久久av片,日本在线资源,欧美专区日韩专区

日前，RSA反欺詐指揮中心發(fā)布2012年4月報(bào)告，報(bào)告顯示，截止到2012年4月30日，Citadel木馬已經(jīng)是第四次升級(jí)了，客戶手中的版本已經(jīng)是1.3.4.0版。Citadel的特征、bug修復(fù)和模塊的增加（每一個(gè)都是單獨(dú)定價(jià)），已經(jīng)遠(yuǎn)遠(yuǎn)超越了Zeus所能提供的，因?yàn)殡S著法律的執(zhí)行讓木馬開(kāi)發(fā)者越來(lái)越不順暢，Slavik開(kāi)發(fā)的熱忱逐漸變淡了。

有很多方面可以表明，Citadel是全新的Zeus：它是以Zeus的代碼為基礎(chǔ)的，它的所有功能都超越了目前的任何流氓軟件組合。更重要的是，它是現(xiàn)在大力向犯罪分子推銷(xiāo)的網(wǎng)絡(luò)犯罪領(lǐng)域的唯一的一種商業(yè)流氓軟件，理論上，Citadel正在慢慢地但很確定地改變著Zeus的操作者，顛覆了它們的排名，進(jìn)一步吞噬了Zeus的市場(chǎng)份額。

如果將自己置身于剛剛決定開(kāi)始投放僵尸的網(wǎng)絡(luò)罪犯的立場(chǎng)上，那么“待辦事項(xiàng)”清單上首先要做的事情是什么呢？尋求一種可以提供技術(shù)設(shè)定、支持、CRM、更新，以及能深入了解網(wǎng)絡(luò)犯罪的犯罪工具包怎么樣呢？它必須是在商業(yè)中可以獲得的——檢查；而且它的開(kāi)發(fā)者必須是認(rèn)證且能響應(yīng)的——還要檢查。在一個(gè)危險(xiǎn)游戲中，顯而易見(jiàn)的答案就是“什么是Citadel？”

Citadel與Zeus V2相比，真正發(fā)生改變的是什么？

RSA研究人員已經(jīng)分析了Citadel木馬的變量，并將大肆的宣傳與Citadel的實(shí)際變化區(qū)分開(kāi)來(lái)，Citadel與它的基本代碼Zeus v2.0.8.9是不同的。下列功能是迄今為止已經(jīng)觀察到的主要變化：

Citadel的加密方法

回到關(guān)于Zeus v2變量如何與C&C服務(wù)器之間的溝通問(wèn)題，研究人員回想起它是通過(guò)一種系統(tǒng)的加密算法進(jìn)行加密的：RC4，帶有創(chuàng)建者定義的事先共享的密鑰。

研究發(fā)現(xiàn)，Zeus的有些變量使用的AES加密方法，而不是RC4，它更加強(qiáng)大，但仍然使用的是預(yù)先定義的密鑰。

Citadel將兩種加密方法結(jié)合在了一起，并在它們的基礎(chǔ)上額外又加了一層：

–除了RC4密碼之外，每一個(gè)Citadel變量都有一個(gè)硬編碼的MD5串（可能是創(chuàng)建者設(shè)定的一大堆密碼）。

–在運(yùn)行時(shí)，MD5串會(huì)通過(guò)MD5功能再運(yùn)行一次。

–這樣，結(jié)果（新的MD5）就通過(guò)存儲(chǔ)的密鑰利用 RC4 進(jìn)行了加密。

–最終結(jié)果被用于通過(guò)AES程序創(chuàng)建AES加密/解密密鑰

–木馬的信息傳達(dá)就利用AES加密方法進(jìn)行了加密。

這三層保護(hù)為僵尸控制者提供了開(kāi)箱即用的強(qiáng)大加密方法——即使他們選擇使用保護(hù)力度很弱的密碼，實(shí)際上也不可能破壞他們的僵尸信息的傳達(dá)。

當(dāng)?shù)赜蚱垓_： Citadel的客戶定制化DNS導(dǎo)向

從一開(kāi)始發(fā)布，Citadel就為僵尸控制者介紹了這一新選項(xiàng)，以便于讓他們?cè)诒桓腥镜臋C(jī)器上改變名稱(chēng)解析行為。最起碼，這意味著僵尸控制者可以決定受害人可以或不可以到達(dá)哪個(gè)URLs，以及受害人將要登錄到哪一個(gè)頁(yè)面，來(lái)代替他們?cè)疽獙ふ业捻?yè)面。

通過(guò)在兩個(gè)DNS相關(guān)功能上安裝鉤子，就可以讓這種導(dǎo)向變更發(fā)生：

1. 1. gethostbyname

2. 2. getaddrinfo

為了實(shí)施這一功能，配置文件中增加了一種新模塊，包含名稱(chēng)和IP配對(duì)。無(wú)論被感染的程序[2]何時(shí)想要解析一個(gè)IP地址的主機(jī)名稱(chēng)，它的請(qǐng)求首先都會(huì)通過(guò)Citadel的程序。這時(shí)木馬就會(huì)試圖利用常規(guī)機(jī)制來(lái)解析地址；如果解析成功，它會(huì)通過(guò)它自己的配置來(lái)報(bào)告名稱(chēng)/IP配對(duì)。如果找到這樣的匹配——木馬將會(huì)把預(yù)先定義好的（具有欺詐性的）地址返回給請(qǐng)求者。

值得一提的是，如果常規(guī)DNS請(qǐng)求失敗（域名不存在、斷網(wǎng)等），即使在僵尸控制者的配置中找到了匹配的地址，Citadel也會(huì)把原始的錯(cuò)誤信息反饋給請(qǐng)求者。這種行為使得導(dǎo)向變更在網(wǎng)絡(luò)監(jiān)控方面和典型的查詢/回答時(shí)間方面顯得更加不那么可疑。

當(dāng)?shù)赜蚱垓_功能使得僵尸網(wǎng)絡(luò)操作者可以使用兩個(gè)主要的攻擊向量：

–隔離被感染的機(jī)器，阻止它訪問(wèn)某些“不想要的”服務(wù)，包括AV供應(yīng)商、基于網(wǎng)頁(yè)的流氓軟件掃描、安全運(yùn)營(yíng)商的網(wǎng)站、濫用清單和流氓軟件更新服務(wù)器。

–容易被當(dāng)?shù)赜蚱垓_使用的第二個(gè)攻擊向量是復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊的部署，當(dāng)感染木馬的受害者通過(guò)他們的瀏覽器試圖去一個(gè)合法URL時(shí)，他們會(huì)被導(dǎo)向具有欺詐性的服務(wù)器。

Citadel在C&C服務(wù)器方面的改進(jìn)和安全補(bǔ)丁

Citadel木馬使用的是著名的Zeus服務(wù)器面板，并根據(jù)基于網(wǎng)頁(yè)的攻擊為它打了補(bǔ)丁。另外一項(xiàng)微小的變化是面板的視覺(jué)設(shè)計(jì)，使它變得看起來(lái)更加專(zhuān)業(yè)，并為被感染的僵尸增加了控制。只要團(tuán)隊(duì)覺(jué)得合適，可以將Citadel的許多功能和選項(xiàng)都植入面板中。

利用Citadel進(jìn)行網(wǎng)絡(luò)犯罪的成本

網(wǎng)絡(luò)騙子愿意為這新一代網(wǎng)絡(luò)犯罪工具包支付的成本是多少？下表列出了目前Citadel及其各個(gè)技術(shù)設(shè)置、支持、更新和其他各項(xiàng)特征的銷(xiāo)售價(jià)格：

Citadel的未來(lái)如何？

開(kāi)發(fā)Citadel的團(tuán)隊(duì)似乎在非常認(rèn)真地對(duì)待這個(gè)項(xiàng)目，似乎在不知疲倦地為受到打擊的Zeus機(jī)制打補(bǔ)丁并添加新的補(bǔ)丁，使得這種木馬越來(lái)越模塊化，越來(lái)越適合網(wǎng)絡(luò)犯罪的應(yīng)用。

Citadel木馬正在欺詐地下市場(chǎng)中大肆營(yíng)銷(xiāo)，并且將成為2012年被賴以依靠的網(wǎng)絡(luò)犯罪工具包。從3月份到4月份，RSA發(fā)現(xiàn)，在我們所分析過(guò)的木馬攻擊中，對(duì)Citadel的使用提高了20%。RSA正在不斷地研究Citadel木馬，并且將繼續(xù)報(bào)告新發(fā)現(xiàn)。

·每個(gè)月的網(wǎng)絡(luò)釣魚(yú)攻擊數(shù)量

4月份，全球網(wǎng)絡(luò)釣魚(yú)攻擊的總數(shù)量增加了86%。RSA識(shí)別出的獨(dú)特的網(wǎng)絡(luò)釣魚(yú)攻擊一共有35,558次。