Tartománygeneráló algoritmus

BY admin
|

a Tartománygeneráló algoritmusok (DGA) olyan algoritmusok, amelyek a rosszindulatú programok különböző családjaiban láthatók, és amelyeket nagyszámú tartománynév rendszeres generálására használnak, amelyek találkozási pontként használhatók a parancs-és vezérlőszervereikkel. A potenciális találkozási pontok nagy száma megnehezíti a bűnüldöző szervek számára a botnetek hatékony leállítását, mivel a fertőzött számítógépek minden nap megpróbálnak kapcsolatba lépni ezekkel a domain nevekkel, hogy frissítéseket vagy parancsokat kapjanak. A nyilvános kulcsú kriptográfia használata a rosszindulatú programok kódjában lehetetlenné teszi a bűnüldöző szervek és más szereplők számára, hogy utánozzák a rosszindulatú programok vezérlőinek parancsait, mivel egyes férgek automatikusan elutasítanak minden olyan frissítést, amelyet a rosszindulatú programok vezérlői nem írtak alá.

például egy fertőzött számítógép több ezer domain nevet hozhat létre, mint például: www.<halandzsa>. com, és megpróbál kapcsolatba lépni ezek egy részével frissítés vagy parancsok fogadása céljából.

a DGA beágyazása a korábban (a parancs-és vezérlőkiszolgálók által) létrehozott tartományok listája helyett a rosszindulatú program nem blokkolt bináris fájljában védelmet nyújt a strings dump ellen, amelyet be lehet táplálni egy hálózati feketelistára kerülő készülékbe, hogy megpróbálja korlátozni a fertőzött gazdagépek kimenő kommunikációját egy vállalkozáson belül.

a technikát a worms Conficker család népszerűsítette.a és .b, amely először 250 domain nevet generált naponta. Kezdve a Confickerrel.C, a malware generálna 50.000 domain nevek minden nap, amely azt próbálja felvenni a kapcsolatot 500, így egy fertőzött gép egy 1% – os lehetőséget, hogy frissíteni kell minden nap, ha a malware vezérlők regisztrált csak egy domain naponta. Annak megakadályozása érdekében, hogy a fertőzött számítógépek frissítsék rosszindulatú programjaikat, a bűnüldöző szerveknek naponta 50 000 új domain nevet kellett volna előzetesen regisztrálniuk. A botnet tulajdonosának szempontjából csak egy vagy néhány domaint kell regisztrálniuk a több domainből, amelyeket minden bot minden nap lekérdezne.

a közelmúltban a technikát más rosszindulatú programok szerzői is elfogadták. A Damballa hálózatbiztonsági cég szerint a top-5 legelterjedtebb DGA-alapú crimeware családok a Conficker, Murofet, BankPatch, Bonnana és Bobax 2011-től.