Algoritmul de generare a domeniului

BY admin
|

algoritmii de generare a domeniului (DGA) sunt algoritmi văzuți în diferite familii de malware care sunt utilizați pentru a genera periodic un număr mare de nume de domenii care pot fi utilizate ca puncte de întâlnire cu serverele lor de comandă și control. Numărul mare de potențiale puncte de întâlnire face dificilă închiderea eficientă a botnetelor de către forțele de ordine, deoarece computerele infectate vor încerca să contacteze unele dintre aceste nume de domenii în fiecare zi pentru a primi actualizări sau comenzi. Utilizarea criptografiei cu cheie publică în codul malware face imposibilă aplicarea legii și a altor actori să imite comenzile controlorilor malware, deoarece unii viermi vor respinge automat orice actualizări care nu sunt semnate de controlorii malware.

de exemplu, un computer infectat ar putea crea mii de nume de domenii, cum ar fi: www.<păsărească>. com și ar încerca să contacteze o parte din acestea cu scopul de a primi o actualizare sau comenzi.

încorporarea DGA în locul unei liste de domenii generate anterior (de către serverele de comandă și control) în binarul nefuscat al malware-ului protejează împotriva unui depozit de șiruri care ar putea fi introdus într-un dispozitiv de listă neagră de rețea în mod preventiv pentru a încerca să restricționeze comunicarea de ieșire de la gazdele infectate din cadrul unei întreprinderi.

tehnica a fost popularizată de familia worms Conficker.a și .b care, la început, a generat 250 de nume de domenii pe zi. Începând cu Conficker.C, malware-ul ar genera 50.000 de nume de domenii în fiecare zi, dintre care ar încerca să contacteze 500, oferind unei mașini infectate o posibilitate de 1% de a fi actualizată în fiecare zi dacă controlorii malware înregistrează un singur domeniu pe zi. Pentru a împiedica computerele infectate să își actualizeze malware-ul, forțele de ordine ar fi trebuit să preînregistreze 50.000 de nume de domenii noi în fiecare zi. Din punctul de vedere al proprietarului botnet, trebuie doar să înregistreze unul sau câteva domenii din mai multe domenii pe care fiecare bot le-ar interoga în fiecare zi.

recent, tehnica a fost adoptată de alți autori de malware. Potrivit firmei de securitate a rețelei Damballa, primele 5 cele mai răspândite familii de crimeware bazate pe DGA sunt Conficker, Murofet, BankPatch, Bonnana și Bobax începând cu 2011.