Algorytm generowania domen

BY admin
|

algorytmy generowania domen (DGA) to algorytmy widoczne w różnych rodzinach złośliwego oprogramowania, które są używane do okresowego generowania dużej liczby nazw domen, które mogą być używane jako punkty spotkania z ich serwerami dowodzenia i kontroli. Duża liczba potencjalnych punktów spotkania utrudnia organom ścigania skuteczne wyłączanie botnetów, ponieważ zainfekowane komputery będą próbowały codziennie kontaktować się z niektórymi z tych nazw domen, aby otrzymywać aktualizacje lub polecenia. Użycie kryptografii klucza publicznego w kodzie złośliwego oprogramowania uniemożliwia organom ścigania i innym podmiotom naśladowanie poleceń kontrolerów złośliwego oprogramowania, ponieważ niektóre robaki automatycznie odrzucają wszelkie aktualizacje, które nie są podpisane przez kontrolery złośliwego oprogramowania.

na przykład zainfekowany komputer może utworzyć tysiące nazw domen, takich jak: www.<gibberish>.com i spróbuje skontaktować się z częścią z nich w celu otrzymania aktualizacji lub poleceń.

osadzenie DGA zamiast listy wcześniej wygenerowanych (przez serwery poleceń i kontroli) domen w niezabezpieczonym pliku binarnym złośliwego oprogramowania chroni przed zrzutem łańcuchów, które mogą być prewencyjnie wprowadzone do urządzenia sieciowej czarnej listy, aby spróbować ograniczyć komunikację wychodzącą od zainfekowanych hostów w przedsiębiorstwie.

technika została spopularyzowana przez rodzinę robaków Conficker.a i .b, który początkowo generował 250 nazw domen dziennie. Zaczynając od Conficker.C, złośliwe oprogramowanie generowałoby 50 000 nazw domen każdego dnia, z czego próbowałoby skontaktować się z 500, dając zainfekowanej maszynie 1% możliwości aktualizacji każdego dnia, jeśli kontrolerzy złośliwego oprogramowania zarejestrowaliby tylko jedną domenę dziennie. Aby zapobiec aktualizacji złośliwego oprogramowania przez zainfekowane komputery, organy ścigania musiałyby wstępnie zarejestrować 50 000 nowych nazw domen każdego dnia. Z punktu widzenia właściciela botnetu, muszą zarejestrować tylko jedną lub kilka domen z kilku domen, które każdy bot odpytywałby każdego dnia.

ostatnio technika ta została przyjęta przez innych autorów złośliwego oprogramowania. Według firmy zajmującej się bezpieczeństwem sieci Damballa, 5 najbardziej rozpowszechnionych rodzin crimeware opartych na DGA to Conficker, Murofet, BankPatch, Bonnana i Bobax od 2011 roku.