Domängenereringsalgoritm

BY admin
|

Domängenereringsalgoritmer (DGA) är algoritmer som ses i olika familjer av skadlig kod som används för att periodiskt generera ett stort antal domännamn som kan användas som rendezvous-punkter med sina kommando-och kontrollservrar. Det stora antalet potentiella rendezvous-poäng gör det svårt för brottsbekämpning att effektivt stänga av botnät, eftersom infekterade datorer kommer att försöka kontakta några av dessa domännamn varje dag för att få uppdateringar eller kommandon. Användningen av kryptering med offentlig nyckel i skadlig kod gör det omöjligt för brottsbekämpning och andra aktörer att efterlikna kommandon från skadliga programkontroller, eftersom vissa maskar automatiskt avvisar alla uppdateringar som inte är signerade av skadliga programkontroller.

en infekterad dator kan till exempel skapa tusentals domännamn som: www.<gibberish>.com och skulle försöka kontakta en del av dessa med syftet att få en uppdatering eller kommandon.

bädda in DGA i stället för en lista över tidigare genererade (av kommando-och kontrollservrar) domäner i unobfuscated Binär av skadlig kod skyddar mot en strängar dump som kan matas in i ett nätverk svartlistning apparaten förebyggande för att försöka begränsa utgående kommunikation från infekterade värdar inom ett företag.

tekniken populariserades av familjen worms Conficker.a och .b som först genererade 250 domännamn per dag. Börjar med Conficker.C, malware skulle generera 50,000 domännamn varje dag som det skulle försöka kontakta 500, vilket ger en infekterad maskin en 1% möjlighet att uppdateras varje dag om malware controllers registrerade endast en domän per dag. För att förhindra att infekterade datorer uppdaterar sin skadliga programvara skulle brottsbekämpning ha behövt förregistrera 50 000 nya domännamn varje dag. Ur botnätägarens synvinkel behöver de bara registrera en eller några domäner av de flera domäner som varje bot skulle fråga varje dag.

nyligen har tekniken antagits av andra skadliga författare. Enligt nätverkssäkerhetsföretaget Damballa är de topp 5 vanligaste DGA-baserade crimeware-familjerna Conficker, Murofet, BankPatch, Bonnana och Bobax från och med 2011.