Алгоритм генерации доменов (DGA)
Что такое Алгоритм генерации доменов (DGA)?
Алгоритм генерации доменов (DGA)Алгоритм во вредоносном ПО, детерминированно создающий большое число кандидатных доменных имен, чтобы заражённые узлы могли найти свой управляющий сервер.
Domain Generation Algorithm — встроенный в вредонос код, который ежедневно создает сотни или тысячи псевдослучайных доменных имен на основе даты или иного общего seed. Заражённые хосты последовательно перебирают сегодняшние домены; атакующему достаточно зарегистрировать лишь несколько, чтобы встретиться с ботнетом. DGA побеждают статические блок-листы, поскольку защитники не могут заранее перечислить все возможные C2. Conficker прославился генерацией 50000 доменов в день, технику применяли также Necurs, Murofet и варианты Mirai. Защита: DGA-классификаторы по DNS-логам, пассивный DNS, sinkhole новых алгоритмических имен и EDR-детектирование всплесков NXDOMAIN.
● Примеры
- 01
Conficker.C создавал 50000 кандидатных доменов в день на нескольких TLD.
- 02
Necurs и Murofet использовали DGA, засеянные датой, чтобы встретиться со своим C2.
● Частые вопросы
Что такое Алгоритм генерации доменов (DGA)?
Алгоритм во вредоносном ПО, детерминированно создающий большое число кандидатных доменных имен, чтобы заражённые узлы могли найти свой управляющий сервер. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Алгоритм генерации доменов (DGA)?
Алгоритм во вредоносном ПО, детерминированно создающий большое число кандидатных доменных имен, чтобы заражённые узлы могли найти свой управляющий сервер.
Как работает Алгоритм генерации доменов (DGA)?
Domain Generation Algorithm — встроенный в вредонос код, который ежедневно создает сотни или тысячи псевдослучайных доменных имен на основе даты или иного общего seed. Заражённые хосты последовательно перебирают сегодняшние домены; атакующему достаточно зарегистрировать лишь несколько, чтобы встретиться с ботнетом. DGA побеждают статические блок-листы, поскольку защитники не могут заранее перечислить все возможные C2. Conficker прославился генерацией 50000 доменов в день, технику применяли также Necurs, Murofet и варианты Mirai. Защита: DGA-классификаторы по DNS-логам, пассивный DNS, sinkhole новых алгоритмических имен и EDR-детектирование всплесков NXDOMAIN.
Как защититься от Алгоритм генерации доменов (DGA)?
Защита от Алгоритм генерации доменов (DGA) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Алгоритм генерации доменов (DGA)?
Распространённые альтернативные названия: DGA, Алгоритмические C2-домены.
● Связанные термины
- malware№ 201
Командно-контрольная инфраструктура (C2)
Инфраструктура и каналы, через которые злоумышленник поддерживает связь со скомпрометированными системами и передаёт им команды.
- malware№ 119
Ботнет
Сеть подключённых к интернету устройств, заражённых вредоносным ПО и удалённо управляемых злоумышленником для координированных действий.
- attacks№ 407
Fast flux
DNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие.
- attacks№ 350
Domain shadowing
Атака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом.
- forensics-ir№ 650
Анализ вредоносного ПО
Структурированное исследование вредоносного образца для понимания его функциональности, происхождения, индикаторов компрометации и воздействия на затронутые системы.
● См. также
- № 792Пассивный DNS