【安全圈】新技术表明：可利用黑客技术漏洞特征，追踪恶意软件罪犯

译源：Hackread，bySudais Asif

我们经常会遇到臭名昭著的恶意组织，他们使用相同的恶意软件攻击不同的受害者。

在这种情况下，关注重点往往是恶意组织本身和不断演变进化到不同版本的开发软件。

最近的一个例子是星际风暴恶意软件的变种，它从针对Windows和Linux发展到感染Android和MacOS。

但是退一步想想，这些群体背后拥有高超黑客技能的人也可以被监控，甚至在某些情况下可以识别他们的身份。

根据这一思路，来自Checkpoint的研究人员设计了一种方法——在恶意软件开发者身上附加一个独特的身份特征，不仅使得网络安全专家能知道谁在幕后操纵，还可以知道这些操纵者开发的其他软件的暗门是什么。

为此，研究人员将重点放在了两个因零日攻击而闻名的威胁者身上：

1.Volodya AKA BuggiCorp

2.Playbit AKA luxor2008

看到这两位不同的软件开发，研究人员能够识别出每个开发者特有的特征。

然后，利用这些特征进行寻找，只要发现类似的案件，就表明这些案件的背后都是同样的始作俑者。研究人员在一份研究报告中解释了背后的故事:

（以下为译文）

在分析针对我们客户的复杂攻击时，我们注意到恶意软件执行了一个非常小的64位的可执行程序。这个程序包含异常的调试字符串，这代表有人试图利用受害者机器上的漏洞进行攻击。

利用这个64位二进制文件，他们开始了收集采样的整个过程，其中包含了最初简单的工件，如“字符串、内部文件名、时间戳和PDB路径”等。

研究人员在一个漏洞中寻找的不同工件

利用这些，他们发现了一个与32位可执行文件相似的文件。不久之后，研究人员就记下了来自相同两个因素下产生的16个不同的Windows LPE漏洞因素。

此外，由于这16个中有15个是在2015-2019年间推出的，这也将证明是对Windows LPE开发市场的一次打击。

（以下为译文）

一个接一个之后，几十个样本开始出现。针对每一个样本，我们改进了追踪规则和方法。仔细分析样品后,我们能够知道哪些样品利用了CVE，基于此创建了一个时间表来理解哪一些开发程序被发现零日漏洞，或是被发现掺杂基于不同补丁的一日漏洞。

总而言之，这个技术为专业人员提供了一个很好的方法来追踪恶意软件背后的罪犯，而不仅仅是找到保护系统免受恶意软件攻击的方法。

关于互联网罪犯的抓捕，不断优化改进追踪技术是很重要的，这才是网络安全的最终目的地。

 END

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！