RSA反欺詐指揮中心發布2012年4月報告，報告顯示，截止到2012年4月30日，Citadel木馬已經是第四次升級了，客戶手中的版本已經是1.3.4.0版。Citadel的特征、bug修復和模塊的增加(每一個都是單獨定價)，已經遠遠超越了Zeus所能提供的，因為隨著法律的執行讓木馬開發者越來越不順暢，Slavik開發的熱忱逐漸變淡了。

有很多方面可以表明，Citadel是全新的Zeus：它是以Zeus的代碼為基礎的，它的所有功能都超越了目前的任何流氓軟件組合。更重要的是，它是現在大力向犯罪分子推銷的網絡犯罪領域的唯一的一種商業流氓軟件，理論上，Citadel正在慢慢地但很確定地改變著Zeus的操作者，顛覆了它們的排名，進一步吞噬了Zeus的市場份額。

如果將自己置身于剛剛決定開始投放僵尸的網絡罪犯的立場上，那么“待辦事項”清單上首先要做的事情是什么呢?尋求一種可以提供技術設定、支持、CRM、更新，以及能深入了解網絡犯罪的犯罪工具包怎么樣呢?它必須是在商業中可以獲得的——檢查;而且它的開發者必須是認證且能響應的——還要檢查。在一個危險游戲中，顯而易見的答案就是“什么是Citadel?”

Citadel與Zeus V2相比，真正發生改變的是什么?

RSA研究人員已經分析了Citadel木馬的變量，并將大肆的宣傳與Citadel的實際變化區分開來，Citadel與它的基本代碼Zeus v2.0.8.9是不同的。下列功能是迄今為止已經觀察到的主要變化：

Citadel的加密方法

回到關于Zeus v2變量如何與C&C服務器之間的溝通問題，研究人員回想起它是通過一種系統的加密算法進行加密的：RC4，帶有創建者定義的事先共享的密鑰。

研究發現，Zeus的有些變量使用的AES加密方法，而不是RC4，它更加強大，但仍然使用的是預先定義的密鑰。

Citadel將兩種加密方法結合在了一起，并在它們的基礎上額外又加了一層：

• 除了RC4密碼之外，每一個Citadel變量都有一個硬編碼的MD5串(可能是創建者設定的一大堆密碼)。
• 在運行時，MD5串會通過MD5功能再運行一次。
• 這樣，結果(新的MD5)就通過存儲的密鑰利用 RC4 進行了加密。
• 最終結果被用于通過AES程序創建AES加密/解密密鑰
• 木馬的信息傳達就利用AES加密方法進行了加密。

這三層保護為僵尸控制者提供了開箱即用的強大加密方法——即使他們選擇使用保護力度很弱的密碼，實際上也不可能破壞他們的僵尸信息的傳達。

當地域欺騙： Citadel的客戶定制化DNS導向

從一開始發布，Citadel就為僵尸控制者介紹了這一新選項，以便于讓他們在被感染的機器上改變名稱解析行為。最起碼，這意味著僵尸控制者可以決定受害人可以或不可以到達哪個URLs，以及受害人將要登錄到哪一個頁面，來代替他們原本要尋找的頁面。

通過在兩個DNS相關功能上安裝鉤子，就可以讓這種導向變更發生：

1. 1. gethostbyname

2. 2. getaddrinfo

為了實施這一功能，配置文件中增加了一種新模塊，包含名稱和IP配對。無論被感染的程序[2]何時想要解析一個IP地址的主機名稱，它的請求首先都會通過Citadel的程序。這時木馬就會試圖利用常規機制來解析地址;如果解析成功，它會通過它自己的配置來報告名稱/IP配對。如果找到這樣的匹配——木馬將會把預先定義好的(具有欺詐性的)地址返回給請求者。

值得一提的是，如果常規DNS請求失敗(域名不存在、斷網等)，即使在僵尸控制者的配置中找到了匹配的地址，Citadel也會把原始的錯誤信息反饋給請求者。這種行為使得導向變更在網絡監控方面和典型的查詢/回答時間方面顯得更加不那么可疑。

當地域欺騙功能使得僵尸網絡操作者可以使用兩個主要的攻擊向量：

• 隔離被感染的機器，阻止它訪問某些“不想要的”服務，包括AV供應商、基于網頁的流氓軟件掃描、安全運營商的網站、濫用清單和流氓軟件更新服務器。
• 容易被當地域欺騙使用的第二個攻擊向量是復雜的網絡釣魚攻擊的部署，當感染木馬的受害者通過他們的瀏覽器試圖去一個合法URL時，他們會被導向具有欺詐性的服務器。

Citadel在C&C服務器方面的改進和安全補丁

Citadel木馬使用的是著名的Zeus服務器面板，并根據基于網頁的攻擊為它打了補丁。另外一項微小的變化是面板的視覺設計，使它變得看起來更加專業，并為被感染的僵尸增加了控制。只要團隊覺得合適，可以將Citadel的許多功能和選項都植入面板中。

利用Citadel進行網絡犯罪的成本

網絡騙子愿意為這新一代網絡犯罪工具包支付的成本是多少?下表列出了目前Citadel及其各個技術設置、支持、更新和其他各項特征的銷售價格：

#p#

Citadel的未來如何?

開發Citadel的團隊似乎在非常認真地對待這個項目，似乎在不知疲倦地為受到打擊的Zeus機制打補丁并添加新的補丁，使得這種木馬越來越模塊化，越來越適合網絡犯罪的應用。

Citadel木馬正在欺詐地下市場中大肆營銷，并且將成為2012年被賴以依靠的網絡犯罪工具包。從3月份到4月份，RSA發現，在我們所分析過的木馬攻擊中，對Citadel的使用提高了20%。RSA正在不斷地研究Citadel木馬，并且將繼續報告新發現。

每個月的網絡釣魚攻擊數量

4月份，全球網絡釣魚攻擊的總數量增加了86%。RSA識別出的獨特的網絡釣魚攻擊一共有35,558次。

受攻擊品牌的數量

4月份，受網絡釣魚攻擊的品牌的數量比3月份下降了5%，一共有228個品牌。

受到攻擊的美國銀行類型

4月份，受到網絡釣魚攻擊的美國全國性品牌增長了24%。地區級銀行在受攻擊品牌中所占的比例有所下降，從3月份的30%下降到了4月份的11%。

按受攻擊數量排名前幾位的國家

在4月份，只有五個國家在受網絡釣魚攻擊的數量中超過了1%的比例——整個數量的90%多都集中在英國、加拿大和美國。

按受攻擊品牌排名前幾位的國家

美國、英國、澳大利亞和印度的受攻擊品牌幾乎占4月份的網絡釣魚攻擊總數的50%，后面依次是加拿大、巴西和意大利。

排名前幾位的托管國家

在4月份，55%的網絡釣魚攻擊都托管在美國，其次是巴西，占13%比3月份提高了5%。