據安全專家所說，最近網絡安全威脅的格局發生了極大的變化：來自Security Affairs的數據，自今年4月份以來，整個互聯網上Exploit Kit攻擊工具包的網絡流量銳減了96%。難道是互聯網安全形勢正變得前途一片大好？

這段時間究竟發生了什么？

從6月1日開始，全球最大的惡意體系結構——Necurs僵尸網絡似乎消失了。Necurs先前一直用來傳播Dridex、Locky這類安全威脅。

另外兩大重要的Exploit Kit攻擊工具包，Angler和Nuclear似乎也都消失了。這兩者的消失可能與國外執法機構的動作有關。

其中的Nuclear算是相當古老的Exploit Kit，安全專家們上次觀察到它的行跡已經是四月底的事情了。當時Check Point還發布了一份很有趣的報告，提到Nuclear背后的黑客每個月幾乎都能賺到10萬美元的收入。

據賽門鐵克的專家所說，從5月第一周開始，就已經沒再看到Nuclear的活躍身影了。至于Angler，賽門鐵克的分析師表示：

“Angler的消失也讓CryptXXX勒索軟件（Trojan.Cryptolocker.AN）活躍性大減。Angler原本一直是CrypXXX輸出的主要途經。Angler并非近期唯一離場的Exploit Kit。著名的Nuclear從5月開始就不活躍了——鑒于距今已經有1個月了，不知此事是否與近期的開發工作有關。”

Proofpoint上周公布了上面這張圖，數據中倒是有提到Nuclear實際上在5月下半月的時候還是處在活躍狀態的。至于Angler的消失，可能與執法機關的行動有關：俄羅斯當局最近發起了近50次逮捕行動，都與Lurk惡意程序相關。

這些都是Exploit Kit相關流量銳減多達96%的重要原因。

然而也別高興得太早

在Proofpoint的專家看來，Angler和Nuclear的消失促成了其他Exploit Kit的成長，主要是Neutrino和RIG：

“Neutrino自其誕生以來就在穩步上升，最近又伴隨5月中旬的時候Angler流量銳減，Nuclear也受到很大的影響。Angler和Nuclear活躍性大幅下降，甚至到活躍性幾乎為零的程度，這與攻擊者轉往如Neutrino這樣的Exploit Kit也有關。從一款攻擊工具轉往另一款攻擊工具并不新鮮，而且很多攻擊者平常也不僅使用一款攻擊工具。不過除了今年1月份之外，Angler的確長期統領著Exploit Kit市場。”

“我們預計，Neutrino對CryptXXX產生很大影響，Exploit Kit流量中至多75%的流量受到影響，另外還有10%則是由于Cerber勒索軟件活躍性降低造成的（Neutrino和Magnitude一起）。還有15%，主要是RIG拉低了各類惡意廣告流量，還有一些應用規模較小的Exploit Kit，如Sundown、Kaixin、Hunter等等——這些對Exploit Kit相關流量的影響大約也就1%。”

卡巴斯基實驗室基本也確認了上述趨勢，即黑客組織都開始轉而采用Neutrino和RIG。至于未來會怎樣，這就很難說了。從趨勢來看，這次惡意流量的銳減，實際上也只是黑客改用其他武器的過程。

* 參考來源：Security Affairs，FB小編歐陽洋蔥編譯，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）