Ha spiegato: Dominio Algoritmo di Generazione

    Pieter ArntzPieter Arntz
    4 anni fa

Un Dominio Algoritmo di Generazione (DGA) è un programma o sottoprogramma che fornisce malware con nuovi domini su richiesta o al volo.

Cronologia

Kraken è stata la prima famiglia di malware ad utilizzare un DGA (nel 2008) che abbiamo trovato. Più tardi quell’anno, Conficker ha reso DGA molto più famoso.

A che serve?

La tecnica DGA è in uso perché il malware che dipende da un dominio fisso o indirizzo IP viene rapidamente bloccato, il che ostacola le operazioni. Quindi, piuttosto che far emergere una nuova versione del malware o impostare tutto di nuovo su un nuovo server, il malware passa a un nuovo dominio a intervalli regolari.

Un esempio di DGA in pratica è C & Server C per botnet e ransomware. Se fossimo in grado di bloccarli o di eliminarli, taglieremmo il collegamento tra le vittime e l’attore della minaccia. I bot non sarebbero più in grado di recuperare nuove istruzioni e le macchine infette da ransomware non sarebbero in grado di richiedere chiavi di crittografia e inviare dati utente.

Il costante cambiamento del dominio per il server C& C è anche talvolta chiamato “Flusso di dominio” o “Flusso veloce”, che in realtà è un riferimento a una tecnica precedente basata sull’abuso del sistema di bilanciamento del carico DNS.

Maggiori dettagli su come funziona

Per capire meglio come funzionano questi algoritmi, diamo un’occhiata ai requisiti che devono soddisfare:

  • Le routine devono generare domini prevedibili su entrambi i lati della catena di comunicazione.
  • Le routine devono essere il più imprevedibili possibile per i ricercatori di sicurezza.
  • La quota di registrazione del dominio deve essere bassa, date le enormi quantità di domini che verranno utilizzati.
  • La necessità di velocità può essere enorme.
  • Il processo di registrazione deve essere anonimo o almeno non rintracciabile.

Per raggiungere la prevedibilità, ma rimangono difficili da ricercare, le routine DGA utilizzano alcuni elementi costitutivi:

  • Seed, l’elemento base
  • Un elemento che cambia con il tempo
  • Top Level Domains (TLD)

imagedga

Immagine gentilmente concessa da Cisco Blog

Il seme può essere una frase o un numero. Praticamente tutto ciò che l’attore della minaccia può cambiare a piacimento (ad esempio quando passa a una nuova versione) e che può essere utilizzato in un algoritmo. Il seme e l’elemento basato sul tempo sono combinati in un algoritmo per creare il nome di dominio e questo “corpo” sarà combinato con uno dei TLD disponibili.

Si noti che un elemento basato sul tempo non deve essere qualcosa come la data e l’ora. Può essere qualcos’altro che varia nel tempo, come ad esempio il trending topic su Twitter in un determinato paese al momento della connessione. In realtà, qualcosa che è difficile da prevedere è preferito, in quanto ciò rende più difficile per i ricercatori registrare determinati domini in anticipo e intercettare il traffico o fare un’acquisizione.

Un altro trucco per eliminare le contromisure è quello di non utilizzare tutti i domini prodotti dall’algoritmo, ma solo alcuni. Ciò aumenterà drasticamente il numero di domini necessari per la registrazione da parte dei ricercatori se hanno intenzione di intercettare il traffico.

Quando si tratta di TLD, .XYZ, .superiore, e .l’offerta è molto popolare al momento. Ciò è dovuto ai motivi menzionati in precedenza: bassi costi e rapida disponibilità, perché i registrar consentono registrazioni di domini automatizzate e anonime.

Sommario

Gli algoritmi di generazione di domini sono in uso dai criminali informatici per impedire che i loro server vengano inseriti nella lista nera o eliminati. L’algoritmo produce nomi di dominio dall’aspetto casuale. L’idea è che due macchine che utilizzano lo stesso algoritmo contatteranno lo stesso dominio in un dato momento, quindi saranno in grado di scambiare informazioni o recuperare istruzioni.

Link

Per ulteriori dettagli tecnici, possiamo consigliare: Sezionare gli algoritmi di generazione del dominio

E un esempio: Threat Spotlight: Dyre / Dyreza: un’analisi per scoprire il DGA

Pieter Arntz

You might also like

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.