Algoritmus generování domény - Domain generation algorithm

Algoritmy generování domén (DGA) jsou algoritmy vidět v různých rodinách malware které se používají k pravidelnému generování velkého počtu názvy domén které lze použít jako setkávací body s jejich velení a řízení serverů. Velký počet potenciálních bodů setkávání ztěžuje účinné ukončení činnosti donucovacích orgánů botnety, protože infikované počítače se každý den pokusí kontaktovat některé z těchto doménových jmen, aby dostaly aktualizace nebo příkazy. Použití kryptografie veřejného klíče v kódu malwaru je pro orgány činné v trestním řízení a další aktéry neproveditelné napodobovat příkazy z řadičů malwaru, protože někteří červi automaticky odmítnou jakékoli aktualizace, podepsaný řadiči malwaru.

Napadený počítač může například vytvořit tisíce doménových jmen, například: www. .com a pokusil by se kontaktovat část z nich za účelem přijetí aktualizace nebo příkazů.

Vložení DGA namísto seznamu dříve vygenerovaných domén (pomocí příkazových a řídicích serverů) domén v neobrobeném binárním kódu malwaru chrání před výpisem řetězců, který by mohl být preventivně přiveden do zařízení na blacklisting sítě, aby se pokusil omezit odchozí komunikaci infikovaných hostitelé v rámci podniku.

Tuto techniku ​​popularizovala rodina červů Conficker.a a .b, které zpočátku generovaly 250 doménových jmen denně. Počínaje programem Conficker.C by malware generoval každý den 50 000 doménových jmen, z nichž by se pokusil kontaktovat 500, což by infikovanému počítači poskytlo 1% možnost aktualizace každý den, pokud by řadiči malwaru registrovali pouze jednu doménu denně. Aby se zabránilo infikovaným počítačům v aktualizaci malwaru, bylo by nutné, aby donucovací orgány předem zaregistrovaly 50 000 nových doménových jmen každý den. Z pohledu vlastníka botnetu musí zaregistrovat pouze jednu nebo několik domén z několika domén, na které by se každý robot každý den dotazoval.

V poslední době byla tato technika přijata dalšími autory malwaru. Podle firmy zabývající se bezpečností sítí Damballa, 5 nejvýznamnějších založených na DGA zločinný software rodiny jsou od roku 2011 Conficker, Murofet, BankPatch, Bonnana a Bobax.[1]

DGA může také kombinovat slova z a slovník generovat domény. Tyto slovníky mohou být napevno zakódovány v malwaru nebo převzaty z veřejně přístupného zdroje.[2] Domény generované slovníkem DGA mají tendenci být obtížněji detekovatelné kvůli jejich podobnosti s legitimními doménami.

Příklad

def generovat_domena(rok: int, Měsíc: int, den: int) -> str:    "" "Generovat název domény pro dané datum." ""    doména = ""    pro i v rozsah(16):        rok = ((rok ^ 8 * rok) >> 11) ^ ((rok & 0xFFFFFFF0) << 17)        Měsíc = ((Měsíc ^ 4 * Měsíc) >> 25) ^ 16 * (Měsíc & 0xFFFFFFF8)        den = ((den ^ (den << 13)) >> 19) ^ ((den & 0xFFFFFFFE) << 12)        doména += chr(((rok ^ Měsíc ^ den) % 25) + 97)    vrátit se doména + „.com“

Například 7. ledna 2014 by tato metoda vygenerovala název domény intgmxdeadnxuyla.com, zatímco následující den se vrátí axwscwsslmiagfah.com. Tento jednoduchý příklad byl ve skutečnosti použit jako malware CryptoLocker, než přešla na sofistikovanější variantu.

Detekce

DGA doména[3] názvy lze blokovat pomocí černých seznamů, ale pokrytí těchto černých seznamů je buď nízké (veřejné černé listiny), nebo velmi nekonzistentní (černé listiny komerčních dodavatelů).[4] Detekční techniky patří do dvou hlavních tříd: reakční a real-time. Reakční detekce se spoléhá na bez dohledu shlukovací techniky a kontextové informace, jako jsou síťové odpovědi NXDOMAIN,[5] KDO JE informace,[6] a pasivní DNS[7] provést posouzení legitimity názvu domény. Nedávné pokusy o zjišťování jmen domén DGA pomocí hluboké učení techniky byly velmi úspěšné, s Skóre F1 o více než 99%.[8] Tyto metody hlubokého učení se obvykle využívají LSTM a CNN architektury,[9] i když hluboko vkládání slov ukázaly velký příslib pro detekci slovníku DGA.[10] Tyto přístupy k hlubokému učení však mohou být zranitelné kontradiktorní techniky.[11][12]

Viz také

Reference

  1. ^ „Top 5 nejrozšířenějších rodin Crimeware založených na DGA“ (PDF). Damballa. p. 4. Archivovány od originál (PDF) dne 2016-04-03.
  2. ^ Plohmann, Daniel; Yakdan, Khaled; Klatt, Michael; Bader, Johannes; Gerhards-Padilla, Elmar (2016). „Komplexní studie měření malwaru generujícího doménu“ (PDF). 25. bezpečnostní sympozium USENIX: 263–278.
  3. ^ Shateel A. Chowdhury, „ALGORITMUS GENERACE DOMÉNY - DGA V MALWARU“, 30. srpna 2019.
  4. ^ Kührer, Marc; Rossow, Christian; Holz, Thorsten (2014), Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios (eds.), „Paint It Black: Evaluation the Effectiveness of Malware Blacklists“ (PDF), Výzkum útoků, vniknutí a obranySpringer International Publishing, 8688, s. 1–21, doi:10.1007/978-3-319-11379-1_1, ISBN  9783319113784, vyvoláno 2019-03-15
  5. ^ Antonakakis, Manos; et al. (2012). „Od Throw-Away Traffic to Bots: Detection the Rise of DGA-Based Malware“. 21. bezpečnostní symposium USENIX: 491–506.
  6. ^ Curtin, Ryan; Gardner, Andrew; Grzonkowski, Slawomir; Kleymenov, Alexey; Mosquera, Alejandro (2018). "Detekce domén DGA s opakujícími se neuronovými sítěmi a vedlejšími informacemi". arXiv:1810.02023 [cs.CR ]. Citovat má prázdné neznámé parametry: | via = a | objem = (Pomoc)
  7. ^ Pereira, Mayana; Coleman, Shaun; Yu, Bin; De Cock, Martine; Nascimento, Anderson (2018), "Extrakce slovníku a detekce algoritmicky generovaných doménových jmen v pasivním provozu DNS" (PDF), Výzkum útoků, vniknutí a obrany, Přednášky v informatice, 11050, Springer International Publishing, s. 295–314, doi:10.1007/978-3-030-00470-5_14, ISBN  978-3-030-00469-9, vyvoláno 2019-03-15
  8. ^ Woodbridge, Jonathan; Anderson, Hyrum; Ahuja, Anjum; Grant, Daniel (2016). "Předpovídání algoritmů generování domény se sítěmi s dlouhodobou krátkodobou pamětí". arXiv:1611.00791 [cs.CR ]. Citovat má prázdné neznámé parametry: | via = a | objem = (Pomoc)
  9. ^ Yu, Bin; Pan, Jie; Hu, Jiaming; Nascimento, Anderson; De Cock, Martine (2018). „Detekce názvů domén DGA na základě úrovně znaků“ (PDF). 2018 Mezinárodní společná konference o neuronových sítích (IJCNN). Rio de Janeiro: IEEE: 1–8. doi:10.1109 / IJCNN.2018.8489147. ISBN  978-1-5090-6014-6.
  10. ^ Koh, Joewie J .; Rhodes, Barton (2018). "Inline detekce algoritmů generování domén s kontextovými vkládáním slov". Mezinárodní konference IEEE 2018 o velkých datech (Big Data). Seattle, WA, USA: IEEE: 2966–2971. arXiv:1811.08705. doi:10.1109 / BigData.2018.8622066. ISBN  978-1-5386-5035-6.
  11. ^ Anderson, Hyrum; Woodbridge, Jonathan; Bobby, Filar (2016). "DeepDGA: Adversarially-Tuned Domain Generation and Detection". arXiv:1610.01969 [cs.CR ]. Citovat má prázdné neznámé parametry: | objem = a | via = (Pomoc)
  12. ^ Sidi, Lior; Nadler, Asaf; Shabtai, Asaf (2019). „MaskDGA: Black-box Evasion Technique Against DGA Classifiers and Adversarial Defends“. arXiv:1902.08909 [cs.CR ]. Citovat má prázdné neznámé parametry: | objem = a | via = (Pomoc)


Další čtení