天的智能手机在像素数量上可能相近,但在易用性和普及度上却天差地别,Freta 的目标正是将虚拟机内存取证实现自动化并普及化,让每一位用户和企业都能“一键式”扫描易失性内存中的未知恶意软件——无需任何前期配置。
这一普及化努力的目标,是将“不可发现的云恶意软件”的开发成本推向理论上的极限。如果一个商业云平台能够保证:无论恶意软件多么昂贵或复杂,只要存在于内存中,就一定能被捕捉到,那会发生什么?届时,隐蔽型恶意软件的制造者将陷入不断重新发明的昂贵循环中,这样的云环境也将不再适合发动网络攻击。这正是我们希望实现的未来。
为此,我们提出了“可信感知”的四项核心属性,以最大化恶意软件的发现能力,并介绍我们沿此路线图至今的技术进展。作为技术演示,Project Freta 曾向公众开放一个分析门户,可自动对大多数基于云的 Linux 虚拟机的内存快照进行指纹识别与审计,自动支持超过 4,000 种内核版本。从现代企业捕获的 Hyper-V 检查点文件,可用于搜索从加密货币挖矿程序到高级内核级 rootkit 的各类威胁。
该原型预示着云用户未来的一种激动人心的选择:从依赖小众的取证咨询服务,转向将自动化恶意软件发现能力直接嵌入商业云基础设施的“基石”之中。
1、实现原理
Freta 分析引擎接收整个 Linux 系统的易失性内存快照,并提取系统对象的枚举列表。部分内核拦截(kernel hooking)识别会自动完成;分析师可利用此功能检测新型 rootkit。
四、实际表现如何?
在使用公开的 Windows 驱动程序数据集进行测试时,Project Ire 表现出色:
精确率高达 0.98:意味着它标记为“恶意”的文件中,98% 确实是坏的,误伤正常软件的情况极少。
召回率达到 0.83:意味着它能发现 83% 的真实恶意软件,漏网之鱼较少。
更值得一提的是, Ire 成为微软历史上第一个(无论是人类还是AI)成功识别出某个高级黑客组织(APT)所使用的恶意软件,并提供足够强的证据,让微软 Defender 能够自动拦截该威胁(我感觉是过渡宣传太狠了)。
原文过于该部分内容截图:
1、说是微软历史上首个成功逆向并撰写报告的逆向工程师
五、实际案例展示
(一)案例一:隐藏的“系统杀手”(Trojan:Win64/Rootkit.EH!MTB)
Ire 分析一个驱动程序时,发现了多个危险行为:
有一个函数专门监视并试图终止 Windows 的“资源管理器”(Explorer.exe),这是系统的关键进程,正常软件不会这样做。
另一个函数会偷偷连接网络,向远程服务器发送请求,很可能是为了接收黑客指令。
还有一个函数会“篡改”其他程序的运行路径,这是典型的“注入”攻击手段。
综合这些证据,Ire 判定:这是一个恶意软件。
该二进制文件包含一个名为 'MonitorAndTerminateExplorerThread_16f64' 的函数,该函数运行一个无限循环,等待同步对象,并在特定条件下终止系统线程。它会查询系统或进程信息,遍历进程列表,将进程名以不区分大小写的方式与 'Explorer.exe' 进行比对,并修改与 'Explorer.exe' 相关的注册表值。该函数似乎用于监视、甚至可能终止或操控 'Explorer.exe' 进程——这是 Windows 系统中的一个关键外壳进程。此类行为具有可疑性,符合旨在干扰或控制系统进程的恶意软件特征。
另一个函数 'HttpGetRequestAndResponse_174a4' 通过解析 URL、解析主机名、创建套接字、发送请求并读取响应,执行 HTTP GET 请求。这种网络通信能力常被用于命令与控制(C2)或数据外泄,是恶意软件的典型行为。
该二进制文件还包含一个名为 'PatchProcessEntryPointWithHook_12b5c' 的函数,它通过hook或跳转函数来修改某个进程的入口点,从而将执行流程重定向至指定地址。该技术常用于进程注入或挂钩操作,使恶意软件能够篡改进程行为或注入恶意代码。
此外,还识别出一些与向设备驱动程序发送 IOCTL 请求相关的函数,但在缺乏更多上下文的情况下,无法明确判断其是否具有恶意性。
总体而言,该二进制文件表现出多种恶意行为迹象,包括进程操控、网络通信以及代码注入技术,表明它很可能是一种旨在干扰系统进程并与远程服务器通信的恶意软件。
1.样本HASH
SHA256:
86047bb1969d1db455493955fd450d18c62a3f36294d0a6c3732c88dfbcc4f62
2、VT查杀地址
a90K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3k6%4g2A6i4K6u0r3k6X3W2D9k6g2)9J5c8U0R3$3x3o6b7%4j5X3t1I4z5e0j5&6k6o6q4V1j5U0b7#2y4e0b7&6x3K6V1#2y4h3k6V1y4o6f1H3k6o6p5^5j5K6j5J5j5e0y4X3x3K6j5J5z5e0c8V1x3r3p5$3j5K6x3%4x3K6u0U0z5o6S2V1k6X3u0U0j5K6c8X3y4U0t1`.
3、文件相似性搜索
13cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3K9h3I4W2M7$3y4S2L8W2)9J5k6h3W2G2i4K6u0r3N6i4m8D9L8$3q4V1M7#2)9J5c8U0j5@1x3X3x3J5j5$3g2T1y4o6V1%4k6X3t1$3k6U0t1K6k6h3k6V1y4e0j5@1y4q4)9J5c8Y4u0W2M7r3!0J5N6s2y4Q4x3V1j5^5y4h3u0S2k6o6V1H3x3W2)9J5k6o6M7K6j5e0c8Q4x3X3b7@1z5o6V1@1i4K6u0V1j5h3k6V1x3#2)9J5k6r3f1K6j5h3p5&6j5e0b7&6z5h3x3#2y4g2)9J5c8Y4y4A6L8h3W2D9j5i4u0A6N6s2W2Q4y4h3k6K6k6h3q4J5j5$3R3`.
(二)案例二:禁用杀毒软件(HackTool:Win64/KillAV!MTB)
这个软件的目的很明确:找到并关闭用户的杀毒软件。Ire 准确识别出相关代码,判定其为恶意。
值得一提的是,在分析过程中,系统一度误判某个功能为“反调试”技术。但它通过内置的“验证机制”发现证据不足,主动标记为“不确定”,避免了错误结论。这体现了 Ire 不仅能分析,还能自我检查,确保判断的严谨性。
该二进制文件包含多个表现出恶意意图的函数。函数
register_and_log_known_processes_140001000会记录并注册与杀毒软件和安全软件相关的进程名称,例如 'avp.exe'、'avpui.exe' 和 '360Tray.exe'。该函数调用另一个函数TerminateProcessesByNameSubstring_1400010f4,后者枚举系统进程,并终止名称中包含特定子字符串的进程。此类行为是典型恶意软件的特征,旨在通过终止安全软件进程来禁用或逃避安全防护。另一个函数
check_and_handle_special_state_14000502c会对一个全局变量进行检查,若未满足特定条件,则触发软件中断(如 int 0x29 和 int 0x3)。尽管这些中断的具体用途尚不明确,但它们可能是一种反调试或反分析机制,用于检测或干扰调试或篡改行为。然而,这一推测未能通过与专家意见的比对得到完全验证。其他函数包括初始化例程和简单的日志封装函数,但其核心恶意行为集中在针对安全软件的进程终止上。这表明该二进制文件的设计目的是通过关闭防护性进程来破坏系统安全,这是木马或 rootkit 等恶意软件的典型特征。
1.样本HASH
SHA256:
b6cb163089f665c05d607a465f1b6272cdd5c949772ab9ce7227120cf61f971a
2.VT查杀地址
192K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3K9i4u0#2M7%4c8G2N6r3q4D9i4K6u0W2j5$3!0E0i4K6u0r3k6%4g2A6i4K6u0r3k6X3W2D9k6g2)9J5c8X3t1$3j5$3t1I4y4U0x3H3z5o6W2X3y4U0j5#2j5K6l9#2k6o6j5H3y4$3p5@1y4U0g2X3x3h3t1$3x3U0M7J5j5$3c8V1y4h3x3&6y4o6V1%4y4K6u0S2j5U0W2U0k6e0M7J5x3U0M7I4x3U0m8U0k6U0j5I4k6U0V1%4x3h3p5`.
六、看法
(一)好处
感觉是可以对大量样本进行一个初步筛选可能会比一些沙箱好用些(给出查杀理由了),后续人工在对报毒样本进行着重分析,并根据查杀理由形成突破口进行快速分析验证。
(二)缺点
感觉自身搭建这套系统挺贵的,一般公司可能不会投入过多,还没看到公布模型下载地址,要看后续了。
备注现在该项目介绍页面的下载地址指向的是:204K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3V1k6Y4M7X3q4H3K9s2u0S2k6H3`.`.
(三)国产类似产品
国产的加AI标志的分析平台:b18K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3&6S2M7Y4W2S2K9g2)9J5k6h3y4F1i4K6u0r3M7$3W2F1k6$3I4W2i4K6u0V1k6X3W2D9k6b7`.`.
备注:刚出来的时候用过但感觉也就那么回事,现在相关系统还能打开,可能还在投入研发。
1.上传了其中一个测试样本:
de5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3&6S2M7Y4W2S2K9g2)9J5k6h3y4F1i4K6u0r3j5h3&6S2L8s2W2K6K9i4y4Q4x3V1k6T1y4X3y4T1x3e0j5K6x3o6R3&6k6U0j5$3y4h3x3H3y4h3b7$3x3o6N6S2y4o6j5#2k6U0q4T1y4U0t1%4x3X3y4V1k6o6g2U0z5e0b7&6y4K6M7J5j5h3t1&6j5$3f1%4x3U0t1%4x3e0t1H3j5$3j5$3x3h3j5&6y4K6q4S2i4K6u0r3k6X3W2D9k6b7`.`.
(1)等待好久
(2)报告
哈哈:AI好总结
(四)查杀规则库已更新相关样本HASH
7beK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6e0K9h3N6E0j5f1S2c8i4K6u0r3M7$3W2Y4L8h3p5`.
8d7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6E0j5h3N6A6j5%4y4%4L8%4u0V1i4K6u0V1K9h3!0Q4x3V1k6x3e0@1I4p5M7X3W2$3k6i4u0K6
|
|
|---|---|
