我们经常遇到臭名昭著的团体,他们使用相同的恶意软件来针对不同的受害者。在这种情况下,焦点通常集中在受害公司团队开发的软件的不同版本上。最近的一个例子是Starstorm恶意软件的变体,它从针对Windows和Linux发展到感染Android和MacOS。有的时候退一步辨别出团伙中那些暗中监视、身怀绝技的别有用心的人是非常重要的,在特定情况下相应地监视他们的特殊身份也是极其重要的。考虑到这个框架的想法,Checkpoint的研究人员最近设计了一种方法来识别恶意软件作者的这些特定身份:找出特定漏洞利用的幕后黑手,并识别这些作恶者开发的其他软件的幕后黑手。门是什么。为此,他们专注于2个以各种零日攻击而闻名的威胁参与者:Volodya又名BuggiCorpPlaybit又名luxor2008看到他们不同的利用能力,他们能够识别每个开发人员的独特特征。然后,利用这些特征进行搜索,只要找到类似的案件,就说明这些案件的幕后黑手是同一个人。研究人员在一份研究报告中解释了背景故事:在分析针对我们客户端的复杂攻击时,我们注意到恶意软件正在执行一个非常小的64位可执行程序。包含一些不寻常的调试字符串,这些字符串指向试图利用受害计算机上的漏洞。使用这个64位二进制文??件,他们开始了整个指纹识别过程,其中收集了最初简单的工件,如“字符串、内部文件名、时间戳和PDB路径”。通过指纹识别跟踪恶意软件开发人员研究人员在一个开发过程中寻找不同的工件使用这些文件,他们发现了与另一个32位可执行文件的相似匹配,不久之后,他们注意到在相同的两个16种不同WindowsLPE漏洞因素下生成的模式因素。此外,由于这16款机型中有15款是在2015年至2019年间推出的,这也将对WindowsLPE开发市场造成打击。一个接一个,出现了几十个样本,我们改进了狩猎规则和方法。通过仔细分析样本,我们能够了解哪些样本利用了CVE,并创建了一个时间线,根据该时间线可以了解哪些攻击添加了零日漏洞,或者根据不同补丁混合了一日漏洞。如前所述,这为专业人士提供了一种很好的方式来追踪恶意软件背后的罪犯,而不仅仅是寻找使系统免受恶意软件侵害的被动防御机制。在此之前,已经使用了一些创新的手段,比如我们报道的这个案例,警方通过一张毒贩的手部照片,通过追踪他的指纹,进而对其进行追查。不仅如此,3D打印机被发现能够复制指纹这一事实使得模仿变得非常容易,并构成了另一种威胁。因此,重要的是要坚持使用先进的方法,因为它们是网络安全的最终目的地。
