En Domenegenererende Algoritme (Dga) er et program eller underrutine som gir malware med nye domener på forespørsel eller på fly.
Historie
Kraken Var den første malware-familien som brukte EN DGA (i 2008) som vi kunne finne. Senere samme år gjorde Conficker DGA mye mer kjent.
hva er vitsen?
DGA-teknikken er i bruk fordi skadelig programvare som er avhengig av et fast domene eller IP-adresse, raskt blokkeres, noe som deretter hindrer operasjoner. Så, i stedet for å bringe ut en ny versjon av malware eller sette alt opp igjen på en ny server, bytter malware til et nytt domene med jevne mellomrom.
et eksempel PÅ DGA i praksis Er C & c-servere for botnett og ransomware. Hvis vi kunne blokkere disse eller ta dem ned, ville vi kutte forbindelsen mellom ofrene og trusselaktøren. Bots ville ikke lenger kunne hente nye instruksjoner og maskiner infisert med ransomware ville ikke kunne be om krypteringsnøkler og sende brukerdata.
den konstante endringen av domenet For c &c-serveren kalles også noen ganger «Domain Fluxing» eller «Fast Fluxing», som faktisk er en referanse til en eldre teknikk basert på misbruk AV DNS load balancing system.
Flere detaljer om hvordan det fungerer
for bedre å forstå hvordan disse algoritmene fungerer, la oss se på kravene de må oppfylle:
- rutinene må generere domener som er forutsigbare for begge sider av kommunikasjonskjeden.
- rutinene må være så uforutsigbare for sikkerhetsforskere som mulig.
- domeneregistreringsavgiften må være lav, gitt de enorme mengdene domener som skal brukes.
- behovet for fart kan være enormt.
- registreringsprosessen må være anonym eller i det minste ikke sporbar.
FOR å oppnå forutsigbarhet, men likevel vanskelig å forske på, bruker DGA-rutinene noen få byggesteiner:
- Frø, grunnelementet
- et element som endres med tiden
- Toppdomener (Toppdomener))
Bilde gjengitt Av Cisco Blog
frøet kan være en setning eller et tall. Praktisk talt alt som trusselaktøren kan endre på vilje (f. eks. når de bytter til en ny versjon), og som kan brukes i en algoritme. Frøet og det tidsbaserte elementet kombineres i en algoritme for å opprette domenenavnet, og denne «kroppen» vil bli kombinert med en av de tilgjengelige Toppdomenene.
Merk at et tidsbasert element ikke trenger å være noe som dato og klokkeslett. Det kan være noe annet som varierer med tiden, som for eksempel trending emne På Twitter i et bestemt land i øyeblikket av tilkoblingen. Faktisk er noe som er vanskelig å forutsi foretrukket, da dette gjør det vanskeligere for forskere å registrere bestemte domener på forhånd og fange opp trafikk eller overta.
Et annet triks for å kaste av mottiltak er å ikke bruke alle domenene som algoritmen produserer,men bare visse. Dette vil drastisk øke antall domener som er nødvendige for å registrere av forskere hvis de planlegger å fange opp trafikken.
Når Det gjelder Tlder, .xyz, .topp, ja .budet er veldig populært for øyeblikket. Dette skyldes årsakene nevnt tidligere: lave kostnader og rask tilgjengelighet, fordi registrarene tillater automatiserte og anonyme domeneregistreringer.
Sammendrag
Domenegenererende Algoritmer brukes av nettkriminelle for å forhindre at serverne deres blir svartelistet eller tatt ned. Algoritmen produserer tilfeldig ser domenenavn. Tanken er at to maskiner som bruker samme algoritme, vil kontakte samme domene på et gitt tidspunkt, slik at de vil kunne utveksle informasjon eller hente instruksjoner.
Lenker
For flere tekniske detaljer kan vi anbefale: Dissekere Domenegenerasjonsalgoritmer
Og et eksempel: Threat Spotlight: Dyre/ Dyreza: En Analyse For Å Oppdage DGA
Pieter Arntz