我們經(jīng)常會(huì)遇到一些臭名昭著的惡意組織，他們使用相同的惡意軟件針對(duì)不同的受害者。在這種情況下，關(guān)注焦點(diǎn)通常是受害者公司的團(tuán)隊(duì)不同版本的開(kāi)發(fā)軟件。

最近的一個(gè)例子是星際風(fēng)暴惡意軟件的變種，它從針對(duì)Windows和Linux發(fā)展到感染Android和MacOS。

有時(shí)候退后一步，辨別出團(tuán)體中那些暗中觀察、擁有特異技能的別有用心者非常重要，并且在一定情況下對(duì)他們的特殊身份給予相應(yīng)的監(jiān)控也是極為重要的。

記住這個(gè)框架的思想,最近檢查點(diǎn)的研究人員發(fā)明了一個(gè)方法來(lái)將這些特定身份的惡意軟件開(kāi)發(fā)者進(jìn)行辨別：分出誰(shuí)是特定利用的幕后黑手，并辨別這些始作俑者開(kāi)發(fā)的其他軟件的暗門(mén)是什么。

為了做到這一點(diǎn)，他們關(guān)注了2個(gè)以各種零日攻擊著稱(chēng)的威脅者:

• Volodya AKA BuggiCorp
• Playbit AKA luxor2008

看到他們不同的開(kāi)發(fā)功能，他們能夠識(shí)別出每個(gè)開(kāi)發(fā)者特有的特征。然后，利用這些特征進(jìn)行尋找，只要發(fā)現(xiàn)類(lèi)似的案件，就表明這些案件的背后都是同樣的始作俑者。研究人員在一份研究報(bào)告中解釋了背后的故事：

當(dāng)分析一個(gè)針對(duì)我們的客戶(hù)的復(fù)雜攻擊時(shí)，我們注意到一個(gè)非常小的64位可執(zhí)行程序被惡意軟件執(zhí)行。包含一些不尋常的調(diào)試字符串，它們指向試圖利用受害機(jī)器上的漏洞。

使用這個(gè)64位二進(jìn)制文件，他們開(kāi)始了指紋識(shí)別的整個(gè)過(guò)程，其中收集了最初簡(jiǎn)單的工件，如“字符串、內(nèi)部文件名、時(shí)間戳和PDB路徑”。

通過(guò)指紋追蹤惡意軟件開(kāi)發(fā)者

研究人員在一個(gè)開(kāi)發(fā)過(guò)程中尋找不同人為痕跡

通過(guò)使用這些文件，他們發(fā)現(xiàn)了與另一個(gè)32位可執(zhí)行文件類(lèi)似的匹配，不久之后，他們就記下了來(lái)自同兩個(gè)因素下產(chǎn)生的16個(gè)不同的Windows LPE漏洞因素。

此外，由于這16款中有15款是在2015至2019年推出的，這也將證明是對(duì)Windows LPE 開(kāi)發(fā)市場(chǎng)的一次打擊。

一個(gè)接一個(gè)之后，幾十個(gè)樣本的出現(xiàn)，我們改進(jìn)了狩獵規(guī)則和方法。仔細(xì)分析的樣品,我們能夠理解哪些樣品利用了CVE，創(chuàng)建了一個(gè)時(shí)間表，基于它，可以理解哪一些開(kāi)發(fā)程序被加零日漏洞，或是被摻雜基于不同補(bǔ)丁的一日漏洞

綜上所述，這為專(zhuān)業(yè)人員追蹤惡意軟件背后的犯罪分子提供了一種很好的方法，而不僅僅是尋找被動(dòng)防御機(jī)制、使得系統(tǒng)免受惡意軟件攻擊。

在此之前，已經(jīng)使用了一些創(chuàng)新的方法，比如我們報(bào)道的案件中，警察利用一個(gè)毒品販子手的照片來(lái)描繪出他的指紋，然后追蹤他。

不僅如此，事實(shí)上，3D打印機(jī)已經(jīng)被發(fā)現(xiàn)可以復(fù)制指紋，使模仿變得非常容易，并構(gòu)成另一重威脅。因此，在先進(jìn)方法上保持進(jìn)行是很重要的，因?yàn)樗鼈兪蔷W(wǎng)絡(luò)安全的最終目的地。