Articles

Vysvětlil: Doména Vytváření Algoritmu

author
4 Min Read
    Pieter ArntzPieter Arntz
    4 lety

Domény, Generování Algoritmus (DGA) je program nebo podprogram, který poskytuje malware s nových domén na vyžádání nebo na létat.

historie

Kraken byla první rodina malwaru, která používala DGA (v roce 2008), kterou jsme mohli najít. Později téhož roku, Conficker udělal DGA mnohem slavnější.

jaké je použití?

technika DGA se používá, protože malware, který závisí na pevné doméně nebo IP adrese, je rychle zablokován, což pak brání operacím. Takže spíše než uvedení nové verze malwaru nebo opětovné nastavení všeho na novém serveru se malware v pravidelných intervalech přepne na novou doménu.

příkladem DGA v praxi jsou servery C&C pro botnety a ransomware. Kdybychom je mohli zablokovat nebo zničit, přerušili bychom spojení mezi oběťmi a aktérem hrozby. Boti by již nebyli schopni načíst nové pokyny a stroje infikované ransomwarem by nemohly požadovat šifrovací klíče a odesílat uživatelská data.

neustálé střídání doménu pro C&C server je také někdy nazýván „Doména Pájení“ nebo „Rychlé Nanášení“, což je vlastně odkaz na starší technika založená na zneužívání DNS služby vyrovnávání zatížení systému.

další podrobnosti o tom, jak to funguje

abychom lépe porozuměli tomu, jak tyto algoritmy fungují, podívejme se na požadavky, které musí splňovat:

  • rutiny musí generovat domény, které jsou předvídatelné pro obě strany komunikačního řetězce.
  • rutiny musí být pro bezpečnostní výzkumníky co nejvíce nepředvídatelné.
  • registrační poplatek domény musí být nízký, vzhledem k obrovskému množství domén, které budou použity.
  • Potřeba rychlosti může být obrovská.
  • proces registrace musí být anonymní nebo alespoň nevysledovatelný.

Chcete-li dosáhnout předvídatelnosti, přesto zůstává těžké zkoumat, rutiny DGA používají několik stavebních bloků:

  • Osivo, základní prvek
  • prvek, který se mění s časem
  • Domény Nejvyšší Úrovně (Tld)

imagedga

Obrázek se svolením Cisco Blog

semeno může být výraz nebo číslo. Prakticky cokoli, co může herec hrozby libovolně změnit (např. když přepne na novou verzi), a které lze použít v algoritmu. Semeno a prvek založený na čase jsou kombinovány v algoritmu pro vytvoření názvu domény a toto „tělo“ bude kombinováno s jedním z dostupných TLD.

Všimněte si, že prvek založený na čase nemusí být něco jako datum a čas. Může to být něco jiného, co se časem mění, jako je například trendové téma na Twitteru v určité zemi v okamžiku připojení. Ve skutečnosti je upřednostňováno něco, co je obtížné předvídat,protože to vědcům ztěžuje registraci určitých domén předem a zachycení provozu nebo převzetí.

dalším trikem, jak odhodit protiopatření, je nepoužívat všechny domény, které algoritmus produkuje, ale pouze určité domény. Tím se drasticky zvýší počet domén potřebných k registraci výzkumnými pracovníky, pokud plánují zachytit provoz.

pokud jde o TLD, .xyz, .horní, a .bid jsou v současné době velmi populární. Důvodem jsou výše uvedené důvody: nízké náklady a rychlá dostupnost, protože registrátoři umožňují automatizované a anonymní registrace domén.

shrnutí

algoritmy generování domén používají počítačoví zločinci, aby zabránili tomu, aby jejich servery byly na černé listině nebo staženy. Algoritmus vytváří náhodně vypadající doménová jména. Myšlenka je, že dva stroje používající stejný algoritmus budou v daném čase kontaktovat stejnou doménu, takže si budou moci vyměňovat informace nebo načíst pokyny.

Odkazy

Pro více technických detailů, můžeme doporučit: Pitevní Domény Generace Algoritmy

A příklad: Škodlivý Reflektor: Dyre/Dyreza: Analýza Objevit DGA

Pieter Arntz

You might also like

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.