我們經(jīng)常會遇到一些臭名昭著的惡意組織，他們使用相同的惡意軟件針對不同的受害者。在這種情況下，關(guān)注焦點通常是受害者公司的團隊不同版本的開發(fā)軟件。

最近的一個例子是星際風(fēng)暴惡意軟件的變種，它從針對Windows和Linux發(fā)展到感染Android和MacOS。

有時候退后一步，辨別出團體中那些暗中觀察、擁有特異技能的別有用心者非常重要，并且在一定情況下對他們的特殊身份給予相應(yīng)的監(jiān)控也是極為重要的。

記住這個框架的思想，最近檢查點的研究人員發(fā)明了一個方法來將這些特定身份的惡意軟件開發(fā)者進行辨別：分出誰是特定利用的幕后黑手，并辨別這些始作俑者開發(fā)的其他軟件的暗門是什么。

為了做到這一點，他們關(guān)注了2個以各種零日攻擊著稱的威脅者：

Volodya AKA BuggiCorp

Playbit AKA luxor2008

看到他們不同的開發(fā)功能，他們能夠識別出每個開發(fā)者特有的特征。然后，利用這些特征進行尋找，只要發(fā)現(xiàn)類似的案件，就表明這些案件的背后都是同樣的始作俑者。研究人員在一份研究報告中解釋了背后的故事：

當(dāng)分析一個針對我們的客戶的復(fù)雜攻擊時，我們注意到一個非常小的64位可執(zhí)行程序被惡意軟件執(zhí)行。包含一些不尋常的調(diào)試字符串，它們指向試圖利用受害機器上的漏洞。

使用這個64位二進制文件，他們開始了指紋識別的整個過程，其中收集了最初簡單的工件，如“字符串、內(nèi)部文件名、時間戳和PDB路徑”。

通過指紋追蹤惡意軟件開發(fā)者

研究人員在一個開發(fā)過程中尋找不同人為痕跡

通過使用這些文件，他們發(fā)現(xiàn)了與另一個32位可執(zhí)行文件類似的匹配，不久之后，他們就記下了來自同兩個因素下產(chǎn)生的16個不同的Windows LPE漏洞因素。

此外，由于這16款中有15款是在2015至2019年推出的，這也將證明是對Windows LPE 開發(fā)市場的一次打擊。

一個接一個之后，幾十個樣本的出現(xiàn)，我們改進了狩獵規(guī)則和方法。仔細分析的樣品，我們能夠理解哪些樣品利用了CVE，創(chuàng)建了一個時間表，基于它，可以理解哪一些開發(fā)程序被加零日漏洞，或是被摻雜基于不同補丁的一日漏洞

綜上所述，這為專業(yè)人員追蹤惡意軟件背后的犯罪分子提供了一種很好的方法，而不僅僅是尋找被動防御機制、使得系統(tǒng)免受惡意軟件攻擊。

在此之前，已經(jīng)使用了一些創(chuàng)新的方法，比如我們報道的案件中，警察利用一個毒品販子手的照片來描繪出他的指紋，然后追蹤他。

不僅如此，事實上，3D打印機已經(jīng)被發(fā)現(xiàn)可以復(fù)制指紋，使模仿變得非常容易，并構(gòu)成另一重威脅。因此，在先進方法上保持進行是很重要的，因為它們是網(wǎng)絡(luò)安全的最終目的地。
責(zé)編AJX