概念
DGA
(Domain Generation Algorithm,域名生成算法),是一种恶意软件使用的算法,可定期生成大量域名,即DGA域名
。
作用
让C&C服务器更加隐蔽,降低攻击发现几率,增强僵尸网络的鲁棒性。
由于C&C服务器和受害机间通信运行同一套DGA算法,生成相同的备选域名列表,并且受害机会定时尝试连接C&C服务器。当需要发动攻击的时候,选择其中少量进行注册,配置为C&C服务器的域名,受害机中的恶意程序便可以和C&C服务器建立通信,受害机上的恶意程序将接受C&C服务端指令,进行信息收集和恶意破坏等一系列恶意活动。由于DGA算法可以生成大量备选域名,并且可以对注册的域名应用速变IP技术,快速变换IP,从而让C&C域名和IP都可以进行快速变化,增加安全检测排查难度。
检测手段
-
建立黑名单库
判断域名是否在黑名单内,然后决定是否连接该域名以及是否告警,从而检测和抵御某些远控木马。
缺点:DGA算法一天内可生成成千上万的域名,不可能每天都重复收集和更新黑名单库,并且黑名单库也难以检测未知的DGA域名
-
利用机器学习方法分析
参考文献
https://www.bilibili.com/video/BV1YU4y1b7Sn?from=search&seid=13222666918084489851 B站-DGA域名检测的工程实践
https://en.wikipedia.org/wiki/Domain_generation_algorithm 维基百科-Domain Generation Algorithm
https://blog.csdn.net/u013617791/article/details/118893380 CSDN - C&C服务器
https://www.secrss.com/articles/14369 安全内参 - DGA域名的今生前世:缘起、检测、与发展