Algoritmo de generación de dominio

BY admin
|

Los algoritmos de generación de dominio (DGA) son algoritmos vistos en varias familias de malware que se utilizan para generar periódicamente un gran número de nombres de dominio que se pueden usar como puntos de encuentro con sus servidores de comando y control. El gran número de puntos de encuentro potenciales dificulta que las fuerzas del orden cierren eficazmente las redes de bots, ya que los equipos infectados intentarán ponerse en contacto con algunos de estos nombres de dominio todos los días para recibir actualizaciones o comandos. El uso de criptografía de clave pública en el código de malware hace inviable que las fuerzas del orden y otros actores imiten los comandos de los controladores de malware, ya que algunos gusanos rechazarán automáticamente cualquier actualización no firmada por los controladores de malware.

Por ejemplo, un equipo infectado podría crear miles de nombres de dominio como: www.< galimatías>. com e intentaría ponerse en contacto con una parte de ellos con el fin de recibir una actualización o comandos.

Incrustar el DGA en lugar de una lista de dominios generados previamente (por los servidores de comando y control) en el binario no oculto del malware protege contra un volcado de cadenas que se podría alimentar a un dispositivo de lista negra de red de forma preventiva para intentar restringir la comunicación de salida de hosts infectados dentro de una empresa.

La técnica fue popularizada por la familia de gusanos Conficker.a y .b que, al principio, generó 250 nombres de dominio por día. Empezando por Conficker.C, el malware generaría 50.000 nombres de dominio todos los días, de los cuales intentaría ponerse en contacto con 500, dando a una máquina infectada una posibilidad del 1% de actualizarse todos los días si los controladores de malware registraban solo un dominio por día. Para evitar que las computadoras infectadas actualizaran su malware, las fuerzas de seguridad habrían tenido que registrar previamente 50.000 nuevos nombres de dominio cada día. Desde el punto de vista del propietario de la red de bots, solo tiene que registrar uno o varios dominios de los varios dominios que cada bot consultaría todos los días.

Recientemente, la técnica ha sido adoptada por otros autores de malware. De acuerdo con la firma de seguridad de redes Damballa, las 5 familias de crimeware basadas en DGA más prevalentes son Conficker, Murofet, BankPatch, Bonnana y Bobax a partir de 2011.