Algoritmo de geracao de dominios (DGA)
O que é Algoritmo de geracao de dominios (DGA)?
Algoritmo de geracao de dominios (DGA)Algoritmo usado por malware para gerar deterministicamente grandes quantidades de nomes de dominio candidatos para que hosts infetados encontrem o seu servidor C2.
Um Domain Generation Algorithm e codigo embutido no malware que produz centenas ou milhares de dominios pseudoaleatorios por dia, semeados pela data ou outro valor partilhado. Os hosts infetados tentam os dominios do dia em sequencia; o atacante so precisa de registar alguns para se encontrar com o seu botnet. Os DGAs derrotam blocklists estaticas porque os defensores nao conseguem enumerar antecipadamente todos os C2 possiveis. O Conficker ficou famoso por gerar 50000 dominios por dia, e Necurs, Murofet e variantes do Mirai usaram a tecnica. Defesas: classificadores DGA sobre logs DNS, DNS passivo, sinkholing de novos nomes algoritmicos e detecao EDR de rajadas de NXDOMAIN.
● Exemplos
- 01
O Conficker.C gerava 50000 dominios candidatos por dia em varios TLDs.
- 02
Necurs e Murofet usaram DGAs semeados pela data para se encontrarem com o seu canal C2.
● Perguntas frequentes
O que é Algoritmo de geracao de dominios (DGA)?
Algoritmo usado por malware para gerar deterministicamente grandes quantidades de nomes de dominio candidatos para que hosts infetados encontrem o seu servidor C2. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Algoritmo de geracao de dominios (DGA)?
Algoritmo usado por malware para gerar deterministicamente grandes quantidades de nomes de dominio candidatos para que hosts infetados encontrem o seu servidor C2.
Como funciona Algoritmo de geracao de dominios (DGA)?
Um Domain Generation Algorithm e codigo embutido no malware que produz centenas ou milhares de dominios pseudoaleatorios por dia, semeados pela data ou outro valor partilhado. Os hosts infetados tentam os dominios do dia em sequencia; o atacante so precisa de registar alguns para se encontrar com o seu botnet. Os DGAs derrotam blocklists estaticas porque os defensores nao conseguem enumerar antecipadamente todos os C2 possiveis. O Conficker ficou famoso por gerar 50000 dominios por dia, e Necurs, Murofet e variantes do Mirai usaram a tecnica. Defesas: classificadores DGA sobre logs DNS, DNS passivo, sinkholing de novos nomes algoritmicos e detecao EDR de rajadas de NXDOMAIN.
Como se defender contra Algoritmo de geracao de dominios (DGA)?
As defesas contra Algoritmo de geracao de dominios (DGA) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Algoritmo de geracao de dominios (DGA)?
Nomes alternativos comuns: DGA, Dominios C2 algoritmicos.
● Termos relacionados
- malware№ 201
Comando e controlo (C2)
Infraestrutura e canais que os atacantes usam para manter comunicação com sistemas comprometidos e enviar-lhes instruções.
- malware№ 119
Botnet
Rede de dispositivos ligados à Internet infetados por malware e controlados remotamente por um atacante para executar ações coordenadas.
- attacks№ 407
Fast flux
Tecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios.
- attacks№ 350
Domain shadowing
Ataque em que um criminoso compromete a conta registar do dono de um dominio legitimo e cria silenciosamente subdominios maliciosos sob o dominio principal de confianca.
- forensics-ir№ 650
Análise de malware
Estudo estruturado de uma amostra maliciosa para compreender o seu funcionamento, origem, indicadores de comprometimento e impacto nos sistemas afetados.
● Veja também
- № 792DNS passivo