un algoritm de generare a domeniului (DGA) este un program sau subrutină care oferă malware-ului noi domenii la cerere sau în zbor.
istoric
Kraken a fost prima familie de malware care a folosit un DGA (în 2008) pe care l-am putut găsi. Mai târziu în acel an, Conficker a făcut DGA mult mai faimos.
la ce folosește?
tehnica DGA este utilizată deoarece malware-ul care depinde de un domeniu fix sau de o adresă IP este blocat rapid, ceea ce împiedică apoi operațiunile. Deci, în loc să aducă o nouă versiune a malware-ului sau să configureze totul din nou la un server nou, malware-ul trece la un domeniu nou la intervale regulate.
un exemplu de DGA în practică este serverele c& C pentru botneturi și ransomware. Dacă am putea să le blocăm sau să le doborâm, am tăia legătura dintre victime și agentul de amenințare. Roboții nu vor mai putea prelua noi instrucțiuni, iar mașinile infectate cu ransomware nu vor putea solicita chei de criptare și trimite date de utilizator.
schimbarea constantă a domeniului pentru serverul C& C este, de asemenea, uneori numită „flux de domeniu” sau „flux rapid”, care este de fapt o referință la o tehnică mai veche bazată pe abuzarea sistemului de echilibrare a încărcării DNS.
mai multe detalii despre cum funcționează
pentru a înțelege mai bine cum funcționează acești algoritmi, Să analizăm cerințele pe care trebuie să le îndeplinească:
- rutinele trebuie să genereze domenii care sunt previzibile pentru ambele părți ale lanțului de comunicare.
- rutinele trebuie să fie cât mai imprevizibile pentru cercetătorii de securitate.
- taxa de înregistrare a domeniului trebuie să fie scăzută, având în vedere cantitățile uriașe de domenii care vor fi utilizate.
- nevoia de viteză poate fi enormă.
- procesul de înregistrare trebuie să fie anonim sau cel puțin nedetectabil.
pentru a obține predictibilitate, dar rămân greu de cercetare, rutinele DGA folosesc câteva blocuri de construcție:
- semințe, elementul de bază
- un element care se schimbă cu timpul
- domenii de nivel superior (TLD)
pentru imagine, multumim Cisco Blog
sămânța poate fi o frază sau un număr. Practic, orice lucru pe care actorul de amenințare îl poate schimba după bunul plac (de exemplu, atunci când trece la o nouă versiune) și care poate fi utilizat într-un algoritm. Sămânța și elementul bazat pe timp sunt combinate într-un algoritm pentru a crea numele domeniului și acest „corp” va fi combinat cu unul dintre TLD-urile disponibile.
rețineți că un element bazat pe timp nu trebuie să fie ceva de genul datei și orei. Poate fi altceva care variază în funcție de timp, cum ar fi, de exemplu, subiectul trending pe Twitter într-o anumită țară în momentul conexiunii. De fapt, este preferat ceva dificil de prezis, deoarece acest lucru îngreunează cercetătorii să înregistreze anumite domenii înainte de timp și să intercepteze traficul sau să facă o preluare.
un alt truc pentru a arunca contramăsuri este să nu folosiți toate domeniile pe care algoritmul le produce, ci doar anumite. Acest lucru va crește drastic numărul de domenii necesare înregistrării de către cercetători dacă intenționează să intercepteze traficul.
când vine vorba de TLD-uri, .xyz, .sus, și .oferta este foarte populară în acest moment. Acest lucru se datorează motivelor menționate anterior: costuri reduse și disponibilitate rapidă, deoarece registratorii permit înregistrări de domenii automate și anonime.
rezumat
algoritmii generatori de domenii sunt utilizați de infractorii cibernetici pentru a împiedica lista neagră sau eliminarea serverelor lor. Algoritmul produce nume de domenii cu aspect aleatoriu. Ideea este că două mașini care folosesc același algoritm vor contacta același domeniu la un moment dat, astfel încât vor putea face schimb de informații sau prelua instrucțiuni.
link-uri
pentru mai multe detalii tehnice, putem recomanda: disecarea algoritmilor de generare a domeniului
și un exemplu: Threat Spotlight: Dyre/Dyreza: o analiză pentru a descoperi DGA
Pieter Arntz