我們經常會遇到一些臭名昭著的惡意組織，他們使用相同的惡意軟件針對不同的受害者。在這種情況下，關注焦點通常是受害者公司的團隊不同版本的開發軟件。

最近的一個例子是星際風暴惡意軟件的變種，它從針對Windows和Linux發展到感染Android和MacOS。

有時候退后一步，辨別出團體中那些暗中觀察、擁有特異技能的別有用心者非常重要，并且在一定情況下對他們的特殊身份給予相應的監控也是極為重要的。

記住這個框架的思想，最近檢查點的研究人員發明了一個方法來將這些特定身份的惡意軟件開發者進行辨別：分出誰是特定利用的幕后黑手，并辨別這些始作俑者開發的其他軟件的暗門是什么。

為了做到這一點，他們關注了2個以各種零日攻擊著稱的威脅者：

Volodya AKA BuggiCorp

Playbit AKA luxor2008

看到他們不同的開發功能，他們能夠識別出每個開發者特有的特征。然后，利用這些特征進行尋找，只要發現類似的案件，就表明這些案件的背后都是同樣的始作俑者。研究人員在一份研究報告中解釋了背后的故事：

當分析一個針對我們的客戶的復雜攻擊時，我們注意到一個非常小的64位可執行程序被惡意軟件執行。包含一些不尋常的調試字符串，它們指向試圖利用受害機器上的漏洞。

使用這個64位二進制文件，他們開始了指紋識別的整個過程，其中收集了最初簡單的工件，如“字符串、內部文件名、時間戳和PDB路徑”。

通過指紋追蹤惡意軟件開發者

研究人員在一個開發過程中尋找不同人為痕跡

通過使用這些文件，他們發現了與另一個32位可執行文件類似的匹配，不久之后，他們就記下了來自同兩個因素下產生的16個不同的Windows LPE漏洞因素。

此外，由于這16款中有15款是在2015至2019年推出的，這也將證明是對Windows LPE 開發市場的一次打擊。

一個接一個之后，幾十個樣本的出現，我們改進了狩獵規則和方法。仔細分析的樣品，我們能夠理解哪些樣品利用了CVE，創建了一個時間表，基于它，可以理解哪一些開發程序被加零日漏洞，或是被摻雜基于不同補丁的一日漏洞

綜上所述，這為專業人員追蹤惡意軟件背后的犯罪分子提供了一種很好的方法，而不僅僅是尋找被動防御機制、使得系統免受惡意軟件攻擊。

在此之前，已經使用了一些創新的方法，比如我們報道的案件中，警察利用一個毒品販子手的照片來描繪出他的指紋，然后追蹤他。

不僅如此，事實上，3D打印機已經被發現可以復制指紋，使模仿變得非常容易，并構成另一重威脅。因此，在先進方法上保持進行是很重要的，因為它們是網絡安全的最終目的地。
責編AJX