Algorithme de génération de domaine
Les algorithmes de génération de domaine (DGA) sont des algorithmes utilisés dans diverses familles de logiciels malveillants pour générer périodiquement un grand nombre de noms de domaine pouvant être utilisés comme points de rendez-vous avec leurs serveurs de commande et de contrôle. Le grand nombre de points de rendez-vous potentiels rend difficile pour les forces de l’ordre de fermer efficacement les botnets, car les ordinateurs infectés tenteront de contacter certains de ces noms de domaine tous les jours pour recevoir des mises à jour ou des commandes. L’utilisation de la cryptographie à clé publique dans le code des logiciels malveillants rend impossible pour les forces de l’ordre et d’autres acteurs d’imiter les commandes des contrôleurs de logiciels malveillants, car certains vers rejetteront automatiquement toutes les mises à jour non signées par les contrôleurs de logiciels malveillants.
Par exemple, un ordinateur infecté pourrait créer des milliers de noms de domaine tels que: www. < charabia >.com et tenterait de contacter une partie de ceux-ci dans le but de recevoir une mise à jour ou des commandes.
L’intégration de la DGA au lieu d’une liste de domaines générés précédemment (par les serveurs de commande et de contrôle) dans le binaire non obstrué du logiciel malveillant protège contre un vidage de chaînes qui pourrait être introduit dans une appliance de liste noire de réseau de manière préventive pour tenter de restreindre la communication sortante des hôtes infectés au sein d’une entreprise.
La technique a été popularisée par la famille des vers Conficker.a et.b qui, au début, générait 250 noms de domaine par jour. En commençant par Conficker.C, le logiciel malveillant générerait chaque jour 50 000 noms de domaine dont il tenterait de contacter 500, ce qui donnerait à une machine infectée une possibilité de 1% d’être mise à jour tous les jours si les contrôleurs de logiciels malveillants n’enregistraient qu’un seul domaine par jour. Pour empêcher les ordinateurs infectés de mettre à jour leurs logiciels malveillants, les forces de l’ordre auraient dû pré-enregistrer 50 000 nouveaux noms de domaine chaque jour. Du point de vue du propriétaire du botnet, ils n’ont qu’à enregistrer un ou quelques domaines parmi les nombreux domaines que chaque bot interrogerait chaque jour.
Récemment, la technique a été adoptée par d’autres auteurs de logiciels malveillants. Selon la société de sécurité réseau Damballa, les 5 familles de logiciels de crime les plus répandues à base de DGA sont Conficker, Murofet, BankPatch, Bonnana et Bobax en 2011.