Domenegenerasjonsalgoritme

BY admin
|

Domenegenerasjonsalgoritmer (Dga) er algoritmer sett i ulike familier av skadelig programvare som brukes til periodisk å generere et stort antall domenenavn som kan brukes som rendezvous poeng med deres kommando-og kontrollservere. Det store antallet potensielle rendezvous poeng gjør det vanskelig for politiet å effektivt slå av botnett, siden infiserte datamaskiner vil forsøke å kontakte noen av disse domenenavnene hver dag for å motta oppdateringer eller kommandoer. Bruken av offentlig nøkkelkryptografi i malware-kode gjør det umulig for rettshåndhevelse og andre aktører å etterligne kommandoer fra malware-kontrollerne, da noen ormer automatisk vil avvise eventuelle oppdateringer som ikke er signert av malware-kontrollerne.

en infisert datamaskin kan for eksempel opprette tusenvis av domenenavn som: www.< vrøvl>. com og vil forsøke å kontakte en del av disse med det formål å motta en oppdatering eller kommandoer.

Innebygging AV DGA i stedet for en liste over tidligere genererte (av kommando-og kontrollservere) domener i det uobfuscated binære av malware beskytter mot en strings dump som kan mates inn i et nettverk svartelisting apparat preemptively å forsøke å begrense utgående kommunikasjon fra infiserte verter i en bedrift.

teknikken ble popularisert av familien av ormer Conficker.a og .b som først genererte 250 domenenavn per dag. Begynn Med Conficker.C, malware ville generere 50,000 domenenavn hver dag som det ville forsøke å kontakte 500, noe som gir en infisert maskin en 1% mulighet for å bli oppdatert hver dag hvis malware-kontrollerne registrerte bare ett domene per dag. For å forhindre at infiserte datamaskiner oppdaterer sin malware, ville politiet ha behov for å forhåndsregistrere 50.000 nye domenenavn hver dag. Fra botnet-eierens synspunkt må de bare registrere ett eller noen få domener ut av de flere domenene som hver bot ville spørre hver dag.

nylig har teknikken blitt vedtatt av andre malware forfattere. Ifølge nettverkssikkerhetsfirmaet Damballa er de 5 mest utbredte dga-baserte crimeware-familiene Conficker, Murofet, BankPatch, Bonnana og Bobax fra 2011.