„DGA: The Invisible Code“ (Wie Malware der Erkennung entgeht)

(Di Bruno Riccio)
26/09/24

Il Domänengenerierungsalgorithmus (DGA) ist eine Technik, mit der Cyberkriminelle automatisch eine Reihe von Domänennamen erstellen (die Adressen, die wir für den Zugriff auf Websites verwenden). Diese Technik dient dazu, die Kommunikation zwischen der Malware und dem Server zu erleichtern, von dem sie Anweisungen erhält, genannt Befehls- und Kontrollserver (C2).

Um es einfach auszudrücken: Es ist, als ob die Malware jeden Tag ihr Einfallstor ändert, was es für Antivirenprogramme oder Verteidiger schwieriger macht, sie zu stoppen.

Warum ist es so relevant?

Diese Strategie stellt einen Wendepunkt im Bereich der Cybersicherheit dar, da sie es Angreifern ermöglicht, der Erkennung und Abwehr durch herkömmliche Sicherheitsmaßnahmen zu entgehen. Während in der Vergangenheit Malware darauf basierte statische Domänen (ein Domainname fest und vorgegeben der in den Schadcode eingefügt wird) oder fest codierte IP-Adressen (Ähnlich einer statischen Domäne, aber anstelle eines Domänennamens enthält die Malware eine bestimmte IP-Adresse, die in ihrem Code kodiert ist, immer fest und vorbestimmt), um mit Ihren C2-Servern zu kommunizieren, hat die Einführung von DGA eine eingeführt lustig der Unvorhersehbarkeit, die das Eingreifen der blaues Team. Dynamisch generierte Domänen sind immer neu, was es Angreifern ermöglicht, kompromittierte oder blockierte Domänen schnell zu ersetzen und gleichzeitig die Kommunikation mit der Malware aufrechtzuerhalten. DGA-basierte Angriffe werden als Weiterentwicklung von „Ausweichen“. Diese Algorithmen können jeden Tag Tausende von Domänennamen generieren, von denen jeder zum Herstellen einer Verbindung mit dem C2-Server verwendet werden kann und so eine kontinuierliche Aktivität auch bei Blockierungen oder Beschlagnahmungen bekannter bösartiger Domänen gewährleistet. Dieser Ansatz bietet Cyberkriminellen eine strategischer Vorteil, da es für herkömmliche Abwehrmaßnahmen wie Firewalls oder DNS-Filtersysteme viel schwieriger wird, Kommunikationsversuche zu blockieren. Einer der kritischsten Aspekte dieser Technik ist ihre Fähigkeit, die Persistenz über kompromittierte Netzwerke hinweg aufrechtzuerhalten. DER DGA Sie ermöglichen es Cyberkriminellen nicht nur, sich schnell an Gegenmaßnahmen der Opfer (ob Unternehmen oder Einzelpersonen) anzupassen, sondern sie erschweren es den Behörden auch, die Kommunikation zwischen der Malware und den C2-Servern vollständig zu unterbrechen: Angreifer können sogar die Kontrolle über ihre Bot-Netzwerke behalten nachdem ein Teil ihrer Infrastruktur abgebaut wurde. In einem Kontext, in dem die Cyber-Bedrohungen Da DGAs immer ausgefeilter und schwieriger zu erkennen sind, stellen sie eine der größten Herausforderungen für Cybersicherheitsexperten dar.

Woraus besteht es?

Der Betrieb der DGA basiert auf der Nutzung von Vordefinierte Algorithmen, die nach einer internen Logik neue Domainnamen generieren1. Domänen können mithilfe einer Vielzahl von Parametern generiert werden, z. B. dem aktuellen Datum und der aktuellen Uhrzeit, zufälligen Zeichenfolgen oder vordefinierten Startwerten. Auf diese Weise können die Angreifer (aber nicht die Opfer) dies tun Domänen antizipieren die von der Schadsoftware in einem bestimmten Zeitfenster generiert werden, und registrieren diese im Voraus. Sobald die Domäne registriert ist, kann der Command-and-Control-Server eine Kommunikation mit den infizierten Maschinen herstellen und neue Befehle, Updates oder Payloads senden.

Die generierten Domains können harmlos oder völlig zufällig erscheinen. Beispielsweise kann Malware täglich Domains wie abc123.net, xyz789.it oder italia.it generieren und so Tausende möglicher Variationen erzeugen. Dieser Ansatz ermöglicht es Malware, herkömmliche DNS-Filtermethoden zu umgehen, da die Vielfalt und das Volumen der Domänen es Sicherheitsteams unmöglich machen, sie alle präventiv zu blockieren. In vielen Fällen, d Cyber-Kriminelle Sie nutzen nur einen kleinen Teil der generierten Domänen, sodass Sicherheitslösungen nur schwer vorhersagen können, welche dieser Domänen tatsächlich für die Kommunikation verwendet werden.

Ein interessanter Aspekt der DGA ist, dass ihre Umsetzung erheblich variieren kann. Manche Malware nutzt einfache Algorithmen, die Domänen aus einem kleinen Satz von Parametern generieren, während andere komplexere Ansätze verfolgen und Variablen wie die Zeitzone, die Hardware des infizierten Computers oder sogar aktuelle Wetterbedingungen einbeziehen. Diese Faktoren machen DGAs zu einer äußerst flexiblen Technologie, die an eine Vielzahl betrieblicher Kontexte angepasst werden kann.

Beispielhaftes Diagramm des Prozesses zur Generierung bösartiger Domänen.

Ablaufdiagramm eines DGA-Angriffs

Beim DGA-Angriff führt die Schadsoftware den Algorithmus aus ogni volta der eine Verbindung mit dem Command-and-Control-Server (C2) herstellen muss. Dieser Prozess erfolgt in drei Hauptphasen:

  1. Parametereingabe: Definition der „mathematischen“ Kriterien, anhand derer die ständige Generierung von Domänen erfolgt.

  2. Generierung der Domainliste: Sobald die Parameter verarbeitet sind, erstellt der Algorithmus eine Liste mit Domänennamen. Die Länge der Liste variiert, in vielen Fällen kann sie jedoch enthalten Hunderte oder Tausende von Domains.

  3. Verbindungsversuch: Die Malware versucht, eine Verbindung zu einer der generierten Domänen herzustellen. Bei erfolgreichem Verbindungsaufbau kann die Schadsoftware neue Befehle empfangen oder Updates vom C2-Server herunterladen. Wurde die Domain jedoch von den Kriminellen blockiert oder noch nicht registriert, wiederholt die Schadsoftware den Vorgang mit einer anderen generierten Domain, bis die Verbindung hergestellt ist.

Auch wenn DGAs auf „pseudo“zufällig generierten Domänen basieren, ist dieAI (Künstliche Intelligenz) ermöglicht es Ihnen, Domains basierend auf zu generieren echte WorteDadurch werden Domänennamen erstellt, die legitim erscheinen, wodurch sich die Wahrscheinlichkeit erhöht, dass Domänen von Filtersystemen ignoriert werden.

Zweck und Ziele von DGA-Angriffen

Eines der Hauptziele von DGA-basierten Angriffen ist sorgen für Beständigkeit in kompromittierten Netzwerken. Selbst wenn einige Infrastrukturen der Angreifer deaktiviert werden, agiert die Malware weiter, indem sie neue Domänen generiert. Dadurch können Kriminelle die Kontrolle über das kompromittierte Netzwerk behalten, indem sie Befehle senden oder gestohlene Daten empfangen.

Ein weiterer Zweck ist Sicherheitssystemen ausweichen. Herkömmliche Erkennungsmethoden basieren auf statischen Mustern wie bekannten Domänen oder IPs, die nach ihrer Entdeckung blockiert werden. Dank der DGA werden jedoch so viele neue Domains generiert, dass es unmöglich wird, sie alle rechtzeitig zu sperren. Selbst wenn einer entdeckt wird, werden ihn viele andere ersetzen.

DGAs werden auch verwendet für Schadsoftware verbreiten. Sie ermöglichen Botnets und Ransomware, eine ständige Kommunikation mit C2-Servern aufrechtzuerhalten, über die Angreifer neue Payloads, Updates oder Befehle senden. Beispielsweise kann ein Botnetz Anweisungen dazu erhalten, welche Ziele es angreifen oder welche Daten es stehlen soll.

Beispiel eines Angriffs mit DGA: „Conficker“

Eine der gefährlichsten Malware, die das verwendet DGA es war ohne Zweifel Conficker2. Erstveröffentlichung in 2008, Conficker war einer von ihnen Wurm, sich selbst reproduzierende Malware über miteinander verbundene Netzwerke (wie biologische Viren), die in der Geschichte der Computersicherheit am weitesten verbreitet und am schwierigsten zu beseitigen ist.

Hier sind die Eigenschaften, die es zu einem der heimtückischsten machen:

Anspruchsvolle Nutzung des DGA: Conficker ist dafür bekannt, ein hochwirksames DGA zu verwenden. Jeden Tag generierte es eine große Anzahl von Domänen (bis zu 50.000), über die die Malware eine Verbindung zu Command-and-Control-Servern herstellen konnte. Dies machte es schwierig, die Befehlsinfrastruktur der Malware zu blockieren oder zu deaktivieren, da sich die Domänen ständig änderten und nicht alle vorhergesehen werden konnten.

Beharrlichkeit und Belastbarkeit: Conficker nutzte Verschlüsselungstechniken und Rootkits, um sich vor Sicherheitssoftware zu verstecken und die Entfernung zu verhindern. Darüber hinaus könnten Sicherheitsupdates deaktiviert und der Zugriff auf Sicherheitsseiten blockiert werden, was es infizierten Benutzern erschwert, ihre Systeme zu schützen.

Modularer Aufbau: Sobald Conficker mit dem C2-Server verbunden ist, kann er Malware-Updates herunterladen und ausführen oder neue Payloads installieren, was ihn zu einer äußerst vielseitigen Angriffsplattform macht.

Ein Teil der Schwierigkeit bei der Entfernung einer Conficker-Infektion liegt in ihrer Fähigkeit, den Zugriff auf sicherheits- und antivirenrelevante Websites zu blockieren. Plus die Funktionalität Autorun auf Systemen Windows, standardmäßig aktiviert, ermöglichte eine einfache Verbreitung und Ausführung, wenn ein mit CONFICKER infizierter USB-Stick an einen nicht infizierten Computer angeschlossen wurde. Um die Sache noch komplizierter zu machen, wurde eine beträchtliche Anzahl von Maschinen aus verschiedenen Gründen nicht aktualisiert: In einigen Fällen handelte es sich um Piraterie, in anderen handelte es sich um Legacy-Systeme, auf denen alte Programme ausgeführt wurden, die nur von älteren Windows-Versionen unterstützt wurden. Die Conficker-Infektion hat viele Sicherheitsprobleme zutage gefördert, die anschließend aktiv mit Updates in neuen Windows-Betriebssystemen behoben wurden. Er betonte auch die Notwendigkeit, regelmäßig Patches zu installieren und die Verwaltung älterer Systeme zu verbessern, insbesondere derjenigen, die mit dem Unternehmensnetzwerk verbunden sind.

Malware wie Necurs3 Sie nutzten die DGA, um Ransomware und Banking-Trojaner zu verbreiten und massive Spam-Kampagnen zu starten, was zeigt, wie vielseitig und gefährlich diese Art von Angriff sein kann. Um Systeme vor solchen Bedrohungen zu schützen, ist es unerlässlich, fortschrittliche Sicherheitslösungen zu implementieren, wie z. B. die Analyse des Netzwerkverkehrs, die proaktive Blockierung verdächtiger Domänen und den Einsatz von Techniken des maschinellen Lernens, um für DGA typische Verhaltensmuster zu identifizieren. Die Weiterentwicklung von Botnetzen und Techniken wie DGA erfordert eine kontinuierliche Aktualisierung der Abwehrmaßnahmen und die Zusammenarbeit zwischen Strafverfolgungsbehörden und Sicherheitsforschern, um diese Bedrohungen wirksam abzuwehren.

Abschließend: Angriffe basierend auf Domänengenerierungsalgorithmus (DGA) Sie stellen eine komplexe und komplexe Bedrohung in der Cybersicherheitslandschaft dar. DGA ermöglicht es Malware, dynamisch Domänennamen zu generieren, um mit Command-and-Control-Servern (C2) zu kommunizieren, was es für Verteidiger äußerst schwierig macht, solche Verbindungen zu blockieren. Dieser Mechanismus macht mit DGA ausgestattete Malware widerstandsfähiger, denn selbst wenn Domänen erkannt und blockiert werden, erstellt der Algorithmus kontinuierlich neue und stellt so die Persistenz der Infektion sicher.