据安全专家所说，最近网络安全威胁的格局发生了极大的变化：来自Security Affairs的数据，自今年4月份以来，整个互联网上Exploit Kit攻击工具包的网络流量锐减了96%。难道是互联网安全形势正变得前途一片大好?

　　这段时间究竟发生了什么?

　　从6月1日开始，全球最大的恶意体系结构——Necurs僵尸网络似乎消失了。Necurs先前一直用来传播Dridex、Locky这类安全威胁。

　　另外两大重要的Exploit Kit攻击工具包，Angler和Nuclear似乎也都消失了。这两者的消失可能与国外执法机构的动作有关。

　　其中的Nuclear算是相当古老的Exploit Kit，安全专家们上次观察到它的行迹已经是四月底的事情了。当时Check Point还发布了一份很有趣的报告，提到Nuclear背后的黑客每个月几乎都能赚到10万美元的收入。

　　据赛门铁克的专家所说，从5月第一周开始，就已经没再看到Nuclear的活跃身影了。至于Angler，赛门铁克的分析师表示：

　　“Angler的消失也让CryptXXX勒索软件(Trojan.Cryptolocker.AN)活跃性大减。Angler原本一直是CrypXXX输出的主要途经。Angler并非近期唯一离场的Exploit Kit。著名的Nuclear从5月开始就不活跃了——鉴于距今已经有1个月了，不知此事是否与近期的开发工作有关。”

　　Proofpoint上周公布了上面这张图，数据中倒是有提到Nuclear实际上在5月下半月的时候还是处在活跃状态的。至于Angler的消失，可能与执法机关的行动有关：俄罗斯当局最近发起了近50次逮捕行动，都与Lurk恶意程序相关。

　　这些都是Exploit Kit相关流量锐减多达96%的重要原因。

　　然而也别高兴得太早

　　在Proofpoint的专家看来，Angler和Nuclear的消失促成了其他Exploit Kit的成长，主要是Neutrino和RIG：

　　“Neutrino自其诞生以来就在稳步上升，最近又伴随5月中旬的时候Angler流量锐减，Nuclear也受到很大的影响。Angler和Nuclear活跃性大幅下降，甚至到活跃性几乎为零的程度，这与攻击者转往如Neutrino这样的Exploit Kit也有关。从一款攻击工具转往另一款攻击工具并不新鲜，而且很多攻击者平常也不仅使用一款攻击工具。不过除了今年1月份之外，Angler的确长期统领着Exploit Kit市场。”

　　“我们预计，Neutrino对CryptXXX产生很大影响，Exploit Kit流量中至多75%的流量受到影响，另外还有10%则是由于Cerber勒索软件活跃性降低造成的(Neutrino和Magnitude一起)。还有15%，主要是RIG拉低了各类恶意广告流量，还有一些应用规模较小的Exploit Kit，如Sundown、Kaixin、Hunter等等——这些对Exploit Kit相关流量的影响大约也就1%。”

　　卡巴斯基实验室基本也确认了上述趋势，即黑客组织都开始转而采用Neutrino和RIG。至于未来会怎样，这就很难说了。从趋势来看，这次恶意流量的锐减，实际上也只是黑客改用其他武器的过程。
原文地址: http://www.evil0x.com/posts/25658.html

(责任编辑：宋编辑)