Pieter Arntz 
a Domain generáló algoritmus (DGA) egy olyan program vagy szubrutin, amely igény szerint vagy menet közben új domaineket biztosít a rosszindulatú programoknak.
előzmények
a Kraken volt az első rosszindulatú programcsalád, amely DGA-t használt (2008-ban). Később abban az évben a Conficker sokkal híresebbé tette a DGA-t.
mi a használata?
a DGA technikát azért használják, mert a rögzített tartománytól vagy IP-címtől függő rosszindulatú programok gyorsan blokkolódnak, ami akadályozza a műveleteket. Tehát ahelyett, hogy a rosszindulatú program új verzióját hozná ki, vagy mindent újra beállítana egy új szerveren, a rosszindulatú program rendszeres időközönként új domainre vált.
egy példa a DGA a gyakorlatban C&C szerverek botnetek és ransomware. Ha meg tudnánk akadályozni ezeket, vagy le tudnánk szedni őket, elvágnánk a kapcsolatot az áldozatok és a fenyegetés szereplője között. A robotok már nem tudnak új utasításokat letölteni, a ransomware-szel fertőzött gépek pedig nem tudnak titkosítási kulcsokat kérni és felhasználói adatokat küldeni.
a C& C szerver tartományának állandó változását néha “Domain Fluxing” – nek vagy “Fast Fluxing” – nek is nevezik, ami valójában egy régebbi technikára utal, amely a DNS terheléselosztó rendszer visszaélésén alapul.
további részletek a működéséről
hogy jobban megértsük, hogyan működnek ezek az algoritmusok, nézzük meg azokat a követelményeket, amelyeket teljesíteniük kell:
- a rutinoknak olyan tartományokat kell létrehozniuk, amelyek a kommunikációs lánc mindkét oldala számára kiszámíthatóak.
- a rutinoknak olyan kiszámíthatatlannak kell lenniük a biztonsági kutatók számára, amennyire csak lehetséges.
- a domain regisztrációs díjnak alacsonynak kell lennie, tekintettel a használt domainek hatalmas mennyiségére.
- a sebesség iránti igény óriási lehet.
- a regisztrációs folyamatnak névtelennek vagy legalább lenyomozhatatlannak kell lennie.
a kiszámíthatóság elérése érdekében, mégis nehéz kutatni, a DGA rutinok néhány építőelemet használnak:
- mag, az alap elem
- olyan elem, amely idővel változik
- legfelső szintű domainek (TLD-k)
a képet a Cisco Blog jóvoltából
a mag lehet kifejezés vagy szám. Gyakorlatilag bármi, amit a fenyegetés szereplője tetszés szerint megváltoztathat (például amikor új verzióra vált), és ez felhasználható egy algoritmusban. A mag és az időalapú elem egy algoritmusban kombinálódik a domain név létrehozásához, és ez a “törzs” kombinálódik az elérhető TLD-k egyikével.
vegye figyelembe, hogy az időalapú elemnek nem kell olyannak lennie, mint a dátum és az idő. Ez lehet valami más, ami idővel változik, például például a Twitter trendje egy adott országban a kapcsolat pillanatában. Valójában valami, amit nehéz megjósolni, előnyös, mivel ez megnehezíti a kutatók számára bizonyos domainek idő előtti regisztrálását, a forgalom elfogását vagy az átvételt.
egy másik trükk az ellenintézkedések eldobására az, hogy nem használja az algoritmus által előállított összes tartományt, hanem csak bizonyos tartományokat. Ez drasztikusan növeli a kutatók számára a regisztrációhoz szükséges domainek számát, ha a forgalom elfogását tervezik.
amikor a TLD, .xyz, .felső, és .ajánlat nagyon népszerű abban a pillanatban. Ennek oka a korábban említett okok: alacsony költségek és gyors elérhetőség, mivel a regisztrátorok lehetővé teszik az automatizált és anonim domain regisztrációt.
Összegzés
Domain generáló algoritmusokat használnak a kiberbűnözők, hogy megakadályozzák szervereik feketelistára kerülését vagy eltávolítását. Az algoritmus véletlenszerű kinézetű domain neveket állít elő. Az ötlet az, hogy két, ugyanazt az algoritmust használó gép egy adott időpontban kapcsolatba lép ugyanazzal a domainnel, így képesek lesznek információcserére vagy utasítások lekérésére.
linkek
további technikai részletekért ajánljuk: dissecting Domain Generation Algorithms
és egy példa: Threat Spotlight: Dyre/Dyreza: an Analysis to Discover the DGA
Pieter Arntz