Pieter Arntz 
algorytm generowania domen (DGA) to program lub podprogram, który zapewnia złośliwemu oprogramowaniu nowe domeny na żądanie lub w locie.
Historia
Kraken był pierwszą rodziną złośliwego oprogramowania, która używała DGA (w 2008), którą udało nam się znaleźć. W tym samym roku Conficker sprawił, że DGA stała się o wiele bardziej znana.
po co?
technika DGA jest w użyciu, ponieważ złośliwe oprogramowanie, które zależy od stałej domeny lub adresu IP, jest szybko blokowane, co utrudnia operacje. Zamiast więc wprowadzać nową wersję złośliwego oprogramowania lub ponownie konfigurować wszystko na nowym serwerze, złośliwe oprogramowanie przełącza się na nową domenę w regularnych odstępach czasu.
przykładem DGA w praktyce są serwery C&C dla botnetów i oprogramowania ransomware. Gdybyśmy zdołali je zablokować lub zdjąć, odciąlibyśmy powiązanie między ofiarami a sprawcą zagrożenia. Boty nie będą już w stanie pobierać nowych instrukcji, A maszyny zainfekowane oprogramowaniem ransomware nie będą mogły żądać kluczy szyfrowania i wysyłać danych użytkownika.
ciągła zmiana domeny dla serwera C&C jest czasami nazywana” topnieniem domeny „lub” szybkim topnieniem”, co w rzeczywistości jest odniesieniem do starszej techniki opartej na nadużywaniu systemu równoważenia obciążenia DNS.
więcej szczegółów na temat tego, jak to działa
aby lepiej zrozumieć, jak działają te algorytmy, spójrzmy na wymagania, które muszą spełnić:
- funkcje muszą generować domeny, które są przewidywalne dla obu stron łańcucha komunikacyjnego.
- procedury muszą być jak najbardziej nieprzewidywalne dla badaczy bezpieczeństwa.
- opłata za rejestrację domeny musi być niska, biorąc pod uwagę ogromne ilości domen, które będą używane.
- need for speed może być ogromny.
- proces rejestracji musi być anonimowy lub co najmniej niemożliwy do wykrycia.
aby osiągnąć przewidywalność, a jednocześnie pozostać trudnym do zbadania, procedury DGA wykorzystują kilka elementów konstrukcyjnych:
- zalążek, element podstawowy
- element, który zmienia się z czasem
- domeny najwyższego poziomu (TLD)
Zdjęcie dzięki uprzejmości Cisco Blog
zalążkiem może być fraza lub liczba. Praktycznie wszystko, co aktor zagrożenia może zmienić do woli (np. gdy przełączy się na nową wersję) i co może być użyte w algorytmie. Zalążek i element oparty na czasie są łączone w algorytm tworzenia nazwy domeny, a to „ciało” zostanie połączone z jednym z dostępnych TLD.
zauważ, że element oparty na czasie nie musi być czymś w rodzaju daty i czasu. Może to być coś innego, co zmienia się z czasem, jak na przykład popularny temat na Twitterze w danym kraju w momencie połączenia. W rzeczywistości preferowane jest coś, co jest trudne do przewidzenia, ponieważ utrudnia to badaczom rejestrację niektórych domen z wyprzedzeniem i przechwycenie ruchu lub przejęcie.
kolejną sztuczką do odrzucenia środków zaradczych jest użycie nie wszystkich domen generowanych przez algorytm, ale tylko niektórych. To drastycznie zwiększy liczbę domen niezbędnych do rejestracji przez naukowców, jeśli planują przechwycić ruch.
jeśli chodzi o TLD,xyz,top, i .oferta jest obecnie bardzo popularna. Wynika to z powodów wymienionych wcześniej: niskich kosztów i szybkiej dostępności, ponieważ rejestratorzy umożliwiają automatyczną I anonimową rejestrację domen.
podsumowanie
algorytmy generowania domen są używane przez cyberprzestępców, aby zapobiec ich serwerom na czarnej liście lub likwidacji. Algorytm generuje losowo wyglądające nazwy domen. Chodzi o to, że dwie maszyny korzystające z tego samego algorytmu będą kontaktować się z tą samą domeną w danym czasie, dzięki czemu będą mogły wymieniać informacje lub pobierać instrukcje.
linki
aby uzyskać więcej szczegółów technicznych, polecamy: analiza algorytmów generowania domen
oraz przykład: threat Spotlight: Dyre / Dyreza: an Analysis to Discover the DGA
Pieter Arntz