Domain Generation Algorithm (DGA)
Copyright © Shutterstock / Rawpixel.com
Was bedeutet Domain Generation Algorithm (DGA)?
Unter einem Domain Generation Algorithm (DGA) versteht man Algorithmen, die in verschiedenen Malware-Familien vorkommen. Sie werden verwendet, um periodisch eine große Anzahl von Domain-Namen zu generieren, die als sog.
Rendezvous-Punkte mit ihren Befehls- und Steuerungsservern genutzt werden können. Aufgrund der hohen Anzahl möglicher Rendezvous-Punkte ist es für die Strafverfolgungsbehörde schwierig, Botnets effektiv zu schließen, da infizierte Computer jeden Tag versuchen, einige dieser Domain-Namen zu kontaktieren, um Updates oder Befehle zu erhalten.
Die Verwendung von Public-Key-Kryptografie in Malware-Code macht es für die Strafverfolgungsbehörden und andere Akteure unmöglich, Befehle von den Malware-Controllern nachzuahmen, da einige Würmer automatisch alle Updates ablehnen, die nicht von den Malware-Controllern signiert wurden.
Eigenschaften
Ein infizierter Computer könnte beispielsweise Tausende von Domain-Namen erstellen und würde versuchen, einen Teil davon zu kontaktieren, um ein Update oder einen Befehl zu erhalten.
Das Einbetten eines Domain Generation Algorithm anstelle einer Liste zuvor generierter Domains (durch den Befehls- und Steuerungsserver) in die ungepflegte Binärdatei der Malware, schützt vor einem String-Dump, der präventiv in eine Blacklisting-Appliance des Netzwerks eingespeist werden kann, um die Outbound-Kommunikation von infizierten Hosts innerhalb eines Unternehmens zu beschränken.
Technik des Domain Generation Algorithm
Die Technik des Domain Generation Algorithm wurde durch die Familie der Würmer “Conficker.a und.b” bekannt gemacht, die zunächst 250 Domain-Namen am Tag generierten. Beginnend mit Conficker.c generiert die Malware täglich 50.000 Domain-Namen, von denen sie versuchen würde, mit 500 in Kontakt zu treten.
Dies gibt einem infizierten Computer die Möglichkeit, täglich aktualisiert zu werden, wenn die Malware-Controller nur eine Domain pro Tag registrieren. Um zu verhindern, dass infizierte Computer ihre Malware aktualisieren, musste die Strafverfolgung täglich 50.000 neue Domain-Namen vorregistrieren. Aus der Sicht des Botnet-Besitzers müssen sie nur eine oder einige aus den verschiedenen Domains registrieren, die jeder Bot täglich abfragen würde.
An den generierten Domain-Namen werden TLD’s (Top-Level-Domains) hinzugefügt, wie beispielsweise .org, .com, oder .net. Im nächsten Schritt wird geprüft, ob dieser zu erreichen ist. Bei der täglich generierten Domain handelt es sich um die zweite vom Bot verwendete Schicht, da im ersten Schritt eine wöchentliche Generierung vorgenommen wird. Nur im Falle, dass diese nicht zu erreichen ist, wird vom Bot eine tägliche Domain generiert. Dies ist ein sog. Fallback auf hartcodierte Domains.
Die Top 5 der auf Domain Generation Algorithm basierten Crimeware-Familien sind: Conficker, BankPatch, Bobax, Murofet und Bonnana.
Computer-Wurm
Conficker, auch bekannt als Downup, Downadup und Kido, ist ein Computerwurm, der auf das Microsoft Windows-Betriebssystem abzielt, das erstmals im November 2008 entdeckt wurde. Es nutzt Fehler in Windows-Betriebssystemen und Wörterbuchangriffe auf Administratorenkennwörter, um sich beim Bilden eines Botnets zu verbreiten. Der Conficker-Wurm infizierte in über 190 Ländern mehrere Millionen von Computern, darunter Computer in Regierungs-, Geschäfts- und Heimcomputern.
Sie haben noch Fragen?
