域生成算法(DGA)是一个程序或子程序,提供有按需或速度的新域提供恶意软件。

历史

克朗是第一个使用DGA的恶意软件系列(2008年)我们能找到的。那一年晚些时候,Conficker使DGA更有名。

有什么用呢?

DGA技术之所以被使用,是因为依赖固定域名或IP地址的恶意软件会被迅速屏蔽,从而阻碍操作。因此,恶意软件不是推出一个新版本的恶意软件,也不是在一个新服务器上重新设置所有内容,而是定期切换到一个新域。

文中给出了DGA在实际应用中的一个实例C&C服务器用于僵尸网络和勒索软件。如果我们能够阻止这些或占据下来,我们将削减受害者和威胁演员之间的联系。BOT将无法再获取新的指令,并使用勒索软件感染的计算机无法请求加密密钥并发送用户数据。

C&C服务器的域的常量改变也有时称为“域通量”或“快速通量”,其实际上是基于滥用DNS负载平衡系统的旧技术的参考。

有关它是如何工作的更多细节

为了更好地了解这些算法如何工作,让我们来看看他们必须满足的要求:

  • 例程必须生成通信链两端都可预测的域。
  • 对于安全研究人员来说,这些程序必须尽可能地不可预测。
  • 域名注册费必须低,鉴于将使用的巨大域。
  • 需要速度可能是巨大的。
  • 注册过程必须是匿名或至少无法可追加的。

为了实现可预测性,仍然难以研究,DGA例程使用一些构建块:

  • 种子,基本元件
  • 随时间变化的元素
  • 顶级域(tld)

imagedga

图片由思科博客提供

种子可以是短语或数字。实际上,威胁演员可以随意改变的任何东西(例如,当它们切换到新版本时),并且可以以算法使用。种子和基于时间的元素在算法中组合以创建域名,并且该“正文”将与其中一个可用的TLD组合。

请注意,基于时间的元素不需要像日期和时间一样。它可能随着时间而变化的其他东西,例如趋势主题推特在某一特定国家的连接时刻。事实上,一些难以预测的东西是首选,因为这使得研究人员更难提前注册某些域,拦截流量或进行接管。

抛出对策的另一个诀窍是不使用算法产生的所有域,而是仅使用某些域。如果他们计划拦截流量,这将大大增加研究人员所需的域名的数量。

谈到tlds,.xyz.。最佳,。投标目前非常受欢迎。这是由于前面提到的原因:低成本和快速可用性,因为注册商允许自动和匿名的域名注册。

总结

域生成算法正在通过网络犯罪分子使用,以防止他们的服务器被列入黑名单或删除。该算法产生随机寻找的域名。该想法是,使用相同算法的两台机器将在给定时间与相同的域联系,因此它们将能够交换信息或获取指令。

链接

欲了解更多技术细节,我们可建议:解剖域生成算法

和一个例子:威胁焦点:Dyre/Dyreza:发现DGA的分析

Pieter Arntz.