DGA (algoritmo de generación de dominios) - malwares

Supongo que está haciendo referencia al artículo esta Wikipedia para su información. Básicamente, el malware no registra los nombres de dominio, solo genera una lista de posibles nombres de dominio. El atacante registra nombres de dominio que son salidas "posibles" de la DGA.

Por ejemplo, si la DGA es algo como:

  

x = rand (10)

     

domain="xyz" + x + ".com"

     

contacto (dominio)

Ahora el atacante registra xyz2.com, el bot tiene un 10% de probabilidad de generar el nombre de dominio correcto para registrarse. En el transcurso de unas semanas, es muy probable que, en algún momento, la máquina infectada Genere xyz2.com y contacte con el C2.

El punto aquí es que la DGA solo genera nombres de dominio "potenciales", uno de los cuales probablemente se conectará (en algún momento) a los atacantes C2.

¿Conficker realmente necesita 50000 dominios de funcionamiento para ponerse en contacto con el servidor de C & C? Ciertamente no, un puñado es suficiente. Conficker intentará 50000 dominios sabiendo que, en algún lugar de esta lista, encontrará un servidor C & C responsivo.

¿Por otro lado, pueden las autoridades comprar 50000 dominios por día para bloquear Conficker? Ciertamente no, aquí sería demasiado caro.

¿Las autoridades pueden bloquear 50000 dominios por día? Aquí tampoco es una opción, ya que en esta lista puede haber nombres que ya se utilizan con fines legítimos.

50000 es solo un valor diseñado para crear una asimetría en el esfuerzo que necesitan los atacantes y los defensores en favor del atacante:

• Los atacantes solo tienen que crear un puñado de dominios para hacer su trabajo,
• Los defensores tienen que escanear docenas de miles de dominios posibles para encontrar los maliciosos.