警惕功能強勁的全新流氓軟件

　　日前，RSA反欺詐指揮中心發布2012年4月報告，報告顯示，截止到2012年4月30日，Citadel木馬已經是第四次升級了，客戶手中的版本已經是1.3.4.0版。Citadel的特征、bug修復和模塊的增加（每一個都是單獨定價），已經遠遠超越了Zeus所能提供的，因為隨著法律的執行讓木馬開發者越來越不順暢，Slavik開發的熱忱逐漸變淡了。

　　有很多方面可以表明，Citadel是全新的Zeus：它是以Zeus的代碼為基礎的，它的所有功能都超越了目前的任何流氓軟件組合。更重要的是，它是現在大力向犯罪分子推銷的網絡犯罪領域的唯一的一種商業流氓軟件，理論上，Citadel正在慢慢地但很確定地改變著Zeus的操作者，顛覆了它們的排名，進一步吞噬了Zeus的市場份額。

　　如果將自己置身於剛剛決定開始投放僵屍的網絡罪犯的立場上，那麼“待辦事項”清單上首先要做的事情是什麼呢？尋求一種可以提供技術設定、支持、CRM、更新，以及能深入了解網絡犯罪的犯罪工具包怎麼樣呢？它必須是在商業中可以獲得的——檢查；而且它的開發者必須是認證且能響應的——還要檢查。在一個危險游戲中，顯而易見的答案就是“什麼是Citadel？”

　　Citadel與Zeus V2相比，真正發生改變的是什麼？

　　RSA研究人員已經分析了Citadel木馬的變量，並將大肆的宣傳與Citadel的實際變化區分開來，Citadel與它的基本代碼Zeus v2.0.8.9是不同的。下列功能是迄今為止已經觀察到的主要變化：

　　Citadel的加密方法

　　回到關於Zeus v2變量如何與C&C服務器之間的溝通問題，研究人員回想起它是通過一種系統的加密算法進行加密的：RC4，帶有創建者定義的事先共享的密鑰。

　　研究發現，Zeus的有些變量使用的AES加密方法，而不是RC4，它更加強大，但仍然使用的是預先定義的密鑰。

　　Citadel將兩種加密方法結合在了一起，並在它們的基礎上額外又加了一層：

　　–除了RC4密碼之外，每一個Citadel變量都有一個硬編碼的MD5串（可能是創建者設定的一大堆密碼）。

　　–在運行時，MD5串會通過MD5功能再運行一次。

　　–這樣，結果（新的MD5）就通過存儲的密鑰利用 RC4 進行了加密。

　　–最終結果被用於通過AES程序創建AES加密/解密密鑰

　　–木馬的信息傳達就利用AES加密方法進行了加密。

　　這三層保護為僵屍控制者提供了開箱即用的強大加密方法——即使他們選擇使用保護力度很弱的密碼，實際上也不可能破壞他們的僵屍信息的傳達。

　　當地域欺騙： Citadel的客戶定制化DNS導向