Domain-Generierungsalgorithmus

BY admin
|

Domain-Generierungsalgorithmen (DGA) sind Algorithmen, die in verschiedenen Malware-Familien verwendet werden, um regelmäßig eine große Anzahl von Domainnamen zu generieren, die als Rendezvous-Punkte mit ihren Befehls- und Steuerungsservern verwendet werden können. Die große Anzahl potenzieller Rendezvous-Punkte erschwert es den Strafverfolgungsbehörden, Botnetze effektiv zu schließen, da infizierte Computer jeden Tag versuchen, einige dieser Domänennamen zu kontaktieren, um Updates oder Befehle zu erhalten. Die Verwendung von Public-Key-Kryptographie in Malware-Code macht es für Strafverfolgungsbehörden und andere Akteure unmöglich, Befehle von den Malware-Controllern nachzuahmen, da einige Würmer automatisch alle Updates ablehnen, die nicht von den Malware-Controllern signiert wurden.

Ein infizierter Computer könnte beispielsweise Tausende von Domänennamen erstellen, z. B. www.<Kauderwelsch>.com, und versuchen, einen Teil davon zu kontaktieren, um ein Update oder Befehle zu erhalten.

Das Einbetten des DGA anstelle einer Liste zuvor generierter Domänen (von den Befehls- und Steuerungsservern) in die nicht verschleierte Binärdatei der Malware schützt vor einem Strings-Dump, der präventiv in eine Netzwerk-Blacklisting-Appliance eingespeist werden kann, um die ausgehende Kommunikation von infizierten Hosts innerhalb eines Unternehmens einzuschränken.

Die Technik wurde von der Familie der Würmer Conficker populär gemacht.and .b, das zunächst 250 Domainnamen pro Tag generierte. Beginnend mit Conficker.C, Die Malware würde jeden Tag 50,000-Domainnamen generieren, von denen sie versuchen würde, 500 zu kontaktieren, Dies gibt einem infizierten Computer eine 1% ige Möglichkeit, jeden Tag aktualisiert zu werden, wenn die Malware-Controller nur eine Domain pro Tag registriert haben. Um zu verhindern, dass infizierte Computer ihre Malware aktualisieren, müssten die Strafverfolgungsbehörden jeden Tag 50.000 neue Domainnamen vorregistrieren. Aus der Sicht des Botnet-Besitzers müssen sie nur eine oder wenige Domains aus den mehreren Domains registrieren, die jeder Bot jeden Tag abfragen würde.

Vor kurzem wurde die Technik von anderen Malware-Autoren übernommen. Laut der Netzwerksicherheitsfirma Damballa sind Conficker, Murofet, BankPatch, Bonnana und Bobax ab 2011 die 5 häufigsten DGA-basierten Crimeware-Familien.