域名生成算法(DGA)
域名生成算法(DGA) 是什么?
域名生成算法(DGA)恶意软件用于按确定性规则批量生成候选域名,以便被感染主机找到其命令控制服务器的算法。
域名生成算法(DGA)是嵌入在恶意软件中的代码,能基于日期或其他共享种子,每天生成成百上千个伪随机域名。被感染的主机依次尝试当天的域名,攻击者只需注册其中少数即可与僵尸网络汇合。DGA 能击败静态阻断列表,因为防守方无法事先穷举所有可能的 C2 域名。Conficker 因每天生成 5 万个域名而著名,Necurs、Murofet 以及 Mirai 的部分变种也使用了该技术。防御措施包括对 DNS 日志运行 DGA 分类器、被动 DNS 查询、对新出现的算法域名进行 sinkhole,以及 EDR 检测高频 NXDOMAIN 流量。
● 示例
- 01
Conficker.C 每天在多个顶级域下生成 5 万个候选域名。
- 02
Necurs 与 Murofet 使用以日期为种子的 DGA 与各自的 C2 通道会合。
● 常见问题
域名生成算法(DGA) 是什么?
恶意软件用于按确定性规则批量生成候选域名,以便被感染主机找到其命令控制服务器的算法。 它属于网络安全的 攻击与威胁 分类。
域名生成算法(DGA) 是什么意思?
恶意软件用于按确定性规则批量生成候选域名,以便被感染主机找到其命令控制服务器的算法。
域名生成算法(DGA) 是如何工作的?
域名生成算法(DGA)是嵌入在恶意软件中的代码,能基于日期或其他共享种子,每天生成成百上千个伪随机域名。被感染的主机依次尝试当天的域名,攻击者只需注册其中少数即可与僵尸网络汇合。DGA 能击败静态阻断列表,因为防守方无法事先穷举所有可能的 C2 域名。Conficker 因每天生成 5 万个域名而著名,Necurs、Murofet 以及 Mirai 的部分变种也使用了该技术。防御措施包括对 DNS 日志运行 DGA 分类器、被动 DNS 查询、对新出现的算法域名进行 sinkhole,以及 EDR 检测高频 NXDOMAIN 流量。
如何防御 域名生成算法(DGA)?
针对 域名生成算法(DGA) 的防御通常结合技术控制与运营实践,详见上方完整定义。
域名生成算法(DGA) 还有哪些其他名称?
常见的别称包括: DGA, 算法生成的 C2 域名。
● 相关术语
- malware№ 201
命令与控制(C2)
攻击者用来与被入侵系统保持通信并下发指令的基础设施和通道。
- malware№ 119
僵尸网络
由受恶意软件感染、由攻击者远程控制以执行协同动作的联网设备组成的网络。
- attacks№ 407
Fast Flux 快速通量
僵尸网络使用的 DNS 技术,在许多被入侵主机间快速轮换恶意域名背后的 IP 地址,以抵抗下架和封禁。
- attacks№ 350
域名暗影攻击(Domain Shadowing)
攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。
- forensics-ir№ 650
恶意软件分析
对恶意样本进行结构化研究,以了解其功能、来源、入侵指标以及对受影响系统的影响。
● 参见
- № 792被动 DNS