我們經(jīng)常會遇到一些臭名昭著的惡意組織，他們使用相同的惡意軟件針對不同的受害者。在這種情況下，關(guān)注焦點(diǎn)通常是受害者公司的團(tuán)隊(duì)不同版本的開發(fā)軟件。

最近的一個(gè)例子是星際風(fēng)暴惡意軟件的變種，它從針對Windows和Linux發(fā)展到感染Android和MacOS。

有時(shí)候退后一步，辨別出團(tuán)體中那些暗中觀察、擁有特異技能的別有用心者非常重要，并且在一定情況下對他們的特殊身份給予相應(yīng)的監(jiān)控也是極為重要的。

記住這個(gè)框架的思想,最近檢查點(diǎn)的研究人員發(fā)明了一個(gè)方法來將這些特定身份的惡意軟件開發(fā)者進(jìn)行辨別：分出誰是特定利用的幕后黑手，并辨別這些始作俑者開發(fā)的其他軟件的暗門是什么。

為了做到這一點(diǎn)，他們關(guān)注了2個(gè)以各種零日攻擊著稱的威脅者:

• Volodya AKA BuggiCorp
• Playbit AKA luxor2008

看到他們不同的開發(fā)功能，他們能夠識別出每個(gè)開發(fā)者特有的特征。然后，利用這些特征進(jìn)行尋找，只要發(fā)現(xiàn)類似的案件，就表明這些案件的背后都是同樣的始作俑者。研究人員在一份研究報(bào)告中解釋了背后的故事：

當(dāng)分析一個(gè)針對我們的客戶的復(fù)雜攻擊時(shí)，我們注意到一個(gè)非常小的64位可執(zhí)行程序被惡意軟件執(zhí)行。包含一些不尋常的調(diào)試字符串，它們指向試圖利用受害機(jī)器上的漏洞。

使用這個(gè)64位二進(jìn)制文件，他們開始了指紋識別的整個(gè)過程，其中收集了最初簡單的工件，如“字符串、內(nèi)部文件名、時(shí)間戳和PDB路徑”。

通過指紋追蹤惡意軟件開發(fā)者

研究人員在一個(gè)開發(fā)過程中尋找不同人為痕跡

通過使用這些文件，他們發(fā)現(xiàn)了與另一個(gè)32位可執(zhí)行文件類似的匹配，不久之后，他們就記下了來自同兩個(gè)因素下產(chǎn)生的16個(gè)不同的Windows LPE漏洞因素。

此外，由于這16款中有15款是在2015至2019年推出的，這也將證明是對Windows LPE 開發(fā)市場的一次打擊。

一個(gè)接一個(gè)之后，幾十個(gè)樣本的出現(xiàn)，我們改進(jìn)了狩獵規(guī)則和方法。仔細(xì)分析的樣品,我們能夠理解哪些樣品利用了CVE，創(chuàng)建了一個(gè)時(shí)間表，基于它，可以理解哪一些開發(fā)程序被加零日漏洞，或是被摻雜基于不同補(bǔ)丁的一日漏洞

綜上所述，這為專業(yè)人員追蹤惡意軟件背后的犯罪分子提供了一種很好的方法，而不僅僅是尋找被動(dòng)防御機(jī)制、使得系統(tǒng)免受惡意軟件攻擊。

在此之前，已經(jīng)使用了一些創(chuàng)新的方法，比如我們報(bào)道的案件中，警察利用一個(gè)毒品販子手的照片來描繪出他的指紋，然后追蹤他。

不僅如此，事實(shí)上，3D打印機(jī)已經(jīng)被發(fā)現(xiàn)可以復(fù)制指紋，使模仿變得非常容易，并構(gòu)成另一重威脅。因此，在先進(jìn)方法上保持進(jìn)行是很重要的，因?yàn)樗鼈兪蔷W(wǎng)絡(luò)安全的最終目的地。