我們經常會遇到一些臭名昭著的惡意組織，他們使用相同的惡意軟件針對不同的受害者。在這種情況下，關注焦點通常是受害者公司的團隊不同版本的開發(fā)軟件。

最近的一個例子是星際風暴惡意軟件的變種，它從針對Windows和Linux發(fā)展到感染Android和MacOS。

有時候退后一步，辨別出團體中那些暗中觀察、擁有特異技能的別有用心者非常重要，并且在一定情況下對他們的特殊身份給予相應的監(jiān)控也是極為重要的。

記住這個框架的思想,最近檢查點的研究人員發(fā)明了一個方法來將這些特定身份的惡意軟件開發(fā)者進行辨別：分出誰是特定利用的幕后黑手，并辨別這些始作俑者開發(fā)的其他軟件的暗門是什么。

為了做到這一點，他們關注了2個以各種零日攻擊著稱的威脅者:

• Volodya AKA BuggiCorp
• Playbit AKA luxor2008

看到他們不同的開發(fā)功能，他們能夠識別出每個開發(fā)者特有的特征。然后，利用這些特征進行尋找，只要發(fā)現類似的案件，就表明這些案件的背后都是同樣的始作俑者。研究人員在一份研究報告中解釋了背后的故事：

當分析一個針對我們的客戶的復雜攻擊時，我們注意到一個非常小的64位可執(zhí)行程序被惡意軟件執(zhí)行。包含一些不尋常的調試字符串，它們指向試圖利用受害機器上的漏洞。

使用這個64位二進制文件，他們開始了指紋識別的整個過程，其中收集了最初簡單的工件，如“字符串、內部文件名、時間戳和PDB路徑”。

通過指紋追蹤惡意軟件開發(fā)者

研究人員在一個開發(fā)過程中尋找不同人為痕跡

通過使用這些文件，他們發(fā)現了與另一個32位可執(zhí)行文件類似的匹配，不久之后，他們就記下了來自同兩個因素下產生的16個不同的Windows LPE漏洞因素。

此外，由于這16款中有15款是在2015至2019年推出的，這也將證明是對Windows LPE 開發(fā)市場的一次打擊。

一個接一個之后，幾十個樣本的出現，我們改進了狩獵規(guī)則和方法。仔細分析的樣品,我們能夠理解哪些樣品利用了CVE，創(chuàng)建了一個時間表，基于它，可以理解哪一些開發(fā)程序被加零日漏洞，或是被摻雜基于不同補丁的一日漏洞

綜上所述，這為專業(yè)人員追蹤惡意軟件背后的犯罪分子提供了一種很好的方法，而不僅僅是尋找被動防御機制、使得系統(tǒng)免受惡意軟件攻擊。

在此之前，已經使用了一些創(chuàng)新的方法，比如我們報道的案件中，警察利用一個毒品販子手的照片來描繪出他的指紋，然后追蹤他。

不僅如此，事實上，3D打印機已經被發(fā)現可以復制指紋，使模仿變得非常容易，并構成另一重威脅。因此，在先進方法上保持進行是很重要的，因為它們是網絡安全的最終目的地。