據(jù)安全專家所說，最近網(wǎng)絡(luò)安全威脅的格局發(fā)生了極大的變化：來自Security Affairs的數(shù)據(jù)，自今年4月份以來，整個互聯(lián)網(wǎng)上Exploit Kit攻擊工具包的網(wǎng)絡(luò)流量銳減了96%。難道是互聯(lián)網(wǎng)安全形勢正變得前途一片大好？

這段時間究竟發(fā)生了什么？

從6月1日開始，全球最大的惡意體系結(jié)構(gòu)——Necurs僵尸網(wǎng)絡(luò)似乎消失了。Necurs先前一直用來傳播Dridex、Locky這類安全威脅。

另外兩大重要的Exploit Kit攻擊工具包，Angler和Nuclear似乎也都消失了。這兩者的消失可能與國外執(zhí)法機構(gòu)的動作有關(guān)。

其中的Nuclear算是相當古老的Exploit Kit，安全專家們上次觀察到它的行跡已經(jīng)是四月底的事情了。當時Check Point還發(fā)布了一份很有趣的報告，提到Nuclear背后的黑客每個月幾乎都能賺到10萬美元的收入。

據(jù)賽門鐵克的專家所說，從5月第一周開始，就已經(jīng)沒再看到Nuclear的活躍身影了。至于Angler，賽門鐵克的分析師表示：

“Angler的消失也讓CryptXXX勒索軟件（Trojan.Cryptolocker.AN）活躍性大減。Angler原本一直是CrypXXX輸出的主要途經(jīng)。Angler并非近期唯一離場的Exploit Kit。著名的Nuclear從5月開始就不活躍了——鑒于距今已經(jīng)有1個月了，不知此事是否與近期的開發(fā)工作有關(guān)。”

Proofpoint上周公布了上面這張圖，數(shù)據(jù)中倒是有提到Nuclear實際上在5月下半月的時候還是處在活躍狀態(tài)的。至于Angler的消失，可能與執(zhí)法機關(guān)的行動有關(guān)：俄羅斯當局最近發(fā)起了近50次逮捕行動，都與Lurk惡意程序相關(guān)。

這些都是Exploit Kit相關(guān)流量銳減多達96%的重要原因。

然而也別高興得太早

在Proofpoint的專家看來，Angler和Nuclear的消失促成了其他Exploit Kit的成長，主要是Neutrino和RIG：

“Neutrino自其誕生以來就在穩(wěn)步上升，最近又伴隨5月中旬的時候Angler流量銳減，Nuclear也受到很大的影響。Angler和Nuclear活躍性大幅下降，甚至到活躍性幾乎為零的程度，這與攻擊者轉(zhuǎn)往如Neutrino這樣的Exploit Kit也有關(guān)。從一款攻擊工具轉(zhuǎn)往另一款攻擊工具并不新鮮，而且很多攻擊者平常也不僅使用一款攻擊工具。不過除了今年1月份之外，Angler的確長期統(tǒng)領(lǐng)著Exploit Kit市場。”

“我們預(yù)計，Neutrino對CryptXXX產(chǎn)生很大影響，Exploit Kit流量中至多75%的流量受到影響，另外還有10%則是由于Cerber勒索軟件活躍性降低造成的（Neutrino和Magnitude一起）。還有15%，主要是RIG拉低了各類惡意廣告流量，還有一些應(yīng)用規(guī)模較小的Exploit Kit，如Sundown、Kaixin、Hunter等等——這些對Exploit Kit相關(guān)流量的影響大約也就1%。”

卡巴斯基實驗室基本也確認了上述趨勢，即黑客組織都開始轉(zhuǎn)而采用Neutrino和RIG。至于未來會怎樣，這就很難說了。從趨勢來看，這次惡意流量的銳減，實際上也只是黑客改用其他武器的過程。

* 參考來源：Security Affairs，F(xiàn)B小編歐陽洋蔥編譯，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）