DGA(ドメイン生成アルゴリズム)-マルウェア
一部のマルウェアは、ゾンビが回復力のある方法でC&Cと通信できるようにするために、DGA(ドメイン生成アルゴリズム)を使用してランダムにドメインを生成します。
私の知る限り、TLDドメインを取得する方法はありません。
Wikipediaで、たとえば、Conficker 50000ドメイン/日 を読んだとき、それらのドメインが定期的に購入されているとは思えません。私はおそらく何かを逃している。
これらのドメインを取得する方法を知っている人はいますか?
私はあなたが参照していると思います このウィキペディア あなたの情報のための記事基本的に、マルウェアはドメイン名を登録せず、可能なドメイン名のリストを生成するだけです。攻撃者は、DGAの「可能な」出力であるドメイン名を登録します。
たとえば、DGAが次のような場合:
x =ランド(10)
ドメイン= "xyz" + x + ".com"
連絡先(ドメイン)
攻撃者がxyz2.comを登録すると、ボットは10%の確率で正しいドメイン名を生成してチェックインします。数週間のうちに、感染したマシンがxyz2を生成する可能性が高くなります。 comとC2に連絡してください。
ここでのポイントは、DGAが「潜在的な」ドメイン名を生成するだけであり、そのうちの1つが(ある時点で)攻撃者C2に接続することです。
ConfickerはC&Cサーバーに接続するために本当に50000の作業ドメインを必要としますか?確かに、一握りで十分です。 Confickerは50000個のドメインを試しますが、このリストのどこかに、応答性の高いC&Cサーバーがあることがわかっています。
一方、当局はConfickerをブロックするために1日あたり50000ドメインを購入できますか?確かに、ここでは高すぎるでしょう。
当局は1日あたり50000ドメインをブロックできますか?ここでも、これはオプションではありません。このリストには、正当な目的ですでに使用されている名前がある可能性があるためです。
50000は、攻撃者と防御者が攻撃者のために必要とする努力に非対称性を生み出すように設計された単なる値です。
- 攻撃者は、自分の仕事を終わらせるために少数のドメインを作成する必要があります。
- 防御者は、悪意のあるドメインを見つけるために、数十の可能なドメインをスキャンする必要があります。