具有动态种子的 DGA 系列:DNS 流量中的意外行为

最新推荐文章于 2024-09-14 20:30:05 发布
最新推荐文章于 2024-09-14 20:30:05 发布
阅读量586 收藏 13
点赞数 22
文章标签: 网络 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51524329/article/details/141505365
版权

介绍

在这篇博文中,我们将简要概述 DGA,然后分享一些有趣的发现。

Akamai 安全情报小组能够分析来自CacheServe DNS 服务器的 DNS 查询的匿名日志。作为我们僵尸网络检测工作的一部分,我们观察和监控了 100 多个已知 DGA 家族的实际行为。

我们发现,动态种子 DGA(DGA 的一个子集)的行为通常与逆向工程 DGA 算法本身所暗示的行为截然不同。更准确地说,我们看到 DGA 域名在预期生成日期之前被激活。

什么是域生成算法?

恶意软件(例如僵尸网络)通常需要与集中式服务器通信以接收命令或更新。

DGA是恶意软件用来生成大量半随机域名的算法。

受感染的设备会定期尝试连接到 DGA 提供的整个算法生成的域集。只需成功访问一个域即可与 C2 服务器建立连接。这使得网络安全研究人员更难切断 C2 通信。

工作原理

例如,想象一个僵尸网络使用假设的 DGA 家族或变体,每天生成 500 个恶意域名。

使用此 DGA 系列的受感染设备每天都会查询这 500 个域名。僵尸网络的 C2 服务器每天都会生成相同的 500 个域名(我们假设使用的是相同的种子 — 稍后会详细介绍)。但是,恶意行为者只需控制这 500 个域名中的 1 个即可与受感染的机器(机器人)建立通信。

有时种子会发生变化,从而生成一组新的域名,然后重新开始这个过程。这使得安全研究人员很难阻止恶意流量,因为域名经常变化,而且通常是随机的域名,例如“ghlidae[.]com”。

顶级域名 (TLD) 是硬编码的,并且大多限于那些获取成本低廉的 TLD。

目前存在许多不同的 DGA。一旦安全社区发现一种新算法(有时设法对其进行逆向工程),通常会为其赋予一个“家族名称”。一些最著名的 DGA 家族包括 Conficker、Mirai和 CryptoLocker。

DGA 的历史

僵尸网络、犯罪软件和

最低0.47元/天 解锁文章
红云谈安全
关注
DGA域名介绍
墨痕诉清风的博客
01-28 1万+
一、引言 恶意软件如今已经发展为威胁网络安全的头号公敌,为了逃避安全设施的检测,其制作过程也越来越复杂,其一个典型做法是在软件集成DGA(Domain Generation Algorithm)算法,产生速变域名,该方式作为备用或者主要的与C2服务器通信的手段,可以构造更加鲁棒的僵尸网络,做到对感染肉鸡的持续性控制。对应地,针对DGA算法的研究现在也是安全圈讨论的热点话题,学术界和工业界也有大量DGA域名检测的工作,但是在实际使用存在误报过多的现象。由于传统DNS使用明文进行数据传输,造成严重的用户
dns隧道攻击原理及常用工具流量分析
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-20 1382
DNS隧道原理:核心思想:端口不和服务绑定,可以传输任何数据。正常网络之间的通信,是发生在两台机器建立TCP连接之后的,在进行通信时:如果目标是IP,则会直接发送报文,如果是域名,则将域名解析为IP再通信。C&C服务器在建立连接后将指令传递给客户端上的后门程序。 DNS隧道的原理就是:在后门程序进行DNS查询时,如果查询的域名不在DNS服务器本机的缓存,就会访问互联网进行查询,然后返回结果,如果互联网上有一台攻击者设置的服务器,那么服务器就可以依靠域名解析的响应进行数据包的交换,从DNS协议的角
基于DGADNS流量僵尸网络检测1
08-03
DGA-Based Botnet Detection Using DNS TrafficYong-lin Zhou1, Qing-shan Li2, Qidi
DGA(域名生成算法)/DNS tunnel
angelliusa的博客
02-09 2500
流影之DGA域名检测,识别网络威胁行为
开源流影项目的博客
07-07 1356
流影基于神经网络深度学习技术,实现对DNS流量DGA域名的实时监测和告警,并将可疑流量特征以可视化的方式呈现,能够帮助用户快速定性,有效缩短分析响应时间。
域名生成算法(DGA)基础总结
热门推荐
三寸落木
10-29 1万+
课堂笔记系列,有任何问题请评论,求轻喷。 域名生成算法(DGA) 僵尸网络正在威胁着互联网网民的安全。僵尸网络受到恶意软件感染的僵尸主机由僵尸控制者通过C&C主机进行控制。僵尸主机常常利用DNS授权服务器来解析域名,目的是为了跟C&C服务器创建通信通道,然后获取控制命令,从而进行网络恶意活动。 在早期,僵尸主机通产采用轮询的方法访问硬编码的C&C域名或IP来访问服务器获取...
DGA- An Efficient Genetic Algorithm DGA:一种高效的遗传算法.doc
04-03
但是,我可以根据标题提到的“DGA- An Efficient Genetic Algorithm”(一种高效的遗传算法,简称DGA)的概念,来详细说明遗传算法(Genetic Algorithm, GA)的相关知识点。 遗传算法是一种模拟自然界生物进化...
flightsim工具生成数据恶意流量数据,模拟DNS隧道、DGA通信、对活跃的C2服务器.zip
08-06
flightsim工具生成数据恶意流量数据,模拟DNS隧道、DGA通信、对活跃的C2服务器.zip
DGA域名
Delphinidae
04-09 4200
什么是DGAdga是一种算法,作用生成随机数的。 什么是dga域名? 是用dga算法生成的域名,这种域名通常硬编码在恶意软件。 为什么要使用dga域名? 黑客在写恶意程序时使用(c&c),为了绕过域名黑名单检测(绕过防火墙)。绕过拦截和阻断、网络畅通才能达到恶意程序通信的目的。 dga域名能在互联网访问? 大多数dga域名在互联网环境是访问不到的,为什么?因为没有注册,黑客可以在软件...
一个简单的DGA(Domain Generate Algorithm)
CopyCat
11-28 1万+
黑产的规模和技术是越来越强了,想到一句话:任何人都被骗过,所以同样的任何人都被黑过。 针对大规模简单而粗暴的DDoS网络破坏是如何实现的呢,通常除了一些大规模有组织且政府允许的,还有各种各样的个人组织,目的都是为了利益,画了张图 通常在获取0-day漏洞后,马上编写针对该漏洞的代码,再把早就开发后的其它组件一起打包一下,取个霸气的英文名,就诞生了一个新的病毒,整个过程就像发明一种...
各种疑似DGA域名大全
weixin_43231078的博客
10-20 1053
网络流量检测,经常有疑似DGA域名或者域名长度异常等的告警。后来分析,一般都是文域名经过编码之后变得奇奇怪怪。现在收集几种域名编码,并且记下解码的方式。 1、斜杠数字域名。 www.\230\156\186\230\158\132\228\191\161\230\129\175\229\143\152\230\155\180\231\148\179\232\175\183.com www.\230\156\186\230\158\132\228\191\161\230\129\175\229\14
4.网络编程
weixin_45476535的博客
09-14 374
程序注册端口:1024-49151。单个协议下,端口号不能冲突。公有端口0-1023。
使用堡垒机登录ftp服务报网络不可达错误
ajax_beijing_java的博客
09-14 128
解决方法:由于不想安装额外的服务在服务器上,于是想到使用sftp服务代替ftp服务,发现是可以使用的。22端口默认就是启动的,在堡垒机上加了sftp服务,再次连接服务器并使用filezila传输文件 ,文件可以正常传输。至此,问题得到解决。场景:开发同事想使用ftp传输服务,连接服务器时报网络不可达错误。排查发现,如果想使用ftp服务,需要在服务器上部署ftp服务,21端口才会存在,才可以访问该服务。
如何在DPDK实现协议解析?
Do my best!
09-10 679
在 DPDK 实现协议解析涉及几个步骤,包括初始化环境、配置网卡、接收数据包、解析数据包并处理数据包。下面将详细介绍这些步骤以及如何在 DPDK 实现基本的协议解析。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 896
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
拥塞控制算法为何失效,网络为何难以测量?
最新发布
Netfilter
09-14 2068
所以你知道实验室仿真的宇宙第一算法为啥拉了吧,也就不用再问为什么部署了 bbr 却还不如 cubic 了吧,如果你还希望研发一个精准的,普适的端到端算法,我劝你改行去卖皮鞋,至少还有很多经理市场。这和上一篇说的测量系统容量的方法并不矛盾,因为对于网络传输系统而言,系统是动态变化的,在流量部署到系统上并开始传输时,没有全局视图,就不能指望全局公平,留下的 gap 是固有的,没法靠算法弥补。,超级经典的一篇论文,我推荐过不止一次,因此我本文不谈异构问题,说点别的,比如拓扑。对,就是要砸,因为我不干了。
C#使用TCP-S7协议读写西门子PLC(三)
ylq1045的专栏
09-11 710
这里我们进行封装读写西门子PLC的S7协议命令以及连接西门子PLC并两次握手 新建部分类文件SiemensS7ProtocolUtil.ReadWrite.cs 主要方法: 连接西门子PLC并发送两次握手。两次握手成功后,才真正连接到PLC public OperateResult ConnectPlcAndHandshake(SiemensPlcCategory siemensPlcCategory, IPEndPoint endPoint, int timeout = 3000) 生成一个写入字节数据
哪些行业需要办理网络文化经营许可证?
众森企服
09-13 981
本规定所称互联网文化产品是指通过互联网生产、传播和流通的文化产品,主要包括: (一)专门为互联网而生产的网络音乐娱乐、网络游戏、网络演出剧(节)目、网络表演、网络艺术品、网络动漫等互联网文化产品;网络表演指以网络表演者个人现场进行的文艺表演活动等为主要内容,通过互联网、移动通讯网、移动互联网等信息网络,实时传播或者以音视频形式上载传播而现场的互联网文化产品,电商类、教育类、医疗类、培训类、金融类、旅游类、美食类、体育类、聊天类等直播不属于网络表演。1️⃣音乐娱乐产品(音乐网站、手机音乐网站、APP音乐)
动态DNS流量分析:DGA驱动的僵尸网络检测新策略
本文提出了一种新颖的检测方法,目标是利用DNS(Domain Name System)的非存在域名(NXDomain)流量来识别DGA行为。作者的核心观点是,由一个使用DGA的僵尸网络生成的一组域名,通常会在短时间内被短暂使用,而且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值