Новая версия Citadel стала незаметной для виртуальных сред
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Новая версия Citadel стала незаметной для виртуальных сред

Ксения Ренселаева 28 Июня 2012 - 22:53
...
Эксперты в области безопасности компании S21sec сообщили о появлении новой версии трояна Citadel. Помимо всего прочего, троян получил улучшенный алгоритм шифрования, а также функцию обнаружения наличия работающих виртуальных сред, например, песочницы.

Согласно сообщению, наиболее интересной, среди добавленных, является функция «антиэмулятор». После запуска, троян проверяет компьютер на наличие работающих виртуальных сред, например, CWSandbox, VMware или Virtualbox. В случае если таковые процессы запущены, троян создает ложный домен и пытается установить с ним связь. Это, по мнению специалистов, сделано для того, чтобы направить исследователей по ложному пути, имитируя отключенный сервер. Однако, если результаты проверки отрицательны, вредоносная программа устанавливает связь с реальным удаленным сервером.

Вдобавок к этому, создатели снабдили свое детище улучшенным алгоритмом шифрования RC4, с помощью которого во время сеанса связи шифруется весь сетевой трафик. Вирусописатели учли уязвимость этого алгоритма и добавили к нему внутренний хэш.

По словам исследователей, во время процесса шифрования потока данных, помимо обычных операции сложения по модулю 2 (XOR - операций) в алгоритме RC4, при каждой следующей итерации к полученному значению последовательно добавляются дополнительные символы, которые также были вычеслены по XOR функции.

Иными словами, внутреннее шифрование заключается в том, что к основному значению посредством XOR -операции, добавляется дополнительная последовательность чисел, которая также прошла XOR процесс.  

Таким образом, новая версия не будет поддерживать соединение с предыдущими версиями бота, считают в S21sec. Более подробные результаты вредоносной программы исследований представлены в блоге компании.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

В Linux нашли 19-летнюю дыру: атакующий может добраться до root
Екатерина Быстрова 01 Июня 2026 - 08:48
Linux Уязвимости программ Домашние пользователиКорпорации
В Linux нашли 19-летнюю дыру: атакующий может добраться до root

В Linux обнаружили новую уязвимость повышения привилегий, получившую имя CIFSwitch. При удачном раскладе обычный локальный пользователь может обмануть механизм CIFS-аутентификации, подсовывать ядру фальшивые запросы и в итоге получить root. Проблема затрагивает системы с уязвимыми связками kernel CIFS и cifs-utils, в первую очередь версии 6.14 и выше.

CIFS нужен Linux для работы с сетевыми шарами: монтировать удалённые папки, читать и писать файлы по сети. Если такая шара использует Kerberos-аутентификацию, ядро Linux обращается к пользовательскому приложению, а cifs-utils выступает посредником.

По словам исследователя Асима Вилади Оглу Манизады, который нашёл и назвал CIFSwitch, ядро запрашивает ключ типа cifs.spnego, после чего стандартная связка keyutils/request-key запускает cifs.upcall от root, чтобы получить или собрать материалы Kerberos/SPNEGO.

Беда в том, что CIFS-подсистема ядра не проверяла, что такие cifs.spnego-запросы действительно пришли от CIFS-клиента ядра. В результате непривилегированный пользователь мог сгенерировать поддельный запрос и запустить штатный процесс аутентификации.

А дальше привилегированный cifs.upcall доверяет полям, которые считает созданными ядром, хотя на деле ими управляет атакующий. Через эти поля можно форсировать переключение namespace, спровоцировать NSS-запрос до сброса привилегий, подгрузить вредоносный NSS-модуль и получить выполнение кода от root.

Манизада отмечает, что баг появился ещё в 2007 году, то есть прожил в экосистеме около 19 лет. При этом эксплуатация не универсальна: нужны подходящая версия ядра, уязвимый cifs-utils, доступные пространства имен пользователей и политики SELinux/AppArmor, которые не ломают атаку на взлёте.

Среди уязвимых систем, в дефолтных конфигурациях эксперт называет:

  • Linux Mint 21.3 / 22.3;
  • CentOS Stream 9;
  • Rocky Linux 9;
  • AlmaLinux 9;
  • Kali Linux 2021.4–2026.1;
  • SLES 15 SP7.

Уязвимость уже закрыта патчем для ядра, он добавляет проверку происхождения запросов cifs.spnego. Однако конкретные версии ядра с патчем зависят от дистрибутива, так что администраторам лучше не гадать, а проверять бюллетени своих вендоров.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Сторонним устройствам дадут доступ к уведомлениям iPhone, но не без условий
Новость
Сторонним устройствам дадут доступ к уведомлениям iPhone, но...
В России готовят новый барьер для VPN: каналы в Европу замораживаются
Новость
В России готовят новый барьер для VPN: каналы в Европу замор...
Мошенники используют атаки БПЛА для продвижения фейковых телеграм-каналов
Новость
Мошенники используют атаки БПЛА для продвижения фейковых тел...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.