Отслеживайте новые сетевые подключения, с помощью которых можно быстро менять IP-адреса для DNS-записей, чтобы скрыть связь с командным сервером за массивом быстро меняющихся IP-адресов, привязанных к одному домену.

Обнаружение динамически генерируемых доменов может быть сложной задачей из-за большого количества различных алгоритмов DGA, постоянной эволюции семейств вредоносных программ, а также растущей сложности алгоритмов. Существует огромное количество методов обнаружения псевдослучайно сгенерированных доменных имен, в том числе использование частотного анализа, цепей Маркова, энтропии, доли словарных слов, соотношения гласных и других символов и т. д. . Случаи обнаружения могут быть связаны с доменами CDN из-за формата их доменных имен. Помимо обнаружения DGA-доменов по именам есть и другой, более общий подход к обнаружению подозрительных доменов заключается в проверке недавно зарегистрированных имен или редко посещаемых доменов. Для обнаружения DGA-доменов разработаны и успешно используются методы машинного обучения. Один из подходов — использование N-грамм для определения случайности в доменных именах. Если степень случайности высока, а домен не в белом списке (например, CDN), можно определить, связан ли он с легитимным узлом или DGA . Другой подход заключается в использовании глубокого обучения для классификации доменов, сгенерированных с помощью DGA].

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, предназначенного для конкретных вредоносных программ злоумышленника, могут быть использованы для снижения активности на сетевом уровне. Исследователи вредоносного ПО могут провести обратную разработку вариантов вредоносного ПО, использующих DGA, и определить будущие домены, с которыми будет пытаться связаться вредоносное ПО, но это требует много времени и ресурсов. Вредоносное ПО также все чаще включает начальные значения, которые могут быть уникальными для каждого экземпляра, которые затем необходимо определить, чтобы извлечь будущие сгенерированные домены. В некоторых случаях семя, которое использует конкретный образец, можно извлечь из DNS-трафика. Но даже в этом случае в день могут генерироваться тысячи возможных доменов, что делает нецелесообразным для защитников упреждающую регистрацию всех возможных доменов C2 из-за стоимости.

В некоторых случаях для предотвращения командования и контроля на основе DGA с меньшими затратами можно использовать локальную DNS-воронку.