Domain Generation Algorithm (DGA)
Qu'est-ce que Domain Generation Algorithm (DGA) ?
Domain Generation Algorithm (DGA)Algorithme utilise par un malware pour generer de maniere deterministe de grandes quantites de noms de domaine candidats afin que les hotes infectes retrouvent leur serveur C2.
Un Domain Generation Algorithm est du code embarque dans un malware qui produit des centaines ou des milliers de noms de domaine pseudo-aleatoires par jour, amorces par la date ou une autre valeur partagee. Les hotes infectes essaient en sequence les domaines du jour; l'attaquant n'a qu'a en enregistrer quelques-uns pour rejoindre son botnet. Les DGA defont les blocklists statiques car il est impossible d'enumerer a l'avance tous les C2 potentiels. Conficker generait 50000 domaines par jour, et Necurs, Murofet et certaines variantes de Mirai ont utilise la technique. Defenses: classifieurs DGA sur les logs DNS, recherches DNS passif, sinkholing des nouveaux noms algorithmiques et detection EDR des rafales de NXDOMAIN.
● Exemples
- 01
Conficker.C generait 50000 domaines candidats par jour repartis sur plusieurs TLD.
- 02
Necurs et Murofet utilisaient des DGA bases sur la date pour retrouver leur canal C2.
● Questions fréquentes
Qu'est-ce que Domain Generation Algorithm (DGA) ?
Algorithme utilise par un malware pour generer de maniere deterministe de grandes quantites de noms de domaine candidats afin que les hotes infectes retrouvent leur serveur C2. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Domain Generation Algorithm (DGA) ?
Algorithme utilise par un malware pour generer de maniere deterministe de grandes quantites de noms de domaine candidats afin que les hotes infectes retrouvent leur serveur C2.
Comment fonctionne Domain Generation Algorithm (DGA) ?
Un Domain Generation Algorithm est du code embarque dans un malware qui produit des centaines ou des milliers de noms de domaine pseudo-aleatoires par jour, amorces par la date ou une autre valeur partagee. Les hotes infectes essaient en sequence les domaines du jour; l'attaquant n'a qu'a en enregistrer quelques-uns pour rejoindre son botnet. Les DGA defont les blocklists statiques car il est impossible d'enumerer a l'avance tous les C2 potentiels. Conficker generait 50000 domaines par jour, et Necurs, Murofet et certaines variantes de Mirai ont utilise la technique. Defenses: classifieurs DGA sur les logs DNS, recherches DNS passif, sinkholing des nouveaux noms algorithmiques et detection EDR des rafales de NXDOMAIN.
Comment se défendre contre Domain Generation Algorithm (DGA) ?
Les défenses contre Domain Generation Algorithm (DGA) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Domain Generation Algorithm (DGA) ?
Noms alternatifs courants : DGA, Domaines C2 algorithmiques.
● Termes liés
- malware№ 201
Commande et contrôle (C2)
Infrastructure et canaux qu'un attaquant utilise pour maintenir la communication avec les systèmes compromis et leur transmettre des instructions.
- malware№ 119
Botnet
Réseau d'équipements connectés à Internet infectés par un malware et pilotés à distance par un attaquant pour mener des actions coordonnées.
- attacks№ 407
Fast flux
Technique DNS de botnets qui fait tourner rapidement les adresses IP derriere un domaine malveillant entre de nombreuses machines compromises pour resister aux blocages et takedowns.
- attacks№ 350
Domain shadowing
Attaque ou un criminel compromet le compte registrar du proprietaire d'un domaine legitime et cree discretement des sous-domaines malveillants sous ce domaine parent de confiance.
- forensics-ir№ 650
Analyse de maliciel
Étude structurée d'un échantillon malveillant pour comprendre son fonctionnement, son origine, ses indicateurs de compromission et son impact sur les systèmes touchés.
● Voir aussi
- № 792DNS passif