도메인 생성 알고리즘
도메인 생성 알고리즘은 명령 및 제어 서버와의 랑데부 지점으로 사용할 수 있는 다수의 도메인 이름을 주기적으로 생성하는 데 사용되는 다양한 맬웨어 계열에서 볼 수 있는 알고리즘입니다. 잠재적 인 랑데부 포인트의 많은 수의 어려운 법 집행 효과적으로 봇넷을 종료 할 수 있습니다,감염된 컴퓨터가 업데이트 또는 명령을 받기 위해 매일 이러한 도메인 이름의 일부를 문의하려고하기 때문에. 맬웨어 코드에서 공개 키 암호화를 사용하면 법 집행 기관 및 기타 행위자가 맬웨어 컨트롤러의 명령을 모방 할 수 없으므로 일부 웜은 맬웨어 컨트롤러가 서명하지 않은 업데이트를 자동으로 거부 할 수 있습니다.
예를 들어,감염된 컴퓨터는 다음과 같은 도메인 이름의 수천을 만들 수 있습니다.이러한 문자열 덤프는 엔터프라이즈 내에서 감염된 호스트의 아웃바운드 통신을 제한하기 위해 네트워크 블랙리스트 어플라이언스에 선제적으로 공급될 수 있습니다.
이 기술은 웜 컨 피커의 가족에 의해 대중화되었다.및.처음에는 하루에 250 개의 도메인 이름을 생성했습니다. 컨 피커로 시작.악성 코드는 매일 50,000 개의 도메인 이름을 생성하여 악성 코드 컨트롤러가 하루에 하나의 도메인 만 등록하면 감염된 컴퓨터에 매일 업데이트 될 가능성이 1%증가합니다. 감염된 컴퓨터가 악성 코드를 업데이트하는 것을 방지하기 위해 법 집행 기관은 매일 50,000 개의 새 도메인 이름을 사전 등록해야했습니다. 봇넷 소유자의 관점에서 볼 때 각 봇이 매일 쿼리하는 여러 도메인 중 하나 또는 몇 개의 도메인 만 등록해야합니다.
최근,이 기술은 다른 악성 코드 작성자에 의해 채택되었다. 네트워크 보안 회사 담발라에 따르면,2011 년 현재 컨 피커,무로펫,뱅크패치,보나나 및 보박스가 가장 널리 보급 된 5 대 크라임웨어 제품군입니다.