Domain Generation Algorithm (DGA)

Domain Generation Algorithm (DGA)

Copyright © Shutterstock / Rawpixel.com

Was bedeutet Domain Generation Algorithm?

Unter einem Domain Generation Algorithm versteht man Algorithmen, die in verschiedenen Malware-Familien vorkommen. Sie werden verwendet, um periodisch eine gro√üe Anzahl von Domain-Namen zu generieren, die als sog. Rendezvous-Punkte mit ihren Befehls- und Steuerungsservern genutzt werden k√∂nnen. Aufgrund der hohen Anzahl m√∂glicher Rendezvous-Punkte ist es f√ľr die Strafverfolgungsbeh√∂rde schwierig, Botnets effektiv zu schlie√üen, da infizierte Computer jeden Tag versuchen, einige dieser Domain-Namen zu kontaktieren, um Updates oder Befehle zu erhalten.

Die Verwendung von Public-Key-Kryptografie in Malware-Code macht es f√ľr die Strafverfolgungsbeh√∂rden und andere Akteure unm√∂glich, Befehle von den Malware-Controllern nachzuahmen, da einige W√ľrmer automatisch alle Updates ablehnen, die nicht von den Malware-Controllern signiert wurden.

Eigenschaften

Ein infizierter Computer k√∂nnte beispielsweise Tausende von Domain-Namen erstellen und w√ľrde versuchen, einen Teil davon zu kontaktieren, um ein Update oder einen Befehl zu erhalten. Das Einbetten eines Domain Generation Algorithm anstelle einer Liste zuvor generierter Domains (durch den Befehls- und Steuerungsserver) in die ungepflegte Bin√§rdatei der Malware, sch√ľtzt vor einem String-Dump, der pr√§ventiv in eine Blacklisting-Appliance des Netzwerks eingespeist werden kann, um die Outbound-Kommunikation von infizierten Hosts innerhalb eines Unternehmens zu beschr√§nken.

Technik des Domain Generation Algorithm

Die Technik des Domain Generation Algorithm wurde durch die Familie der W√ľrmer “Conficker.a und.b” bekannt gemacht, die zun√§chst 250 Domain-Namen am Tag generierten. Beginnend mit Conficker.c generiert die Malware t√§glich 50.000 Domain-Namen, von denen sie versuchen w√ľrde, mit 500 in Kontakt zu treten. Dies gibt einem infizierten Computer die M√∂glichkeit, t√§glich aktualisiert zu werden, wenn die Malware-Controller nur eine Domain pro Tag registrieren. Um zu verhindern, dass infizierte Computer ihre Malware aktualisieren, musste die Strafverfolgung t√§glich 50.000 neue Domain-Namen vorregistrieren. Aus der Sicht des Botnet-Besitzers m√ľssen sie nur eine oder einige aus den verschiedenen Domains registrieren, die jeder Bot t√§glich abfragen w√ľrde.

An den generierten Domain-Namen werden TLD’s (Top-Level-Domains) hinzugef√ľgt, wie beispielsweise .org, .com, oder .net. Im n√§chsten Schritt wird gepr√ľft, ob dieser zu erreichen ist. Bei der t√§glich generierten Domain handelt es sich um die zweite vom Bot verwendete Schicht, da im ersten Schritt eine w√∂chentliche Generierung vorgenommen wird. Nur im Falle, dass diese nicht zu erreichen ist, wird vom Bot eine t√§gliche Domain generiert. Dies ist ein sog. Fallback auf hartcodierte Domains.

Die Top 5 der auf Domain Generation Algorithm basierten Crimeware-Familien sind: Conficker, BankPatch, Bobax, Murofet und Bonnana.

Computer-Wurm

Conficker, auch bekannt als Downup, Downadup und Kido, ist ein Computerwurm, der auf das Microsoft Windows-Betriebssystem abzielt, das erstmals im November 2008 entdeckt wurde. Es nutzt Fehler in Windows-Betriebssystemen und W√∂rterbuchangriffe auf Administratorenkennw√∂rter, um sich beim Bilden eines Botnets zu verbreiten. Der Conficker-Wurm infizierte in √ľber 190 L√§ndern mehrere Millionen von Computern, darunter Computer in Regierungs-, Gesch√§fts- und Heimcomputern.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte