ドメイン生成アルゴリズム(DGA)
ドメイン生成アルゴリズム(DGA) とは何ですか?
ドメイン生成アルゴリズム(DGA)感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。
DGA はマルウェアに埋め込まれたコードで、日付などの共有シードに基づき毎日数百から数千の疑似乱数ドメインを生成します。感染ホストはその日のドメインを順に試し、攻撃者はそのうちごく一部を登録するだけでボットネットと合流できます。防御側はあらゆる候補ドメインを事前に列挙できないため、DGA は静的ブロックリストを無効化します。Conficker は 1 日 5 万件のドメインを生成して有名になり、Necurs、Murofet、Mirai の一部亜種も同手法を用いました。対策には DNS ログに対する DGA 分類器、パッシブ DNS の活用、新たに観測されたアルゴリズム由来名のシンクホール化、EDR による NXDOMAIN バーストの検知などが有効です。
● 例
- 01
Conficker.C は複数の TLD 上で 1 日 5 万件の候補ドメインを生成。
- 02
Necurs と Murofet は日付シードの DGA を用いて C2 と合流。
● よくある質問
ドメイン生成アルゴリズム(DGA) とは何ですか?
感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
ドメイン生成アルゴリズム(DGA) とはどういう意味ですか?
感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。
ドメイン生成アルゴリズム(DGA) はどのように機能しますか?
DGA はマルウェアに埋め込まれたコードで、日付などの共有シードに基づき毎日数百から数千の疑似乱数ドメインを生成します。感染ホストはその日のドメインを順に試し、攻撃者はそのうちごく一部を登録するだけでボットネットと合流できます。防御側はあらゆる候補ドメインを事前に列挙できないため、DGA は静的ブロックリストを無効化します。Conficker は 1 日 5 万件のドメインを生成して有名になり、Necurs、Murofet、Mirai の一部亜種も同手法を用いました。対策には DNS ログに対する DGA 分類器、パッシブ DNS の活用、新たに観測されたアルゴリズム由来名のシンクホール化、EDR による NXDOMAIN バーストの検知などが有効です。
ドメイン生成アルゴリズム(DGA) からどのように防御しますか?
ドメイン生成アルゴリズム(DGA) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ドメイン生成アルゴリズム(DGA) の別名は何ですか?
一般的な別名: DGA, アルゴリズム生成 C2 ドメイン。
● 関連用語
- malware№ 201
コマンド&コントロール(C2)
攻撃者が侵害済みシステムとの通信を維持し、指令を送るために用いるインフラと通信チャネル。
- malware№ 119
ボットネット
マルウェアに感染したインターネット接続機器を攻撃者が遠隔操作し、協調動作を行わせるネットワーク。
- attacks№ 407
ファストフラックス
ボットネットが悪意ある ドメインの IP アドレスを多数の侵害ホスト間で短時間で切り替え、テイクダウンとブロックに抗う DNS テクニック。
- attacks№ 350
ドメインシャドーイング
攻撃者が正規ドメインの所有者のレジストラ アカウントを侵害し、信頼された親ドメイン配下に悪意あるサブドメインを密かに作成する攻撃。
- forensics-ir№ 650
マルウェア解析
悪性検体を構造的に調査し、機能・出所・侵害指標・影響を把握するフォレンジック作業。
● 関連項目
- № 792パッシブ DNS