Entry № 387
ドメイン生成アルゴリズム(DGA)
ドメイン生成アルゴリズム(DGA) とは何ですか?
ドメイン生成アルゴリズム(DGA)感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。
DGA はマルウェアに埋め込まれたコードで、日付などの共有シードに基づき毎日数百から数千の疑似乱数ドメインを生成します。感染ホストはその日のドメインを順に試し、攻撃者はそのうちごく一部を登録するだけでボットネットと合流できます。防御側はあらゆる候補ドメインを事前に列挙できないため、DGA は静的ブロックリストを無効化します。Conficker は 1 日 5 万件のドメインを生成して有名になり、Necurs、Murofet、Mirai の一部亜種も同手法を用いました。対策には DNS ログに対する DGA 分類器、パッシブ DNS の活用、新たに観測されたアルゴリズム由来名のシンクホール化、EDR による NXDOMAIN バーストの検知などが有効です。
● 例
- 01
Conficker.C は複数の TLD 上で 1 日 5 万件の候補ドメインを生成。
- 02
Necurs と Murofet は日付シードの DGA を用いて C2 と合流。
● よくある質問
ドメイン生成アルゴリズム(DGA) とは何ですか?
感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
ドメイン生成アルゴリズム(DGA) とはどういう意味ですか?
感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。
ドメイン生成アルゴリズム(DGA) からどのように防御しますか?
ドメイン生成アルゴリズム(DGA) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ドメイン生成アルゴリズム(DGA) の別名は何ですか?
一般的な別名: DGA, アルゴリズム生成 C2 ドメイン。