RSA反欺詐指揮中心發(fā)布2012年4月報(bào)告，報(bào)告顯示，截止到2012年4月30日，Citadel木馬已經(jīng)是第四次升級(jí)了，客戶手中的版本已經(jīng)是1.3.4.0版。Citadel的特征、bug修復(fù)和模塊的增加(每一個(gè)都是單獨(dú)定價(jià))，已經(jīng)遠(yuǎn)遠(yuǎn)超越了Zeus所能提供的，因?yàn)殡S著法律的執(zhí)行讓木馬開發(fā)者越來越不順暢，Slavik開發(fā)的熱忱逐漸變淡了。

有很多方面可以表明，Citadel是全新的Zeus：它是以Zeus的代碼為基礎(chǔ)的，它的所有功能都超越了目前的任何流氓軟件組合。更重要的是，它是現(xiàn)在大力向犯罪分子推銷的網(wǎng)絡(luò)犯罪領(lǐng)域的唯一的一種商業(yè)流氓軟件，理論上，Citadel正在慢慢地但很確定地改變著Zeus的操作者，顛覆了它們的排名，進(jìn)一步吞噬了Zeus的市場(chǎng)份額。

如果將自己置身于剛剛決定開始投放僵尸的網(wǎng)絡(luò)罪犯的立場(chǎng)上，那么“待辦事項(xiàng)”清單上首先要做的事情是什么呢?尋求一種可以提供技術(shù)設(shè)定、支持、CRM、更新，以及能深入了解網(wǎng)絡(luò)犯罪的犯罪工具包怎么樣呢?它必須是在商業(yè)中可以獲得的——檢查;而且它的開發(fā)者必須是認(rèn)證且能響應(yīng)的——還要檢查。在一個(gè)危險(xiǎn)游戲中，顯而易見的答案就是“什么是Citadel?”

Citadel與Zeus V2相比，真正發(fā)生改變的是什么?

RSA研究人員已經(jīng)分析了Citadel木馬的變量，并將大肆的宣傳與Citadel的實(shí)際變化區(qū)分開來，Citadel與它的基本代碼Zeus v2.0.8.9是不同的。下列功能是迄今為止已經(jīng)觀察到的主要變化：

Citadel的加密方法

回到關(guān)于Zeus v2變量如何與C&C服務(wù)器之間的溝通問題，研究人員回想起它是通過一種系統(tǒng)的加密算法進(jìn)行加密的：RC4，帶有創(chuàng)建者定義的事先共享的密鑰。

研究發(fā)現(xiàn)，Zeus的有些變量使用的AES加密方法，而不是RC4，它更加強(qiáng)大，但仍然使用的是預(yù)先定義的密鑰。

Citadel將兩種加密方法結(jié)合在了一起，并在它們的基礎(chǔ)上額外又加了一層：

• 除了RC4密碼之外，每一個(gè)Citadel變量都有一個(gè)硬編碼的MD5串(可能是創(chuàng)建者設(shè)定的一大堆密碼)。
• 在運(yùn)行時(shí)，MD5串會(huì)通過MD5功能再運(yùn)行一次。
• 這樣，結(jié)果(新的MD5)就通過存儲(chǔ)的密鑰利用 RC4 進(jìn)行了加密。
• 最終結(jié)果被用于通過AES程序創(chuàng)建AES加密/解密密鑰
• 木馬的信息傳達(dá)就利用AES加密方法進(jìn)行了加密。

這三層保護(hù)為僵尸控制者提供了開箱即用的強(qiáng)大加密方法——即使他們選擇使用保護(hù)力度很弱的密碼，實(shí)際上也不可能破壞他們的僵尸信息的傳達(dá)。

當(dāng)?shù)赜蚱垓_： Citadel的客戶定制化DNS導(dǎo)向

從一開始發(fā)布，Citadel就為僵尸控制者介紹了這一新選項(xiàng)，以便于讓他們?cè)诒桓腥镜臋C(jī)器上改變名稱解析行為。最起碼，這意味著僵尸控制者可以決定受害人可以或不可以到達(dá)哪個(gè)URLs，以及受害人將要登錄到哪一個(gè)頁面，來代替他們?cè)疽獙ふ业捻撁妗?/p>

通過在兩個(gè)DNS相關(guān)功能上安裝鉤子，就可以讓這種導(dǎo)向變更發(fā)生：

1. 1. gethostbyname

2. 2. getaddrinfo

為了實(shí)施這一功能，配置文件中增加了一種新模塊，包含名稱和IP配對(duì)。無論被感染的程序[2]何時(shí)想要解析一個(gè)IP地址的主機(jī)名稱，它的請(qǐng)求首先都會(huì)通過Citadel的程序。這時(shí)木馬就會(huì)試圖利用常規(guī)機(jī)制來解析地址;如果解析成功，它會(huì)通過它自己的配置來報(bào)告名稱/IP配對(duì)。如果找到這樣的匹配——木馬將會(huì)把預(yù)先定義好的(具有欺詐性的)地址返回給請(qǐng)求者。

值得一提的是，如果常規(guī)DNS請(qǐng)求失敗(域名不存在、斷網(wǎng)等)，即使在僵尸控制者的配置中找到了匹配的地址，Citadel也會(huì)把原始的錯(cuò)誤信息反饋給請(qǐng)求者。這種行為使得導(dǎo)向變更在網(wǎng)絡(luò)監(jiān)控方面和典型的查詢/回答時(shí)間方面顯得更加不那么可疑。

當(dāng)?shù)赜蚱垓_功能使得僵尸網(wǎng)絡(luò)操作者可以使用兩個(gè)主要的攻擊向量：

• 隔離被感染的機(jī)器，阻止它訪問某些“不想要的”服務(wù)，包括AV供應(yīng)商、基于網(wǎng)頁的流氓軟件掃描、安全運(yùn)營商的網(wǎng)站、濫用清單和流氓軟件更新服務(wù)器。
• 容易被當(dāng)?shù)赜蚱垓_使用的第二個(gè)攻擊向量是復(fù)雜的網(wǎng)絡(luò)釣魚攻擊的部署，當(dāng)感染木馬的受害者通過他們的瀏覽器試圖去一個(gè)合法URL時(shí)，他們會(huì)被導(dǎo)向具有欺詐性的服務(wù)器。

Citadel在C&C服務(wù)器方面的改進(jìn)和安全補(bǔ)丁

Citadel木馬使用的是著名的Zeus服務(wù)器面板，并根據(jù)基于網(wǎng)頁的攻擊為它打了補(bǔ)丁。另外一項(xiàng)微小的變化是面板的視覺設(shè)計(jì)，使它變得看起來更加專業(yè)，并為被感染的僵尸增加了控制。只要團(tuán)隊(duì)覺得合適，可以將Citadel的許多功能和選項(xiàng)都植入面板中。

利用Citadel進(jìn)行網(wǎng)絡(luò)犯罪的成本

網(wǎng)絡(luò)騙子愿意為這新一代網(wǎng)絡(luò)犯罪工具包支付的成本是多少?下表列出了目前Citadel及其各個(gè)技術(shù)設(shè)置、支持、更新和其他各項(xiàng)特征的銷售價(jià)格：

#p#

Citadel的未來如何?

開發(fā)Citadel的團(tuán)隊(duì)似乎在非常認(rèn)真地對(duì)待這個(gè)項(xiàng)目，似乎在不知疲倦地為受到打擊的Zeus機(jī)制打補(bǔ)丁并添加新的補(bǔ)丁，使得這種木馬越來越模塊化，越來越適合網(wǎng)絡(luò)犯罪的應(yīng)用。

Citadel木馬正在欺詐地下市場(chǎng)中大肆營銷，并且將成為2012年被賴以依靠的網(wǎng)絡(luò)犯罪工具包。從3月份到4月份，RSA發(fā)現(xiàn)，在我們所分析過的木馬攻擊中，對(duì)Citadel的使用提高了20%。RSA正在不斷地研究Citadel木馬，并且將繼續(xù)報(bào)告新發(fā)現(xiàn)。

每個(gè)月的網(wǎng)絡(luò)釣魚攻擊數(shù)量

4月份，全球網(wǎng)絡(luò)釣魚攻擊的總數(shù)量增加了86%。RSA識(shí)別出的獨(dú)特的網(wǎng)絡(luò)釣魚攻擊一共有35,558次。

受攻擊品牌的數(shù)量

4月份，受網(wǎng)絡(luò)釣魚攻擊的品牌的數(shù)量比3月份下降了5%，一共有228個(gè)品牌。

受到攻擊的美國銀行類型

4月份，受到網(wǎng)絡(luò)釣魚攻擊的美國全國性品牌增長了24%。地區(qū)級(jí)銀行在受攻擊品牌中所占的比例有所下降，從3月份的30%下降到了4月份的11%。

按受攻擊數(shù)量排名前幾位的國家

在4月份，只有五個(gè)國家在受網(wǎng)絡(luò)釣魚攻擊的數(shù)量中超過了1%的比例——整個(gè)數(shù)量的90%多都集中在英國、加拿大和美國。

按受攻擊品牌排名前幾位的國家

美國、英國、澳大利亞和印度的受攻擊品牌幾乎占4月份的網(wǎng)絡(luò)釣魚攻擊總數(shù)的50%，后面依次是加拿大、巴西和意大利。

排名前幾位的托管國家

在4月份，55%的網(wǎng)絡(luò)釣魚攻擊都托管在美國，其次是巴西，占13%比3月份提高了5%。