Domeingeneratiealgoritme

Domeingeneratiealgoritmen (DGA) zijn algoritmen die te zien zijn in verschillende families van malware die worden gebruikt om periodiek een groot aantal domeinnamen te genereren die kunnen worden gebruikt als ontmoetingspunt met hun commando-en besturingsservers. Het grote aantal potentiële rendez-vous punten maakt het moeilijk voor rechtshandhaving om effectief te sluiten botnets, omdat geïnfecteerde computers zullen proberen om contact op te nemen met een aantal van deze domeinnamen elke dag updates of commando ‘ s te ontvangen. Het gebruik van public-key cryptografie in malware code maakt het ondoenlijk voor rechtshandhaving en andere actoren om commando ‘ s na te bootsen van de malware controllers als sommige wormen automatisch alle updates niet ondertekend door de malware controllers zal weigeren.

een geà nfecteerde computer zou bijvoorbeeld duizenden domeinnamen kunnen aanmaken zoals: www.<gibberish>.com en zou proberen contact op te nemen met een deel van deze namen om een update of commando ‘ s te ontvangen.

het inbedden van de DGA in plaats van een lijst van eerder gegenereerde (door de command and control servers) domeinen in de niet-gefusceerde binaire van de malware beschermt tegen een strings dump die vooraf kan worden ingevoerd in een netwerk blacklisting apparaat om te proberen uitgaande communicatie van geïnfecteerde hosts binnen een onderneming te beperken.

de techniek werd gepopulariseerd door de Wormenconficker familie.a en .B die aanvankelijk 250 domeinnamen per dag genereerde. Beginnend met Conficker.C, de malware zou genereren 50.000 domeinnamen elke dag waarvan het zou proberen om contact op te nemen 500, waardoor een geà nfecteerde machine een 1% mogelijkheid om elke dag bijgewerkt als de malware controllers geregistreerd slechts één domein per dag. Om te voorkomen dat geà nfecteerde computers hun malware bijwerken, zou de wetshandhaving elke dag 50.000 nieuwe domeinnamen moeten preregistreren. Vanuit het oogpunt van botnet eigenaar, ze hoeven slechts een of een paar domeinen te registreren uit de verschillende domeinen die elke bot elke dag zou opvragen.

onlangs is de techniek overgenomen door andere malwareauteurs. Volgens netwerk beveiligingsbedrijf Damballa, de top-5 meest voorkomende DGA-gebaseerde crimeware families Conficker, Murofet, BankPatch, Bonnana en Bobax vanaf 2011.