Domænegenereringsalgoritme

BY admin
|

Domænegenereringsalgoritmer (DGA) er algoritmer, der ses i forskellige familier af ondsindede programmer, der bruges til periodisk at generere et stort antal domænenavne, der kan bruges som mødepunkter med deres kommando-og kontrolservere. Det store antal potentielle mødepunkter gør det vanskeligt for retshåndhævelse effektivt at lukke botnets, da inficerede computere vil forsøge at kontakte nogle af disse domænenavne hver dag for at modtage opdateringer eller kommandoer. Brugen af kryptografi med offentlig nøgle i programkode gør det umuligt for politiet og andre aktører at efterligne kommandoer fra programstyringerne, da nogle orme automatisk afviser alle opdateringer, der ikke er underskrevet af programstyringerne.

for eksempel kunne en inficeret computer oprette tusindvis af domænenavne som: og ville forsøge at kontakte en del af disse med det formål at modtage en opdatering eller kommandoer.

indlejring af DGA ‘ en i stedet for en liste over tidligere genererede (af kommando-og kontrolserverne) domæner i den uobfuscerede binære fil beskytter mod et stringsdump, der kunne føres ind i et netværkssortlisteapparat, for at forsøge at begrænse udgående kommunikation fra inficerede værter i en virksomhed.

teknikken blev populariseret af familien af orme Conficker.A og .b, som først genererede 250 domænenavne om dagen. Begyndende med Conficker.C, ville programmet generere 50.000 domænenavne hver dag, hvoraf det ville forsøge at kontakte 500, hvilket giver en inficeret maskine en 1% mulighed for at blive opdateret hver dag, hvis de ondsindede controllere registrerede kun et domæne om dagen. For at forhindre inficerede computere i at opdatere deres ondsindede program, ville retshåndhævelse have haft brug for at præregistrere 50.000 nye domænenavne hver dag. Fra botnet-ejerens synspunkt skal de kun registrere et eller et par domæner ud af de flere domæner, som hver bot ville forespørge hver dag.

for nylig er teknikken blevet vedtaget af andre ondsindede forfattere. Ifølge Netværkssikkerhedsfirmaet Damballa er de top-5 mest udbredte DGA-baserede kriminelle familier Conficker, Murofet, BankPatch, Bonnana og Bobaks fra 2011.