DGA (algoritmo de generación de dominios) - malwares

3

Algunos malware utilizan DGA (algoritmo de generación de dominios) para generar dominios de forma aleatoria para que los zombies puedan comunicarse de manera resiliente con el C & C.

Por lo que sé, no hay forma de adquirir un dominio de TLD sino de pagar.

Cuando leí en Wikipedia que, por ejemplo, Conficker generaría 50000 dominios / día , casi no lo imagino que esos dominios han sido comprados regularmente. Probablemente me esté perdiendo algo.

¿Alguien sabe cómo se adquieren estos dominios?

    
pregunta reike 22.06.2016 - 15:04
fuente

2 respuestas

3

Supongo que está haciendo referencia al artículo esta Wikipedia para su información. Básicamente, el malware no registra los nombres de dominio, solo genera una lista de posibles nombres de dominio. El atacante registra nombres de dominio que son salidas "posibles" de la DGA.

Por ejemplo, si la DGA es algo como:

  

x = rand (10)

     

domain="xyz" + x + ".com"

     

contacto (dominio)

Ahora el atacante registra xyz2.com, el bot tiene un 10% de probabilidad de generar el nombre de dominio correcto para registrarse. En el transcurso de unas semanas, es muy probable que, en algún momento, la máquina infectada Genere xyz2.com y contacte con el C2.

El punto aquí es que la DGA solo genera nombres de dominio "potenciales", uno de los cuales probablemente se conectará (en algún momento) a los atacantes C2.

    
respondido por el HashHazard 22.06.2016 - 15:15
fuente
1

¿Conficker realmente necesita 50000 dominios de funcionamiento para ponerse en contacto con el servidor de C & C? Ciertamente no, un puñado es suficiente. Conficker intentará 50000 dominios sabiendo que, en algún lugar de esta lista, encontrará un servidor C & C responsivo.

¿Por otro lado, pueden las autoridades comprar 50000 dominios por día para bloquear Conficker? Ciertamente no, aquí sería demasiado caro.

¿Las autoridades pueden bloquear 50000 dominios por día? Aquí tampoco es una opción, ya que en esta lista puede haber nombres que ya se utilizan con fines legítimos.

50000 es solo un valor diseñado para crear una asimetría en el esfuerzo que necesitan los atacantes y los defensores en favor del atacante:

  • Los atacantes solo tienen que crear un puñado de dominios para hacer su trabajo,
  • Los defensores tienen que escanear docenas de miles de dominios posibles para encontrar los maliciosos.
respondido por el WhiteWinterWolf 22.06.2016 - 15:18
fuente

Lea otras preguntas en las etiquetas