Domain generation algorithm
Domain generation algorithms (DGA) sono algoritmi visti in varie famiglie di malware che vengono utilizzati per generare periodicamente un gran numero di nomi di dominio che possono essere utilizzati come punti di incontro con i loro server di comando e controllo. Il gran numero di potenziali punti di incontro rende difficile per le forze dell’ordine arrestare efficacemente le botnet, poiché i computer infetti tenteranno di contattare alcuni di questi nomi di dominio ogni giorno per ricevere aggiornamenti o comandi. L’uso della crittografia a chiave pubblica nel codice malware rende impossibile per le forze dell’ordine e altri attori imitare i comandi dei controller malware poiché alcuni worm rifiuteranno automaticamente gli aggiornamenti non firmati dai controller malware.
Ad esempio, un computer infetto potrebbe creare migliaia di nomi di dominio come: www.<gibberish>. com e tenterebbe di contattare una parte di questi con lo scopo di ricevere un aggiornamento o comandi.
L’incorporamento del DGA invece di un elenco di domini generati in precedenza (dai server di comando e controllo) nel binario non offuscato del malware protegge da un dump di stringhe che potrebbe essere inserito preventivamente in un’appliance di blacklist di rete per tentare di limitare la comunicazione in uscita da host infetti all’interno di un’azienda.
La tecnica è stata resa popolare dalla famiglia di vermi Conficker.a e .b che, in un primo momento generato 250 nomi di dominio al giorno. A partire da Conficker.C, il malware genererebbe 50.000 nomi di dominio ogni giorno di cui tenterebbe di contattare 500, dando a una macchina infetta una possibilità dell ‘ 1% di essere aggiornata ogni giorno se i controller di malware registrassero solo un dominio al giorno. Per evitare che i computer infetti aggiornino il loro malware, le forze dell’ordine avrebbero dovuto pre-registrare 50.000 nuovi nomi di dominio ogni giorno. Dal punto di vista del proprietario della botnet, devono solo registrare uno o pochi domini dai diversi domini che ogni bot interrogherebbe ogni giorno.
Recentemente, la tecnica è stata adottata da altri autori di malware. Secondo la società di sicurezza di rete Damballa, le prime 5 famiglie di crimeware basate su DGA più diffuse sono Conficker, Murofet, BankPatch, Bonnana e Bobax a partire dal 2011.