RSA反欺诈指挥中心发布2012年4月报告,报告显示,截止到2012年4月30日,Citadel木马已经是第四次升级了,客户手中的版本已经是1.3.4.0版。Citadel的特征、bug修复和模块的增加(每一个都是单独定价),已经远远超越了Zeus所能提供的,因为随着法律的执行让木马开发者越来越不顺畅,Slavik开发的热忱逐渐变淡了。
有很多方面可以表明,Citadel是全新的Zeus:它是以Zeus的代码为基础的,它的所有功能都超越了目前的任何流氓软件组合。更重要的是,它是现在大力向犯罪分子推销的网络犯罪领域的唯一的一种商业流氓软件,理论上,Citadel正在慢慢地但很确定地改变着Zeus的操作者,颠覆了它们的排名,进一步吞噬了Zeus的市场份额。
如果将自己置身于刚刚决定开始投放僵尸的网络罪犯的立场上,那么“待办事项”清单上首先要做的事情是什么呢?寻求一种可以提供技术设定、支持、CRM、更新,以及能深入了解网络犯罪的犯罪工具包怎么样呢?它必须是在商业中可以获得的——检查;而且它的开发者必须是认证且能响应的——还要检查。在一个危险游戏中,显而易见的答案就是“什么是Citadel?”
Citadel与Zeus V2相比,真正发生改变的是什么?
RSA研究人员已经分析了Citadel木马的变量,并将大肆的宣传与Citadel的实际变化区分开来,Citadel与它的基本代码Zeus v2.0.8.9是不同的。下列功能是迄今为止已经观察到的主要变化:
Citadel的加密方法
回到关于Zeus v2变量如何与C&C服务器之间的沟通问题,研究人员回想起它是通过一种系统的加密算法进行加密的:RC4,带有创建者定义的事先共享的密钥。
研究发现,Zeus的有些变量使用的AES加密方法,而不是RC4,它更加强大,但仍然使用的是预先定义的密钥。
Citadel将两种加密方法结合在了一起,并在它们的基础上额外又加了一层:
- 除了RC4密码之外,每一个Citadel变量都有一个硬编码的MD5串(可能是创建者设定的一大堆密码)。
- 在运行时,MD5串会通过MD5功能再运行一次。
- 这样,结果(新的MD5)就通过存储的密钥利用 RC4 进行了加密。
- 最终结果被用于通过AES程序创建AES加密/解密密钥
- 木马的信息传达就利用AES加密方法进行了加密。
这三层保护为僵尸控制者提供了开箱即用的强大加密方法——即使他们选择使用保护力度很弱的密码,实际上也不可能破坏他们的僵尸信息的传达。
当地域欺骗: Citadel的客户定制化DNS导向
从一开始发布,Citadel就为僵尸控制者介绍了这一新选项,以便于让他们在被感染的机器上改变名称解析行为。最起码,这意味着僵尸控制者可以决定受害人可以或不可以到达哪个URLs,以及受害人将要登录到哪一个页面,来代替他们原本要寻找的页面。
通过在两个DNS相关功能上安装钩子,就可以让这种导向变更发生:
1. 1. gethostbyname
2. 2. getaddrinfo
为了实施这一功能,配置文件中增加了一种新模块,包含名称和IP配对。无论被感染的程序[2]何时想要解析一个IP地址的主机名称,它的请求首先都会通过Citadel的程序。这时木马就会试图利用常规机制来解析地址;如果解析成功,它会通过它自己的配置来报告名称/IP配对。如果找到这样的匹配——木马将会把预先定义好的(具有欺诈性的)地址返回给请求者。
值得一提的是,如果常规DNS请求失败(域名不存在、断网等),即使在僵尸控制者的配置中找到了匹配的地址,Citadel也会把原始的错误信息反馈给请求者。这种行为使得导向变更在网络监控方面和典型的查询/回答时间方面显得更加不那么可疑。
当地域欺骗功能使得僵尸网络操作者可以使用两个主要的攻击向量:
- 隔离被感染的机器,阻止它访问某些“不想要的”服务,包括AV供应商、基于网页的流氓软件扫描、安全运营商的网站、滥用清单和流氓软件更新服务器。
- 容易被当地域欺骗使用的第二个攻击向量是复杂的网络钓鱼攻击的部署,当感染木马的受害者通过他们的浏览器试图去一个合法URL时,他们会被导向具有欺诈性的服务器。
Citadel在C&C服务器方面的改进和安全补丁
Citadel木马使用的是著名的Zeus服务器面板,并根据基于网页的攻击为它打了补丁。另外一项微小的变化是面板的视觉设计,使它变得看起来更加专业,并为被感染的僵尸增加了控制。只要团队觉得合适,可以将Citadel的许多功能和选项都植入面板中。
利用Citadel进行网络犯罪的成本
网络骗子愿意为这新一代网络犯罪工具包支付的成本是多少?下表列出了目前Citadel及其各个技术设置、支持、更新和其他各项特征的销售价格:
#p#
Citadel的未来如何?
开发Citadel的团队似乎在非常认真地对待这个项目,似乎在不知疲倦地为受到打击的Zeus机制打补丁并添加新的补丁,使得这种木马越来越模块化,越来越适合网络犯罪的应用。
Citadel木马正在欺诈地下市场中大肆营销,并且将成为2012年被赖以依靠的网络犯罪工具包。从3月份到4月份,RSA发现,在我们所分析过的木马攻击中,对Citadel的使用提高了20%。RSA正在不断地研究Citadel木马,并且将继续报告新发现。
每个月的网络钓鱼攻击数量
4月份,全球网络钓鱼攻击的总数量增加了86%。RSA识别出的独特的网络钓鱼攻击一共有35,558次。
受攻击品牌的数量
4月份,受网络钓鱼攻击的品牌的数量比3月份下降了5%,一共有228个品牌。
受到攻击的美国银行类型
4月份,受到网络钓鱼攻击的美国全国性品牌增长了24%。地区级银行在受攻击品牌中所占的比例有所下降,从3月份的30%下降到了4月份的11%。
按受攻击数量排名前几位的国家
在4月份,只有五个国家在受网络钓鱼攻击的数量中超过了1%的比例——整个数量的90%多都集中在英国、加拿大和美国。
按受攻击品牌排名前几位的国家
美国、英国、澳大利亚和印度的受攻击品牌几乎占4月份的网络钓鱼攻击总数的50%,后面依次是加拿大、巴西和意大利。
排名前几位的托管国家
在4月份,55%的网络钓鱼攻击都托管在美国,其次是巴西,占13%比3月份提高了5%。
