笔记本系列,如果有什么问题请评论。 请轻轻喷一下。
域名生成算法(DGA )僵尸网络威胁着互联网用户的安全。 通过僵尸网络感染恶意软件的僵尸主机由僵尸控制器通过CC主机控制。 僵尸主机经常利用DNS认证服务器解析域名。 目的是制作与CC服务器的通信路径,通过取得控制命令,进行网络的恶意活动。
早期,僵尸主机通过轮询方式访问硬编码的CC域名或IP访问服务器获取域名,这种方式在安全人员反向进行后会被有效屏蔽。 目前,黑客攻击者为了防止恶意域名被发现,使用Domain Flux或IP Flux快速生成大量的恶意域名。 Domain Flux通过不断转换域名来指向同一个IP。 IP Flux只有一个域名,可以不断地转换IP,一个域名可以使用多个IP。域名生成算法(Domain Generation Algorithm)是利用随机字符产生CC域名,以逃避域名黑名单的检测的技术手段。
DGA运行方式攻击者(bot-master )使用种子运行DGA,生成大量域名,随机选择较少的域名进行注册(可能生成5000个只注册1-2个) )。 攻击者注册其域名并将其指向其CC服务器。
受害方(bot )使用同样的种子执行DGA,生成大量的域名,逐个访问这些域名,检测是否存在。 如果该域名没有注册,程序会继续检测其他域名,如果该域名注册了【如果被某个生成的域名接管了该怎么办? 不处理。 因为这些域名无法发出攻击指令,所以看设计方案是否继续进行轮询],恶意软件会选择使用该域名联系CC服务器。
DGA使用的种子有各种各样的类型,包括日期、社交网络搜索的热字、随机数或词典,生成一系列字符前缀,添加TLD(com、org等)后最终会添加域名AGD (algorithd )
【你怎么确定同一个物种? 嵌入程序。 但是,即使反过来,安全人员也无法确定种子是什么。 因为攻击者无法知道将哪个字段作为种子】
DGA的危害DGA每天可以生成上千个恶意域名,但是只选择了很小的一部分作为后续的攻击域名,这比传统的硬编码恶意域名更难检测。
DGA的优缺点DGA的优点1、使用DGA的僵尸网络,有能够对抗域名黑名单屏蔽、静态声望系统、特征码检测系统的比较稳健的地址方式。
2、DGA是理想的备用信道,并且可以作为back up手段来恢复诸如Zeus v3之类的僵尸网络控制。
DGA的缺点1、需要一一方便AGD,地址效率低。
2、大量的NXDomain业务便于检测通信。
3、如果AGD数量过多,由于时间和金钱成本的开销,攻击者很难全部注册,防御者可以抢劫并用sinkhole手段测量或劫持僵尸网络。
DGA分类按种子性质分类1,根据种子是否依赖时间分为依赖时间和不依赖时间两大类。
时间来自被入侵主机的系统时间,或来自HTTP响应消息的日期字段。
2、种子是否确定:确定的和不确定的。
大多数DGA的种子已经确定,能够预测该DGA将来使用的种子和由其产生的域名。
有些DGA物种是不确定的
上述两种方法将DGA分为四类。
TID、TDD、TDN、TIN
根据生成算法分类1、基于算术(Arithmetic-based )的DGA :
根据ASCII码计算一系列可以直接表示为域名的数字,或者计算指向DGA用DGA硬编码的字符表中的字符的偏移值。 大多数DGA属于这个类别。
2、基于散列的DGA :
使用十六进制表示的哈希值生成AGD。 该DGA经常使用SHA256和MD5两种哈希值。
3、基于单词列表的DGA :
从一个或多个单词列表中选择单词并连接到一个域名的域名会变得更加混乱。
4、基于置换的DGA :
通过替换一个域名生成多个新域名。
对目前发现的43种DGA进行了分类,得到了以下表格。
【图】
什么是种子是个比较难的问题,DGA算法比较容易找到。
生成大量的DGA域名,去冲突,emmm不能冲突,真的不能冲突。
FANCI :基于特征的自动化NXDomain分类是阅读和整理吧。
Reference
[1]域名检测技术的PPT,复杂的翅膀,raddy,犹豫的音频,2018年秋天。
[2] fanci : feature-basedautomatednxdomainclassificationandintelligence,Samuel Schppen,Dominik Teubert,patrickhermmanch