De oorsprong van Citadel is terug te voeren naar maart 2011 toen de broncode van de beruchte trojan ZeuS online te koop werd gezet. De code verscheen op een downloadsite en vervolgens was ZeuS gemeengoed. Al eerder doken her en der ZeuS-varianten op en rond de jaarwisseling viel het oog van beveiligingsexpert Brian Krebs op een nieuwe trojan waar bijvoorbeeld SecurLert in december melding van maakte.

Samen malware verbeteren

Krebs ontdekte in januari op diverse gesloten hackerfora dat er werd geleurd met een nieuwe Zeus-variant. Het opvallende van dit Citadel-project is dat de broncode onder hackers werd gedeeld om de malware te verbeteren.

Het idee van Citadel is volgens de makers om een malwaresysteem op te bouwen dat meer is dan “troep op je harde schijf". De makers beogen een lucratief netwerk van meerdere klanten dat wordt ontworpen door één groep.

Open source botnet

Via een handig administratiepaneel is het voor herders van een botnet eenvoudig te zien welke nieuwe computers zijn toegevoegd aan het botnet. Afhankelijk van de trojan en het doel van de botnet, worden slachtoffers van Citadel in verschillende botnets verwerkt. Met behulp van een CRM-platform schieten gebruikers bugmeldingen in en vragen ze nieuwe features aan. Citadel is het eerste grootschalige malwareproject waarbij ontwikkelaars elkaars kennis gebruiken om het eindproduct te verbeteren.

Krebs vond overigens ook een wel heel bijzondere feature: als potentiële slachtoffers een Oekraïens of Russisch toetsenbord gebruiken, wordt de malware uitgeschakeld. De expert speculeert dat deze functionaliteit is ingebouwd om ontwikkelaars te beschermen tegen heftige represailles in deze rechtsgebieden.

Citadel blijft onopgemerkt

Citadel-trojans hebben een aantal features ingebouwd om zoveel mogelijk onopgemerkt te blijven. Zo is er een speciale sleutel nodig om updates uit te voeren. ZeuS wordt gesnapt door verschillende sites die C&C-servers detecteren en deze worden vervolgens verlinkt. Citadel probeert dit probleem te ondervangen door verkeer te versleutelen zodat het niet wordt opgemerkt door deze speursites.

Webwereld schreef in februari over deze nieuwe open source-malware. De trojans die pc's toevoegden aan botnets worden met elke iteratie geavanceerder. SecurLert wist meer dan een half jaar geleden al te melden dat er minstens 100.000 systemen in verschillende botnets die de nieuwe software gebruiken waren gevangen. Zo'n 3 procent van de besmettingen werd in Nederland aangetroffen.

Foutje in Dorifel

Een half jaar later barst de ellende los. Bedrijven, scholen en overheidsinstanties worden hard onderuitgehaald door de trojan Dorifel. Het virus is via Citadel naar binnengepompt en verandert Office-documenten. Het was niet de bedoeling dat Dorfiel op deze manier werd ontdekt, zo blijkt uit analyse van Webwereld-journalist Brenno de Winter. Een programmeerfout in de code veroorzaakt een waarschuwing, waardoor slachtoffers zich bewust worden van het gevaar.

Op de volgende pagina: op zoek naar sterkere botnetbestrijding

Hierdoor valt niet alleen de malware op, maar is er ook aandacht gekomen voor Citadel. Sinds eind vorig jaar voegen botnetbeheerders via de open source-malware systemen toe aan hun netwerken. Al die tijd hebben computers, waaronder duizenden Nederlandse systemen, opengestaan voor schadelijke software. Zelfs als Dorifel is opgeruimd, staat er hoogstwaarschijnlijk nog meer troep op de pc's en hangen ze nog altijd aan Citadel.

Uit onderzoek van SurfRight blijkt dat Nederland het zwaarst besmet is met Citadel. Security.nl meldde gisteren dat ZeuS-varianten hoogtij vieren in ons land. De politieransomware Reveton wordt ook druk geïnstalleerd bij slachtoffers. Deze malware wordt via een Java-drive-by verspreid via websites en grijpt zijn kans als gebruikers verouderde software gebruiken. Reveton voegt ook meteen een Citadel-trojan toe waardoor de besmette pc wordt ingelijfd bij een botnet.

Door beveiligingslaag heen

Via Intrustion Detection analyseren systeembeheerders het netwerk en zo worden een hoop botnet-trojans ondervangen. Ze worden bijvoorbeeld gedetecteerd op welke acties ze uitvoeren. Met heuristische scans kan goede software bepalen of software theoretisch schadelijk is. Daarnaast moet een blacklist van bekende gekaapte ip-adressen voorkomen dat systemen contact maken met een C&C-server.

Maar een slimme malwaremaker prikt door deze beveiligingslaag heen met een versleuteld stukje software à lá Citadel en een nieuwe pool ip-adressen. Dit gebeurde bijvoorbeeld nog gisteren toen na de ontdekking van de trojan Hermes de C&C werd geblokkeerd die Dorifel aanstuurde. Vlug stuurde de C&C een commando door naar een nieuw IP-adres zodat systeembeheerders die de poort daarna blokkeerden alweer te laat waren.

Huidige detectiemethoden ontoereikend

Citadel bewijst dat zelfs met bijgewerkte virusscanners en geavanceerde detectieprotocollen zelfs overheidssystemen keihard kunnen worden geraakt. De huidige detectiemethoden zijn dus ontoereikend om een kritiek netwerk stevig te beveiligen. Ook het constant achterna blijven lopen van IP-adressen is geen oplossing van het probleem, maar symptoombestrijding.

“We hebben een sterkere oplossing nodig en als je het mij vraagt ligt die in het whitelisten van applicaties", zegt Erik Remmelzwaal van beveiligingsbedrijf Medusoft. Deze firma voert de opschoningsactie uit bij diverse gemeenten die vorige week werden platgelegd door de ellende die Dorifel teweegbracht. “In plaats van het blokkeren van schadelijke applicaties, sta je dan alleen toe wat op het netwerk mag draaien."

Tot het gaatje

Netwerkmonitoring is volgens Ronald Prins van Fox-IT een oplossing om de meeste problemen te voorkomen. “Maar klanten die tot het gaatje willen gaan, kunnen inderdaad applicaties whitelisten." Dit is volgens Prins een rigoureuze oplossing om kwaadaardige processen een halt toe te roepen. “Veel organisaties vinden zo'n lockdown niet prettig", aldus de beveiligingsexpert. Het zou betekenen dat op kritieke systemen bijvoorbeeld internettoegang beperkt wordt.

Na het opruimen van de schade die Dorifel heeft aangericht, is het virus niet veel meer dan een nare herinnering voor veel systeembeheerders. Het distributiekanaal Citadel blijft wel een probleem. Behalve het blokkeren van ip-adressen van C&C-servers, moeten bedrijven op hun hoede blijven voor malware die net bevrijde systemen opnieuw een Citadel-botnet binnentrekken. Daarmee blijft de Citadel-wond de komende tijd doorzweren.