☠️ DGA — алгоритм генерации домена — Information Security Squad
☠️  DGA — алгоритм генерации домена
Обычно вредоносный код подключается к серверу C&C через домен или IP-адрес.
DGA — алгоритм генерации домена — это метод, используемый авторами вредоносных программ для сокрытия домена C&C-сервера.

Что такое C & C сервер ?

Сервер команд и управления (серверы C & C) — это компьютер / устройство , которое управляет членами ботнета.

1. Что такое DGA:

Domain Generation Algorithm — это алгоритмы, обнаруженные в семействах вредоносных программ, которые периодически используются для большого числа доменных имен, которые могут использоваться в качестве точек рандеву с их C&C-сервером.

Большое количество потенциальных точек встречи мешает правоохранительным органам эффективно закрывать ботнеты, поскольку зараженные компьютеры будут пытаться каждый день связываться с некоторыми из этих доменных имен для получения обновлений или команд.

Использование криптографии с открытым ключом в вредоносном коде делает невозможным для правоохранительных органов и других субъектов имитировать команды от контроллеров вредоносных программ, поскольку некоторые черви автоматически отклоняют любые обновления, не подписанные контроллерами вредоносных программ.

По сути, это всего лишь алгоритм, который создает набор случайных строк.

Затем вредоносная программа пытается разрешить эти сгенерированные доменные имена, отправляя DNS-запросы, пока один из доменов не преобразуется в IP-адрес C&C-сервера.

Доменные имена, сгенерированные DGA, также известны как Algorithmically Generated Domains (AGD).

Сид является базовым элементом DGA и служит общим секретом между злоумышленником и вредоносным ПО.

Есть два типа сида:

  • Статический Seed
  • Дианмический Seed

Сид представляет собой агрегированный набор параметров, данных злоумышленником для генерации псевдослучайного доменного имени, что является основным требованием алгоритма генерации домена (DGA).

Этот сид доступен как злоумышленнику, так и вредоносному ПО.

Сид требуется для вычисления Алгоритмически Генерируемых Доменов (AGD).

Алгоритм генерации домена (DGA) принимает начальное значение в качестве входного параметра для генерации псевдослучайных строк и алгоритмически добавляет TLD (.com, .org, .ca, .ru) со строкой для вывода возможных доменных имен.

2. Как использовать технику DGA:

Традиционно вредоносное ПО использовало хардкоженные доменные имена или IP-адреса сервера C&C в двоичном файле вредоносного ПО для прямого подключения к серверу C&C.
Однако аналитик вредоносного ПО может легко обнаружить эти жестко запрограммированные доменные имена или IP-адреса путем реверс инжиниринга и может занести их в черный список.
DGA используется для генерации большого количества доменных имен для сервера C&C.
Постоянное изменение доменного имени для C&C-сервера посредством реализации DGA называется Domain-Fluxing.

Некоторые из известных вредоносных программ на основе DGA включают Zeus GameOver, Cryptolocker, PushDo, Conficker и Ramdo.

Вредоносное ПО DGA периодически генерирует большое количество доменных имен-кандидатов для сервера C&C и запрашивает все эти алгоритмически сгенерированные домены (AGD), чтобы разрешить IP-адрес сервера C&C.

Злоумышленник заранее регистрирует одно из этих созданных DGA доменных имен для C&C Server, используя тот же алгоритм, встроенный в вредоносное ПО.
В конце концов, вредоносная программа запрашивает предварительно зарегистрированное доменное имя противника и разрешает IP-адрес C&C-сервера.
Затем вредоносная программа начинает взаимодействовать с сервером C&C и получает новые команды и обновления.
Если вредоносная программа не может найти сервер C&C по своему предыдущему доменному имени, она запрашивает следующий набор сгенерированных DGA доменных имен, пока не найдет работающее.

Злоумышленник регистрирует доменное имя за 1 час до атаки и уничтожает доменное имя в течение 24 часов.

Наличие алгоритма DGA и знание начального значения DGA позволяет злоумышленнику заранее прогнозировать домены DGA.

В результате злоумышленник также может генерировать точно такой же список доменных имен, который может генерировать вредоносная программа.
Знание сида и алгоритма DGA позволяет злоумышленнику предсказать, какие доменные имена будут пытаться запросить зараженные машины (вредоносное ПО) в определенную дату и время, а затем злоумышленник регистрирует одно из доменных имен, которое, как ожидается, будет создано встроенным вредоносным ПО DGA .

\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40