피터 안츠
도메인 생성 알고리즘은 필요에 따라 또는 즉시 새 도메인으로 맬웨어를 제공하는 프로그램 또는 서브루틴입니다.
역사
크라켄은 우리가 찾을 수 있는(2008 년)첫 번째 악성 코드 가족. 그 해 말,컨 피커는 훨씬 더 유명했다.
사용은 무엇입니까?
따라서 새 버전의 맬웨어를 가져오거나 새 서버에서 모든 것을 다시 설정하는 대신 맬웨어는 정기적으로 새 도메인으로 전환됩니다.봇넷과 랜섬웨어를 위한 서버입니다. 우리가 이들을 막거나 제압할 수 있다면,우리는 피해자와 위협 행위자 사이의 연관성을 끊을 것입니다. 봇은 더 이상 새로운 지침을 가져올 수 없으며 랜섬웨어에 감염된 기계는 암호화 키를 요청하고 사용자 데이터를 보낼 수 없습니다.또한,이 기술은 실제로 로드 밸런싱 시스템의 악용을 기반으로 하는 오래된 기술에 대한 참조입니다.
작동 방식에 대한 자세한 내용
이러한 알고리즘의 작동 방식을 더 잘 이해하기 위해 이러한 알고리즘이 충족해야 하는 요구 사항을 살펴보겠습니다:
- 루틴은 통신 체인의 양쪽에서 예측 가능한 도메인을 생성해야 합니다.
- 루틴은 가능한 한 보안 연구자에게 예측할 수 있어야합니다.
- 사용 될 도메인의 엄청난 양의 주어진 도메인 등록 수수료는 낮은 수 있다.
- 속도에 대한 필요성은 엄청날 수 있습니다.
- 등록 절차는 익명이거나 적어도 추적이 불가능해야 합니다.
예측 가능성을 달성하기 위해 아직 연구하기가 어렵습니다.:
- 시드,기본 요소
- 시간에 따라 변경되는 요소
- 최상위 도메인)
시드는 구 또는 숫자가 될 수 있습니다. 위협 행위자가 마음대로 변경할 수 있는 모든 것(예:새 버전으로 전환할 때)은 알고리즘에서 사용할 수 있습니다. 시드 및 시간 기반 요소는 알고리즘으로 결합되어 도메인 이름을 생성하며이”본문”은 사용 가능한 도메인 이름 중 하나와 결합됩니다.
시간 기반 요소는 날짜 및 시간과 같은 것일 필요는 없습니다. 이 연결의 순간에 특정 국가에서 트위터에 예를 들어 동향 주제처럼,시간에 따라 달라집니다 뭔가 다른 될 수 있습니다. 실제로 예측하기 어려운 것이 선호되는데,이는 연구자가 특정 도메인을 미리 등록하고 트래픽을 가로 채거나 인수를 수행하는 것을 어렵게 만듭니다.
대책을 제거하는 또 다른 트릭은 알고리즘이 생성하는 모든 도메인을 사용하는 것이 아니라 특정 도메인 만 사용하는 것입니다. 이것은 과감하게 그들이 소통량을 가로채는 것을 계획하는 경우에 연구원이 등록하게 필요한 영역의 수를 증가할 것이다.
오오오오오오오오오오오오상단,과.입찰은 순간에 매우 인기가 있습니다. 이는 앞서 언급 한 이유 때문입니다:등록 기관이 자동화 및 익명 도메인 등록을 허용하기 때문에 저렴한 비용과 빠른 가용성.
요약
도메인 생성 알고리즘은 사이버 범죄자가 서버가 블랙리스트에 오르거나 다운되는 것을 방지하기 위해 사용하고 있습니다. 이 알고리즘은 임의의 도메인 이름을 생성합니다. 아이디어는 동일한 알고리즘을 사용하는 두 대의 기계가 주어진 시간에 동일한 도메인에 연락 할 것이므로 정보를 교환하거나 지침을 가져올 수 있다는 것입니다.
링크
더 많은 기술적 세부사항을 위해,우리는 추천할 수 있다:해부 도메인 생성 알고리즘
및 예:위협 스포트라이트:다이레/다이레자:분석을 통해
피터 안츠