een Domain Generating Algorithm (DGA) is een programma of subroutine dat malware voorziet van nieuwe domeinen op de vraag of on the fly.
geschiedenis
Kraken was de eerste malwarefamilie die een DGA (in 2008) gebruikte die we konden vinden. Later dat jaar, Conficker maakte DGA een stuk beroemder.
Wat is het nut?
de DGA-techniek wordt gebruikt omdat malware die afhankelijk is van een vast domein of IP-adres snel wordt geblokkeerd, wat dan de werking belemmert. Zo, in plaats van het uitbrengen van een nieuwe versie van de malware of het opzetten van alles weer op een nieuwe server, de malware Schakelt naar een nieuw domein op regelmatige tijdstippen.
een voorbeeld van DGA in de praktijk is C &C servers voor botnets en ransomware. Als we in staat waren om deze te blokkeren of ze neer te halen, zouden we de link tussen de slachtoffers en de bedreiging acteur verbreken. Bots zouden niet langer in staat zijn om nieuwe instructies op te halen en machines die geïnfecteerd zijn met ransomware zouden niet in staat zijn om encryptiesleutels aan te vragen en gebruikersgegevens te verzenden.
het voortdurend veranderen van het domein voor de C&C-server wordt ook wel “Domain Fluxing” of “Fast Fluxing” genoemd, wat eigenlijk een verwijzing is naar een oudere techniek gebaseerd op misbruik van het DNS-systeem voor taakverdeling.
meer details over hoe het werkt
om beter te begrijpen hoe deze algoritmen werken, laten we eens kijken naar de vereisten waaraan ze moeten voldoen:
- de routines moeten domeinen genereren die voorspelbaar zijn aan beide zijden van de communicatieketen.
- de routines moeten zo onvoorspelbaar mogelijk zijn voor beveiligingsonderzoekers.
- de domeinregistratiekosten moeten laag zijn, gezien de enorme hoeveelheden domeinen die zullen worden gebruikt.
- de behoefte aan snelheid kan enorm zijn.
- het registratieproces moet anoniem of ten minste onvindbaar zijn.
om voorspelbaarheid te bereiken, maar moeilijk te onderzoeken, gebruiken de DGA-routines enkele bouwstenen:
- Seed, het basiselement
- een element dat verandert met de tijd
- Top Level Domains (TLD ‘ s))
figuur met dank aan Cisco Blog
het zaad kan een zin of een getal zijn. Praktisch alles wat de bedreiging actor kan veranderen naar believen (bijvoorbeeld wanneer ze overschakelen naar een nieuwe versie), en dat kan worden gebruikt in een algoritme. De seed en het op tijd gebaseerde element worden gecombineerd in een algoritme om de domeinnaam te creëren en deze “body” zal worden gecombineerd met een van de beschikbare TLD ‘ s.
merk op dat een op tijd gebaseerd element niet zoiets hoeft te zijn als de datum en tijd. Het kan iets anders zijn dat varieert met de tijd, zoals bijvoorbeeld het trending topic op Twitter in een bepaald land op het moment van de verbinding. Eigenlijk heeft iets dat moeilijk te voorspellen is de voorkeur, omdat dit het moeilijker maakt voor onderzoekers om bepaalde domeinen van tevoren te registreren en verkeer te onderscheppen of een overname te doen.
een andere truc om tegenmaatregelen af te werpen is om niet alle domeinen te gebruiken die het algoritme produceert, maar alleen bepaalde. Dit zal drastisch verhogen van het aantal domeinen die nodig zijn om te registreren door onderzoekers als ze van plan zijn om het verkeer te onderscheppen.
voor TLD ‘ s .xyz, .top, en .bieden zijn erg populair op dit moment. Dit komt door de eerder genoemde redenen: lage kosten en snelle beschikbaarheid, omdat de registrars geautomatiseerde en anonieme domeinregistraties mogelijk maken.
samenvatting
Domeingenererende algoritmen worden door cybercriminelen gebruikt om te voorkomen dat hun servers op de zwarte lijst komen te staan of worden verwijderd. Het algoritme produceert willekeurig uitziende domeinnamen. Het idee is dat twee machines die hetzelfde algoritme gebruiken, op een bepaald moment in contact komen met hetzelfde domein, zodat ze informatie kunnen uitwisselen of instructies kunnen ophalen.
Links
voor meer technische details kunnen we u aanraden: Dissecting Domain Generation Algorithms
And an example: Threat Spotlight: Dyre / Dyreza: An Analysis to Discover the DGA
Pieter Arntz