Algoritmo de generacion de dominios (DGA)
¿Qué es Algoritmo de generacion de dominios (DGA)?
Algoritmo de generacion de dominios (DGA)Algoritmo usado por malware para generar deterministicamente grandes cantidades de nombres de dominio candidatos para que los equipos infectados encuentren su C2.
Un Domain Generation Algorithm es codigo embebido en el malware que produce cientos o miles de dominios pseudoaleatorios al dia, sembrados por la fecha u otro valor compartido. Los equipos infectados prueban en orden los dominios del dia; al atacante le basta con registrar unos pocos para encontrarse con su botnet. Los DGA vencen las listas estaticas porque los defensores no pueden enumerar de antemano todos los posibles C2. Conficker es famoso por generar 50.000 dominios al dia, y Necurs, Murofet y variantes de Mirai han usado la tecnica. Defensas: clasificadores DGA sobre logs DNS, busquedas de DNS pasivo, sinkholing de nuevos nombres algoritmicos y deteccion EDR de rafagas de NXDOMAIN.
● Ejemplos
- 01
Conficker.C generaba 50.000 dominios candidatos al dia en varios TLDs.
- 02
Necurs y Murofet usaron DGAs sembrados por fecha para encontrarse con su canal C2.
● Preguntas frecuentes
¿Qué es Algoritmo de generacion de dominios (DGA)?
Algoritmo usado por malware para generar deterministicamente grandes cantidades de nombres de dominio candidatos para que los equipos infectados encuentren su C2. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Algoritmo de generacion de dominios (DGA)?
Algoritmo usado por malware para generar deterministicamente grandes cantidades de nombres de dominio candidatos para que los equipos infectados encuentren su C2.
¿Cómo funciona Algoritmo de generacion de dominios (DGA)?
Un Domain Generation Algorithm es codigo embebido en el malware que produce cientos o miles de dominios pseudoaleatorios al dia, sembrados por la fecha u otro valor compartido. Los equipos infectados prueban en orden los dominios del dia; al atacante le basta con registrar unos pocos para encontrarse con su botnet. Los DGA vencen las listas estaticas porque los defensores no pueden enumerar de antemano todos los posibles C2. Conficker es famoso por generar 50.000 dominios al dia, y Necurs, Murofet y variantes de Mirai han usado la tecnica. Defensas: clasificadores DGA sobre logs DNS, busquedas de DNS pasivo, sinkholing de nuevos nombres algoritmicos y deteccion EDR de rafagas de NXDOMAIN.
¿Cómo defenderse de Algoritmo de generacion de dominios (DGA)?
Las defensas contra Algoritmo de generacion de dominios (DGA) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Algoritmo de generacion de dominios (DGA)?
Nombres alternativos comunes: DGA, Dominios C2 algoritmicos.
● Términos relacionados
- malware№ 201
Mando y control (C2)
Infraestructura y canales que los atacantes usan para mantener comunicación con los sistemas comprometidos y enviarles instrucciones.
- malware№ 119
Botnet
Red de dispositivos conectados a Internet infectados por malware y controlados remotamente por un atacante para ejecutar acciones coordinadas.
- attacks№ 407
Fast flux
Tecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns.
- attacks№ 350
Domain shadowing
Ataque en el que un delincuente compromete la cuenta del registrador de un dominio legitimo y crea silenciosamente subdominios maliciosos bajo el dominio padre de confianza.
- forensics-ir№ 650
Análisis de malware
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
● Véase también
- № 792DNS pasivo