Förklarade: Domängenererande algoritm

    Pieter ArntzPieter Arntz
    4 år sedan

en Domängenererande algoritm (DGA) är ett program eller subrutin som ger skadlig kod med nya domäner på begäran eller i farten.

Historik

Kraken var den första skadliga familjen som använde en DGA (2008) som vi kunde hitta. Senare samma år gjorde Conficker DGA mycket mer känd.

vad är användningen?

DGA-tekniken används eftersom skadlig kod som beror på en fast domän eller IP-adress snabbt blockeras, vilket sedan hindrar operationer. Så, snarare än att ta fram en ny version av skadlig programvara eller ställa in allt igen på en ny server, växlar skadlig programvara till en ny domän med jämna mellanrum.

ett exempel på DGA i praktiken är C&C-servrar för botnät och ransomware. Om vi kunde blockera dessa eller ta ner dem, skulle vi skära länken mellan offren och hotskådespelaren. Bots skulle inte längre kunna hämta nya instruktioner och maskiner infekterade med ransomware skulle inte kunna begära krypteringsnycklar och skicka användardata.

den ständiga förändringen av domänen för C&C-servern kallas också ibland ”Domain Fluxing” eller ”Fast Fluxing”, vilket faktiskt är en hänvisning till en äldre teknik baserad på missbruk av DNS-lastbalanseringssystemet.

mer information om hur det fungerar

för att bättre förstå hur dessa algoritmer fungerar, låt oss titta på de krav de måste uppfylla:

  • rutinerna måste generera domäner som är förutsägbara för båda sidor av kommunikationskedjan.
  • rutinerna måste vara så oförutsägbara för säkerhetsforskare som möjligt.
  • domänregistreringsavgiften måste vara låg, med tanke på de enorma mängder domäner som kommer att användas.
  • behovet av hastighet kan vara enormt.
  • registreringsprocessen måste vara anonym eller åtminstone omöjlig att spåra.

för att uppnå förutsägbarhet, men ändå vara svår att undersöka, använder DGA-rutinerna några byggstenar:

  • frö, baselementet
  • ett element som ändras med tiden
  • toppdomäner (toppdomäner)

imagedga

bild med tillstånd av Cisco Blog

fröet kan vara en fras eller ett tal. Praktiskt taget allt som hotskådespelaren kan ändra efter behag (t.ex. när de byter till en ny version), och som kan användas i en algoritm. Fröet och det tidsbaserade elementet kombineras i en algoritm för att skapa domännamnet och denna ”kropp” kommer att kombineras med en av de tillgängliga toppdomänerna.

Observera att ett tidsbaserat element inte behöver vara något som datum och tid. Det kan vara något annat som varierar med tiden, som till exempel det trendiga ämnet på Twitter i ett visst land vid anslutningen. Egentligen föredras något som är svårt att förutsäga, eftersom det gör det svårare för forskare att registrera vissa domäner i förväg och fånga upp trafik eller göra en övertagande.

ett annat knep för att kasta bort motåtgärder är att inte använda alla domäner som algoritmen producerar, utan bara vissa. Detta kommer att drastiskt öka antalet domäner som krävs för att registrera av forskare om de planerar att fånga upp trafiken.

när det gäller toppdomäner, .xyz,.topp, och .bud är mycket populära just nu. Detta beror på de orsaker som nämnts tidigare: låga kostnader och snabb tillgänglighet, eftersom registratorerna tillåter automatiserade och anonyma domänregistreringar.

sammanfattning

Domängenererande algoritmer används av cyberbrottslingar för att förhindra att deras servrar svartlistas eller tas ner. Algoritmen producerar slumpmässiga domännamn. Tanken är att två maskiner som använder samma algoritm kommer att kontakta samma domän vid en given tidpunkt, så att de kommer att kunna utbyta information eller hämta instruktioner.

länkar

för mer tekniska detaljer kan vi rekommendera: dissekera Domängenereringsalgoritmer

och ett exempel: Threat Spotlight: Dyre / Dyreza: en analys för att upptäcka DGA

Pieter Arntz

You might also like

Lämna ett svar

Din e-postadress kommer inte publiceras.