Erklärt: Domain Generating Algorithm

     Pieter ArntzPieter Arntz
    vor 4 Jahren

Ein Domain Generating Algorithm (DGA) ist ein Programm oder eine Subroutine, die Malware bei Bedarf oder im laufenden Betrieb mit neuen Domains versorgt.

Geschichte

Kraken war die erste Malware-Familie, die einen DGA (in 2008) verwendete, den wir finden konnten. Später in diesem Jahr machte Conficker DGA viel berühmter.

Was nützt das?

Die DGA-Technik wird verwendet, da Malware, die von einer festen Domäne oder IP-Adresse abhängt, schnell blockiert wird, was den Betrieb behindert. Anstatt also eine neue Version der Malware herauszubringen oder alles auf einem neuen Server neu einzurichten, wechselt die Malware in regelmäßigen Abständen zu einer neuen Domain.

Ein Beispiel für DGA in der Praxis sind C&C-Server für Botnetze und Ransomware. Wenn wir diese blockieren oder ausschalten könnten, würden wir die Verbindung zwischen den Opfern und dem Bedrohungsakteur kappen. Bots könnten keine neuen Anweisungen mehr abrufen, und mit Ransomware infizierte Computer könnten keine Verschlüsselungsschlüssel anfordern und keine Benutzerdaten senden.

Der ständige Wechsel der Domäne für den C& C-Server wird manchmal auch als „Domain Fluxing“ oder „Fast Fluxing“ bezeichnet, was eigentlich ein Hinweis auf eine ältere Technik ist, die auf dem Missbrauch des DNS-Lastausgleichssystems basiert.

Weitere Details zur Funktionsweise

Um besser zu verstehen, wie diese Algorithmen funktionieren, schauen wir uns die Anforderungen an, die sie erfüllen müssen:

  • Die Routinen müssen Domänen generieren, die für beide Seiten der Kommunikationskette vorhersehbar sind.
  • Die Routinen müssen für Sicherheitsforscher so unvorhersehbar wie möglich sein.
  • Die Domainregistrierungsgebühr muss angesichts der großen Anzahl von Domains, die verwendet werden, niedrig sein.
  • Das Bedürfnis nach Geschwindigkeit kann enorm sein.
  • Der Registrierungsprozess muss anonym oder zumindest nicht nachvollziehbar sein.

Um Vorhersagbarkeit zu erreichen und dennoch schwer zu erforschen, verwenden die DGA-Routinen einige Bausteine:

  • Seed, das Basiselement
  • Ein Element, das sich mit der Zeit ändert
  • Top Level Domains (TLDs)

 imagedga

Bild mit freundlicher Genehmigung von Cisco Blog

Der Seed kann eine Phrase oder eine Zahl sein. Praktisch alles, was der Bedrohungsakteur nach Belieben ändern kann (z. B. wenn er zu einer neuen Version wechselt), und das kann in einem Algorithmus verwendet werden. Der Seed und das zeitbasierte Element werden in einem Algorithmus kombiniert, um den Domainnamen zu erstellen, und dieser „Body“ wird mit einer der verfügbaren TLDs kombiniert.

Beachten Sie, dass ein zeitbasiertes Element nicht so etwas wie Datum und Uhrzeit sein muss. Es kann etwas anderes sein, das mit der Zeit variiert, wie zum Beispiel das Trendthema auf Twitter in einem bestimmten Land zum Zeitpunkt der Verbindung. Tatsächlich wird etwas bevorzugt, das schwer vorherzusagen ist, da dies es Forschern erschwert, bestimmte Domains im Voraus zu registrieren und den Datenverkehr abzufangen oder eine Übernahme durchzuführen.

Ein weiterer Trick, um Gegenmaßnahmen abzuwerfen, besteht darin, nicht alle Domänen zu verwenden, die der Algorithmus erzeugt, sondern nur bestimmte. Dies wird die Anzahl der Domains, die von Forschern registriert werden müssen, drastisch erhöhen, wenn sie planen, den Datenverkehr abzufangen.

Wenn es um TLDs geht, .xyz, .oben, und .sie sind im Moment sehr beliebt. Dies liegt an den zuvor genannten Gründen: niedrige Kosten und schnelle Verfügbarkeit, da die Registrare automatisierte und anonyme Domainregistrierungen ermöglichen.

Zusammenfassung

Algorithmen zur Generierung von Domänen werden von Cyberkriminellen verwendet, um zu verhindern, dass ihre Server auf die schwarze Liste gesetzt oder heruntergefahren werden. Der Algorithmus erzeugt zufällig aussehende Domainnamen. Die Idee ist, dass zwei Maschinen, die denselben Algorithmus verwenden, zu einem bestimmten Zeitpunkt dieselbe Domäne kontaktieren, sodass sie Informationen austauschen oder Anweisungen abrufen können.

Links

Für weitere technische Details können wir empfehlen: Sezieren von Domain-Generierungsalgorithmen

Und ein Beispiel: Threat Spotlight: Dyre /Dyreza: Eine Analyse zur Entdeckung der DGA

Pieter Arntz

You might also like

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.