软件开发人员喜欢重用代码，黑客也不例外。虽然安全研究人员常认为不同的恶意软件出自不同的黑客之手，然而现实却是，大多数新型恶意软件开发者重复利用了大量现有恶意软件的源代码，并在此基础上进行修改或添加新功能（可能来自公开发布的漏洞和工具）。

既然其它人已经有现成的工作解决方案可供使用，自己为何还要白费力气做重复的工作？虽然恶意软件代码重用可以使基于签名的检测方法在某些情况下更有效，但时常会为攻击者腾出时间执行其它躲避检测和提升攻击效率的工作，从而开发出更危险的成品。
黑客开发恶意软件时重用代码有多种原因：

首先，这样做可以节约时间；

其次，复制拷贝代码可以为开发人员腾出更多时间专注其它领域，例如逃避检测，掩盖归因等；

第三，在某些情况下，有时也许只有通过一种方法才能达到目的，例如利用漏洞。

黑客还倾向于重用成功率高的有效攻击策略，例如社会工程、恶意宏、鱼叉式网络钓鱼等。

Check Point研究人员今年10月发现Reaper（又被称为IoTroop）僵尸网络。Reaper就是黑客重用并改进现有恶意软件的最佳例子，它借用了Mirai僵尸网络的基础代码。Reaper的开发人员似乎将Mirai僵尸网络作为平台构建更有效的利用方式并发起攻击。Reaper在Mirai源代码的基础上新增已知物联网的漏洞利用，并使用LUA编程语言，其攻击复杂程度远远超出简单的DDoS攻击。

今年早些时候，黑客组织“影子经纪人”（Shadow Brokers）公开了从NSA窃取得来的漏洞利用源代码，其中包含几个针对Windows SMB文件共享服务的0Day漏洞。1个月之内，攻击者就重新利用了泄露的源代码，将勒索软件变成WannaCry和NotPetya这类勒索蠕虫。 从这些新型勒索软件变种可以看出，攻击者迅速重用新的攻击手段，并带来破坏性后果。

去年，土耳其安全研究人员出于教育的目的发布了两款开源勒索软件变种：EDA2和Hidden-Tear。不出所料，攻击者很快使用源代码创建自己的勒索软件，包括RANSOM_CRYPTEAR、Magic Ransomware和KaoTear。这些变种大多数使用相同的基本加密过程，只对勒索信、命令与控制连接稍作修改，以及在某些情况下会修改传播程序。这说明黑客如何快速重用公开的源代码谋取自身的利益。

而近期，维基解密将逐步曝光Vault-8-CIA文件，CIA的众多黑客工具的源代码将被公开，其中不乏可武器化黑客工具，这或许又将促进一波儿黑客世界的技术更新。

黑客并非只在开发恶意软件时重用其它源代码，他们还会尽可能地重用普通的攻击方法。脚本小子依赖预先构建好的工具和攻击方法来弥补自身欠缺的知识。像Rapid7 Metasploit框架这类工具最合适安全研究人员进行渗透测试，但同时也备受脚本小子厚爱。Rapid7并不是唯一面临这种难题的制造商，整个渗透测试行业为安全研究人员提供开发的工具同时也会被犯罪分子利用。由于安全研究人员需要这类工具进行测试，因此此类工具仍有市场

高效的攻击方式被重用的可能性更大。虽然微软努力削弱宏功能，但攻击者仍在大肆利用恶意宏。攻击者继续将恶意宏作为传送恶意软件的主要方式，因为说服受害者运行宏是件易事。

代码重用趋势近期内仍会继续，公开代码例子有：

EDA2勒索软件的开发者声称，他公开是代码是为了传授恶意软件的工作原理。

Mirai僵尸网络的开发人员因攻击变得声名狼藉而选择“退场”之时也公开了代码。

攻击者将会继续利用他人的成果发起更有效、更具破坏性的攻击。只要有效的漏洞利用代码被公开，攻击者仍将重用漏洞利用，就如同WannaCry和NSA永恒之蓝0Day漏洞。