Exploit Kit攻击工具包流量锐减96%!这段时间究竟发生了什么?

2016-06-23 186970人围观 ,发现 2 个不明物体 网络安全资讯

据安全专家所说,最近网络安全威胁的格局发生了极大的变化:来自Security Affairs的数据,自今年4月份以来,整个互联网上Exploit Kit攻击工具包的网络流量锐减了96%。难道是互联网安全形势正变得前途一片大好?

这段时间究竟发生了什么?

从6月1日开始,全球最大的恶意体系结构——Necurs僵尸网络似乎消失了。Necurs先前一直用来传播Dridex、Locky这类安全威胁。

另外两大重要的Exploit Kit攻击工具包,Angler和Nuclear似乎也都消失了。这两者的消失可能与国外执法机构的动作有关。

其中的Nuclear算是相当古老的Exploit Kit,安全专家们上次观察到它的行迹已经是四月底的事情了。当时Check Point还发布了一份很有趣的报告,提到Nuclear背后的黑客每个月几乎都能赚到10万美元的收入。

Nuclear-EK-activity-Symantec.png

据赛门铁克的专家所说,从5月第一周开始,就已经没再看到Nuclear的活跃身影了。至于Angler,赛门铁克的分析师表示:

“Angler的消失也让CryptXXX勒索软件(Trojan.Cryptolocker.AN)活跃性大减。Angler原本一直是CrypXXX输出的主要途经。Angler并非近期唯一离场的Exploit Kit。著名的Nuclear从5月开始就不活跃了——鉴于距今已经有1个月了,不知此事是否与近期的开发工作有关。”

Proofpoint上周公布了上面这张图,数据中倒是有提到Nuclear实际上在5月下半月的时候还是处在活跃状态的。至于Angler的消失,可能与执法机关的行动有关:俄罗斯当局最近发起了近50次逮捕行动,都与Lurk恶意程序相关。

这些都是Exploit Kit相关流量锐减多达96%的重要原因。

然而也别高兴得太早

在Proofpoint的专家看来,Angler和Nuclear的消失促成了其他Exploit Kit的成长,主要是Neutrino和RIG:

“Neutrino自其诞生以来就在稳步上升,最近又伴随5月中旬的时候Angler流量锐减,Nuclear也受到很大的影响。Angler和Nuclear活跃性大幅下降,甚至到活跃性几乎为零的程度,这与攻击者转往如Neutrino这样的Exploit Kit也有关。从一款攻击工具转往另一款攻击工具并不新鲜,而且很多攻击者平常也不仅使用一款攻击工具。不过除了今年1月份之外,Angler的确长期统领着Exploit Kit市场。”

“我们预计,Neutrino对CryptXXX产生很大影响,Exploit Kit流量中至多75%的流量受到影响,另外还有10%则是由于Cerber勒索软件活跃性降低造成的(Neutrino和Magnitude一起)。还有15%,主要是RIG拉低了各类恶意广告流量,还有一些应用规模较小的Exploit Kit,如Sundown、Kaixin、Hunter等等——这些对Exploit Kit相关流量的影响大约也就1%。”

exploit-kit-trends.png

卡巴斯基实验室基本也确认了上述趋势,即黑客组织都开始转而采用Neutrino和RIG。至于未来会怎样,这就很难说了。从趋势来看,这次恶意流量的锐减,实际上也只是黑客改用其他武器的过程。

* 参考来源:Security Affairs ,FB小编欧阳洋葱编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论

已有 2 条评论

取消
Loading...
css.php