en Domænegenererende algoritme (DGA) er et program eller en subrutine, der giver nye domæner on demand eller on the fly.
historie
Kraken var den første ondsindede familie, der brugte en DGA (i 2008), som vi kunne finde. Senere samme år gjorde Conficker DGA meget mere berømt.
hvad er brugen?
DGA-teknikken er i brug, fordi ondsindet program, der afhænger af et fast domæne eller en IP-adresse, hurtigt blokeres, hvilket derefter hindrer operationer. Så, i stedet for at bringe en ny version af programmet eller sætte alt op igen på en ny server, skifter programmet til et nyt domæne med jævne mellemrum.
et eksempel på DGA i praksis er C& C-servere til botnet og løsepenge. Hvis vi var i stand til at blokere disse eller tage dem ned, ville vi skære forbindelsen mellem ofrene og trusselsaktøren. Bots ville ikke længere være i stand til at hente nye instruktioner, og maskiner inficeret med løsepenge ville ikke være i stand til at anmode om krypteringsnøgler og sende brugerdata.
den konstante ændring af domænet for C& C-serveren kaldes også undertiden “Domæneflytning” eller “Hurtigflytning”, som faktisk er en henvisning til en ældre teknik baseret på misbrug af DNS-belastningsbalanceringssystemet.
flere detaljer om, hvordan det fungerer
for bedre at forstå, hvordan disse algoritmer fungerer, lad os se på de krav, de skal opfylde:
- rutinerne skal generere domæner, der er forudsigelige for begge sider af kommunikationskæden.
- rutinerne skal være så uforudsigelige for sikkerhedsforskere som muligt.
- domæneregistreringsgebyret skal være lavt i betragtning af de enorme mængder domæner, der vil blive brugt.
- behovet for hastighed kan være enormt.
- registreringsprocessen skal være anonym eller i det mindste ikke sporbar.
for at opnå forudsigelighed, men alligevel svært at undersøge, bruger DGA-rutinerne et par byggesten:
- frø, basiselementet
- et element, der ændrer sig med tiden
- topniveau domæner (TLD ‘ er)
Billede venligst udlånt af Cisco Blog
frøet kan være en sætning eller et tal. Næsten alt, hvad trusselaktøren kan ændre efter ønske (f.eks. når de skifter til en ny version), og som kan bruges i en algoritme. Frøet og det tidsbaserede element kombineres i en algoritme for at oprette domænenavnet, og denne “krop” kombineres med en af de tilgængelige TLD ‘ er.
Bemærk, at et tidsbaseret element ikke behøver at være noget som dato og klokkeslæt. Det kan være noget andet, der varierer med tiden, som for eksempel det populære emne på kvidre i et bestemt land på tidspunktet for forbindelsen. Faktisk foretrækkes noget, der er vanskeligt at forudsige, da dette gør det sværere for forskere at registrere bestemte domæner på forhånd og opfange trafik eller foretage en overtagelse.
et andet trick til at smide modforanstaltninger er ikke at bruge alle de domæner, som algoritmen producerer, men kun visse. Dette vil drastisk øge antallet af domæner, der er nødvendige for at registrere af forskere, hvis de planlægger at opfange trafikken.
når det kommer til TLD ‘ er, .den,.top, og .bud er meget populære i øjeblikket. Dette skyldes de tidligere nævnte grunde: lave omkostninger og hurtig tilgængelighed, fordi registratorerne tillader automatiserede og anonyme domæneregistreringer.
Resume
Domænegenererende algoritmer bruges af cyberkriminelle for at forhindre, at deres servere bliver sortlistet eller taget ned. Algoritmen producerer tilfældige udseende domænenavne. Ideen er, at to maskiner, der bruger den samme algoritme, vil kontakte det samme domæne på et givet tidspunkt, så de vil være i stand til at udveksle information eller hente instruktioner.
Links
For flere tekniske detaljer kan vi anbefale: dissekere Domænegenereringsalgoritmer
og et eksempel: trussel Spotlight: dyr/dyr: en analyse for at opdage DGA
Pieter Arnts