【未完待续】溯源的难点

参考：

Mandiant: How Does Mandiant Distinguish Threat Groups?

• 定位到人：难以判断两个不同的事件，是否有同一个人所为；如果是两个人，这两人是否共同参与；如果两人无关，是否仅仅是使用同一网络，甚至同一电脑？
• 识别工具：不同组织可能使用开源工具、公开工具，例如pwdump, HTRAN, or Gh0st RAT。如果是非公开工具，两个组织是否可能共享工具？
• 人员流动：攻击者可换团队，或者几个团队的攻击者临时组成新团队
• 大会战：多个团队可能在一个场景中攻击同一目标