Domain Generation Algorithm (DGA)
Was ist Domain Generation Algorithm (DGA)?
Domain Generation Algorithm (DGA)Von Malware verwendeter Algorithmus, der deterministisch grosse Mengen moeglicher Domainnamen erzeugt, damit infizierte Hosts ihren Command-and-Control-Server finden koennen.
Ein Domain Generation Algorithm ist Code in Malware, der pro Tag Hunderte oder Tausende pseudozufaelliger Domainnamen erzeugt, geseedet ueber Datum oder einen anderen geteilten Wert. Infizierte Hosts probieren die Tagesdomains der Reihe nach durch; der Angreifer muss nur einige davon registrieren, um sein Botnet zu treffen. DGAs schlagen statische Blocklisten, weil Verteidiger nicht alle moeglichen C2-Namen vorab auflisten koennen. Conficker erzeugte 50.000 Domains pro Tag, auch Necurs, Murofet und Mirai-Varianten nutzten die Technik. Schutz: DGA-Klassifizierer auf DNS-Logs, passive DNS-Lookups, Sinkholing neu beobachteter algorithmischer Namen sowie EDR-Erkennung von NXDOMAIN-Bursts.
● Beispiele
- 01
Conficker.C generierte 50.000 Kandidatendomains pro Tag ueber mehrere TLDs.
- 02
Necurs und Murofet nutzten datumsgeseedete DGAs zum Treffen mit ihrem C2-Kanal.
● Häufige Fragen
Was ist Domain Generation Algorithm (DGA)?
Von Malware verwendeter Algorithmus, der deterministisch grosse Mengen moeglicher Domainnamen erzeugt, damit infizierte Hosts ihren Command-and-Control-Server finden koennen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Domain Generation Algorithm (DGA)?
Von Malware verwendeter Algorithmus, der deterministisch grosse Mengen moeglicher Domainnamen erzeugt, damit infizierte Hosts ihren Command-and-Control-Server finden koennen.
Wie funktioniert Domain Generation Algorithm (DGA)?
Ein Domain Generation Algorithm ist Code in Malware, der pro Tag Hunderte oder Tausende pseudozufaelliger Domainnamen erzeugt, geseedet ueber Datum oder einen anderen geteilten Wert. Infizierte Hosts probieren die Tagesdomains der Reihe nach durch; der Angreifer muss nur einige davon registrieren, um sein Botnet zu treffen. DGAs schlagen statische Blocklisten, weil Verteidiger nicht alle moeglichen C2-Namen vorab auflisten koennen. Conficker erzeugte 50.000 Domains pro Tag, auch Necurs, Murofet und Mirai-Varianten nutzten die Technik. Schutz: DGA-Klassifizierer auf DNS-Logs, passive DNS-Lookups, Sinkholing neu beobachteter algorithmischer Namen sowie EDR-Erkennung von NXDOMAIN-Bursts.
Wie schützt man sich gegen Domain Generation Algorithm (DGA)?
Schutzmaßnahmen gegen Domain Generation Algorithm (DGA) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Domain Generation Algorithm (DGA)?
Übliche alternative Bezeichnungen: DGA, Algorithmische C2-Domains.
● Verwandte Begriffe
- malware№ 201
Command and Control (C2)
Infrastruktur und Kanäle, mit denen Angreifer die Kommunikation zu kompromittierten Systemen aufrechterhalten und ihnen Befehle senden.
- malware№ 119
Botnetz
Netz aus mit Malware infizierten, internetverbundenen Geräten, die ein Angreifer fernsteuert, um koordinierte Aktivitäten auszuführen.
- attacks№ 407
Fast Flux
DNS-Technik von Botnetzen, die die hinter einer boesartigen Domain liegenden IP-Adressen schnell ueber viele kompromittierte Hosts rotiert, um Takedowns und Blocking zu erschweren.
- attacks№ 350
Domain Shadowing
Angriff, bei dem ein Kriminelle den Registrar-Account eines legitimen Domaininhabers kompromittiert und unbemerkt boesartige Subdomains unter der vertrauenswuerdigen Hauptdomain anlegt.
- forensics-ir№ 650
Malware-Analyse
Strukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.
● Siehe auch
- № 792Passive DNS