Domain generation algorithm

BY admin
|

Domain generation algorithm (DGA) ovat haittaohjelmien eri perheissä nähtyjä algoritmeja, joiden avulla luodaan ajoittain suuri määrä verkkotunnuksia, joita voidaan käyttää kohtauspisteinä niiden komento-ja ohjauspalvelimilla. Mahdollisten kohtaamispaikkojen suuri määrä vaikeuttaa lainvalvojien tehokasta sulkemista bottiverkoista, sillä saastuneet tietokoneet yrittävät ottaa yhteyttä joihinkin näistä verkkotunnuksista päivittäin saadakseen päivityksiä tai komentoja. Julkisen avaimen salauksen käyttö haittaohjelmakoodissa tekee lainvalvojille ja muille toimijoille mahdottomaksi jäljitellä haittaohjelmistojen ohjaimien komentoja, koska jotkut madot hylkäävät automaattisesti kaikki päivitykset, joita haittaohjelmistojen ohjaimet eivät ole allekirjoittaneet.

esimerkiksi saastunut tietokone voisi luoda tuhansia verkkotunnuksia kuten: www.<siansaksaa>.com ja yrittää ottaa yhteyttä osaan näistä saadakseen päivityksen tai komentoja.

DGA: n upottaminen aiemmin luotujen (komento-ja hallintapalvelimien) verkkotunnusten luettelon sijaan haittaohjelman peittämättömässä binäärissä suojaa merkkijonoilta, jotka voitaisiin syöttää verkkoon mustalle listalle, jotta voitaisiin ennalta yrittää rajoittaa lähtevää viestintää tartunnan saaneilta isänniltä yrityksen sisällä.

tekniikan teki suosituksi matojen Conficker-suku.a ja .b, joka aluksi tuotti 250 verkkotunnusta päivässä. Aloitan Confickeristä.C, haittaohjelma tuottaisi 50 000 verkkotunnusta joka päivä, joista se yrittäisi ottaa yhteyttä 500: aan, antaen tartunnan saaneelle koneelle 1% mahdollisuuden päivittyä joka päivä, jos haittaohjelmien ohjaimet rekisteröivät vain yhden verkkotunnuksen päivässä. Jotta saastuneet tietokoneet eivät olisi päivittäneet haittaohjelmiaan, lainvalvojien olisi pitänyt ennakkorekisteröidä 50 000 uutta verkkotunnusta joka päivä. Vuodesta näkökulmasta botnet omistaja, ne tarvitsee vain rekisteröidä yksi tai muutama verkkotunnuksia pois useita verkkotunnuksia, että jokainen botti olisi kyselyn joka päivä.

viime aikoina tekniikan ovat omaksuneet muutkin haittaohjelmien tekijät. Mukaan verkkoturva yritys Damballa, top-5 yleisin DGA-pohjainen crimeware perheet ovat Conficker, Murofet, BankPatch, Bonnana ja Bobax vuodesta 2011.