域生成算法(DGA)是一个程序或子程序,提供有按需或速度的新域提供恶意软件。
历史
克朗是第一个使用DGA的恶意软件系列(2008年)我们能找到的。那一年晚些时候,Conficker使DGA更有名。
有什么用呢?
DGA技术之所以被使用,是因为依赖固定域名或IP地址的恶意软件会被迅速屏蔽,从而阻碍操作。因此,恶意软件不是推出一个新版本的恶意软件,也不是在一个新服务器上重新设置所有内容,而是定期切换到一个新域。
文中给出了DGA在实际应用中的一个实例C&C服务器用于僵尸网络和勒索软件。如果我们能够阻止这些或占据下来,我们将削减受害者和威胁演员之间的联系。BOT将无法再获取新的指令,并使用勒索软件感染的计算机无法请求加密密钥并发送用户数据。
C&C服务器的域的常量改变也有时称为“域通量”或“快速通量”,其实际上是基于滥用DNS负载平衡系统的旧技术的参考。
有关它是如何工作的更多细节
为了更好地了解这些算法如何工作,让我们来看看他们必须满足的要求:
- 例程必须生成通信链两端都可预测的域。
- 对于安全研究人员来说,这些程序必须尽可能地不可预测。
- 域名注册费必须低,鉴于将使用的巨大域。
- 需要速度可能是巨大的。
- 注册过程必须是匿名或至少无法可追加的。
为了实现可预测性,仍然难以研究,DGA例程使用一些构建块:
- 种子,基本元件
- 随时间变化的元素
- 顶级域(tld)
图片由思科博客提供
种子可以是短语或数字。实际上,威胁演员可以随意改变的任何东西(例如,当它们切换到新版本时),并且可以以算法使用。种子和基于时间的元素在算法中组合以创建域名,并且该“正文”将与其中一个可用的TLD组合。
请注意,基于时间的元素不需要像日期和时间一样。它可能随着时间而变化的其他东西,例如趋势主题推特在某一特定国家的连接时刻。事实上,一些难以预测的东西是首选,因为这使得研究人员更难提前注册某些域,拦截流量或进行接管。
抛出对策的另一个诀窍是不使用算法产生的所有域,而是仅使用某些域。如果他们计划拦截流量,这将大大增加研究人员所需的域名的数量。
谈到tlds,.xyz.那。最佳,。投标目前非常受欢迎。这是由于前面提到的原因:低成本和快速可用性,因为注册商允许自动和匿名的域名注册。
总结
域生成算法正在通过网络犯罪分子使用,以防止他们的服务器被列入黑名单或删除。该算法产生随机寻找的域名。该想法是,使用相同算法的两台机器将在给定时间与相同的域联系,因此它们将能够交换信息或获取指令。
链接
欲了解更多技术细节,我们可建议:解剖域生成算法
和一个例子:威胁焦点:Dyre/Dyreza:发现DGA的分析
Pieter Arntz.
评论