海西数据

韩国服务器,美国服务器,香港服务器,台湾服务器,日本服务器,美国空间,马来西亚,新加坡服务器,海外服务器租用

« 国内市场拼音域名亮点雅虎披露回购协议细节 »

警惕功能强劲的全新流氓软件

日前,RSA反欺诈指挥中心发布2012年4月报告,报告显示,截止到2012年4月30日,Citadel木马已经是第四次升级了,客户手中的版本已经是1.3.4.0版。Citadel的特征、bug修复和模块的增加(每一个都是单独定价),已经远远超越了Zeus所能提供的,因为随着法律的执行让木马开发者越来越不顺畅,Slavik开发的热忱逐渐变淡了。

 
    有很多方面可以表明,Citadel是全新的Zeus:它是以Zeus的代码为基础的,它的所有功能都超越了目前的任何流氓软件组合。更重要的是,它是现在大力向犯罪分子推销的网络犯罪领域的唯一的一种商业流氓软件,理论上,Citadel正在慢慢地但很确定地改变着Zeus的操作者,颠覆了它们的排名,进一步吞噬了Zeus的市场份额。
 
    如果将自己置身于刚刚决定开始投放僵尸的网络罪犯的立场上,那么“待办事项”清单上首先要做的事情是什么呢?寻求一种可以提供技术设定、支持、CRM、更新,以及能深入了解网络犯罪的犯罪工具包怎么样呢?它必须是在商业中可以获得的——检查;而且它的开发者必须是认证且能响应的——还要检查。在一个危险游戏中,显而易见的答案就是“什么是Citadel?”
 
    Citadel与Zeus V2相比,真正发生改变的是什么?
 
    RSA研究人员已经分析了Citadel木马的变量,并将大肆的宣传与Citadel的实际变化区分开来,Citadel与它的基本代码Zeus v2.0.8.9是不同的。
Citadel的加密方法
 
    回到关于Zeus v2变量如何与C&C服务器之间的沟通问题,研究人员回想起它是通过一种系统的加密算法进行加密的:RC4,带有创建者定义的事先共享的密钥。
 
    研究发现,Zeus的有些变量使用的AES加密方法,而不是RC4,它更加强大,但仍然使用的是预先定义的密钥。
    Citadel将两种加密方法结合在了一起,并在它们的基础上额外又加了一层:
 
    –除了RC4密码之外,每一个Citadel变量都有一个硬编码的MD5串(可能是创建者设定的一大堆密码)。
 
    –在运行时,MD5串会通过MD5功能再运行一次。
 
    –这样,结果(新的MD5)就通过存储的密钥利用 RC4 进行了加密。
 
    –最终结果被用于通过AES程序创建AES加密/解密密钥
 
    –木马的信息传达就利用AES加密方法进行了加密。
 
    这三层保护为僵尸控制者提供了开箱即用的强大加密方法——即使他们选择使用保护力度很弱的密码,服务器实际上也不可能破坏他们的僵尸信息的传达。
 
    当地域欺骗: Citadel的客户定制化DNS导向
 
    从一开始发布,Citadel就为僵尸控制者介绍了这一新选项,以便于让他们在被感染的机器上改变名称解析行为。最起码,这意味着僵尸控制者可以决定受害人可以或不可以到达哪个URLs,以及受害人将要登录到哪一个页面,来代替他们原本要寻找的页面。
 
    通过在两个DNS相关功能上安装钩子,就可以让这种导向变更发生:
 
    1. 1. gethostbyname
 
    2. 2. getaddrinfo
 
    为了实施这一功能,配置文件中增加了一种新模块,包含名称和IP配对。无论被感染的程序[2]何时想要解析一个IP地址的主机名称,它的请求首先都会通过Citadel的程序。这时木马就会试图利用常规机制来解析地址;如果解析成功,它会通过它自己的配置来报告名称/IP配对。如果找到这样的匹配——木马将会把预先定义好的(具有欺诈性的)地址返回给请求者。
 
    值得一提的是,如果常规DNS请求失败(域名不存在、断网等),即使在僵尸控制者的配置中找到了匹配的地址,Citadel也会把原始的错误信息反馈给请求者。这种行为使得导向变更在网络监控方面和典型的查询/回答时间方面显得更加不那么可疑。
 
    当地域欺骗功能使得僵尸网络操作者可以使用两个主要的攻击向量:
 
    –隔离被感染的机器,阻止它访问某些“不想要的”服务,包括AV供应商、基于网页的流氓软件扫描、安全运营商的网站、滥用清单和流氓软件更新服务器
 
    –容易被当地域欺骗使用的第二个攻击向量是复杂的网络钓鱼攻击的部署,当感染木马的受害者通过他们的浏览器试图去一个合法URL时,他们会被导向具有欺诈性的服务器。
 
    Citadel在C&C服务器方面的改进和安全补丁
 
    Citadel木马使用的是著名的Zeus服务器面板,并根据基于网页的攻击为它打了补丁。另外一项微小的变化是面板的视觉设计,使它变得看起来更加专业,并为被感染的僵尸增加了控制。只要团队觉得合适,可以将Citadel的许多功能和选项都植入面板中。
 
    利用Citadel进行网络犯罪的成本
 
    网络骗子愿意为这新一代网络犯罪工具包支付的成本是多少?下表列出了目前Citadel及其各个技术设置、支持、更新和其他各项特征的销售价格:
 

海西数据-国际互联网数据中心:全国最大的服务器提供商!台湾服务器|香港服务器|日本服务器|韩国服务器|美国服务器|新加坡服务器|英国服务器|德国服务器|法国服务器|加拿大服务器|印度服务器|欧洲服务器|国外服务器|
详情请咨询QQ:907607712 QQ:875508531 QQ:574116650 QQ:563149726
联系人:andy bari  jake john
电话:0592-8397998    7x24 13306033708
公司官方网址http://www.xmwzidc.com 
                 http://www.xmwzidc.cn 
                 http://www.hxsj.xmwzidc.com [海西数据虚拟主机网]
                 http://www.xmwzidc.com/bolg [海西数据博客]

  • 相关文章:

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

日历

最新评论及回复

最近发表

Powered By Z-Blog 1.8 Walle Build 100427

Copyright 海西数据-万纵科技 xmwzidc.cn. ALL Rights Reserved