¿Por qué no hay más familias de malware DGA que usen listas de palabras?

0

De todas las familias de malware conocidas que usan DGA para comunicarse con su C2, solo muy pocas usan DGA que generan nombres de dominio de apariencia no aleatoria. Por ejemplo, Suppobox genera nombres de dominio al seleccionar aleatoriamente unas pocas palabras de una lista de palabras codificada y concatenarlas juntas. Rovnix hace lo mismo pero usa copias de acceso público de la Constitución de los Estados Unidos en lugar de una lista codificada.

El objetivo de esto es bastante claro: evitar los algoritmos utilizados por el software de seguridad que detecta los nombres de dominio de apariencia aleatoria. Así que esto me hace preguntarme: ¿por qué no hacen esto más DGA? Para un diseñador de malware, ¿cuáles son las posibles desventajas de usar esta estrategia?

    
pregunta kjwill555 29.08.2017 - 01:33
fuente

1 respuesta

1

Los sombreros negros también tienen recursos limitados, al igual que los sombreros blancos. Por lo tanto, mientras una técnica funcione lo suficientemente bien como para un malware, no hay mucha motivación para cambiarla. En cambio, es más efectivo mejorar las partes del malware que se ven más afectadas por los avances de los sombreros blancos. Pero, si el algoritmo DGA actual afecta demasiado la funcionalidad del malware, los autores probablemente se moverán a algoritmos diferentes o usarán una arquitectura de comunicación C + C diferente.

    
respondido por el Steffen Ullrich 29.08.2017 - 09:23
fuente

Lea otras preguntas en las etiquetas