Техника на mitre.org

T1568.002: Алгоритмы генерирования доменных имен

Злоумышленники могут использовать алгоритмы генерирования доменных имен (DGA), чтобы динамически определять конечный домен для трафика командного сервера, не полагаясь на список статических IP-адресов или доменов. Это усложняет задачу специалистам по безопасности: им становится труднее блокировать, отслеживать или перехватывать канал связи с командным сервером, поскольку потенциально могут существовать тысячи доменов, от которых вредоносное ПО может получать инструкции.

DGA могут побуквенно генерировать доменные имена в виде случайных строк (например, istgmxdejdnxuyla.ru). Некоторые DGA случайным образом объединяют целые слова вместо букв (например, cityjulydish.net). Многие DGA основаны на времени и генерируют разные домены для каждого временного периода (например, часа, дня или месяца). Некоторые алгоритмы также используют начальное значение, чтобы затруднить специалистам по безопасности прогнозирование доменных имен, которые могут появиться в дальнейшем.

Злоумышленники могут использовать DGA в качестве резервных каналов. При потере связи с основным командным сервером вредоносное ПО может использовать DGA для возобновления управления.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD с помощью алгоритмов машинного обучения способен обнаруживать автоматически сгенерированные доменные имена (DGA), которые могут использоваться злоумышленниками для связи с командными серверами.

Примеры фильтров PT NAD

rpt.cat == "dga"

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Обнаружение динамически генерируемых доменов может быть сложной задачей из-за большого количества различных алгоритмов DGA, постоянной эволюции семейств вредоносных программ, а также растущей сложности алгоритмов. Существует огромное количество методов обнаружения псевдослучайно сгенерированных доменных имен, в том числе частотный анализ, цепи Маркова и проверка энтропии, доли словарных слов и (или) соотношения числа гласных к числу других символов . Эти методы могут срабатывать на домены CDN из-за формата их доменных имен. Помимо обнаружения DGA-доменов по именам есть и другой, более общий подход к обнаружению подозрительных доменов заключается в проверке недавно зарегистрированных имен или редко посещаемых доменов. Для обнаружения DGA-доменов разработаны и успешно используются методы машинного обучения. Один из подходов — использование N-грамм для определения случайности в доменных именах. Если степень случайности высока, а домен не в белом списке (например, не принадлежит CDN или другим доверенным сетям), можно определить, связан ли он с легитимным узлом или является DGA-доменом . Другой подход заключается в использовании глубокого обучения для классификации доменов, сгенерированных с помощью DGA.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Обнаружение динамически генерируемых доменов может быть сложной задачей из-за большого количества различных алгоритмов DGA, постоянной эволюции семейств вредоносных программ, а также растущей сложности алгоритмов. Существует огромное количество методов обнаружения псевдослучайно сгенерированных доменных имен, в том числе частотный анализ, цепи Маркова и проверка энтропии, доли словарных слов и (или) соотношения числа гласных к числу других символов . Эти методы могут срабатывать на домены CDN из-за формата их доменных имен. Помимо обнаружения DGA-доменов по именам есть и другой, более общий подход к обнаружению подозрительных доменов заключается в проверке недавно зарегистрированных имен или редко посещаемых доменов. Для обнаружения DGA-доменов разработаны и успешно используются методы машинного обучения. Один из подходов — использование N-грамм для определения случайности в доменных именах. Если степень случайности высока, а домен не в белом списке (например, не принадлежит CDN или другим доверенным сетям), можно определить, связан ли он с легитимным узлом или является DGA-доменом . Другой подход заключается в использовании глубокого обучения для классификации доменов, сгенерированных с помощью DGA.

Меры противодействия

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Исследователи могут провести обратную разработку вариантов вредоносного ПО, использующих DGA, и определить домены, с которыми вредоносное ПО будет пытаться связаться в дальнейшем, но это требует много времени и ресурсов. Вредоносное ПО также все чаще включает уникальные для каждого экземпляра начальные значения, необходимые для генерации новых доменов. Иногда начальное значение, которое использует конкретный образец, можно извлечь из DNS-трафика. Но даже в таких случаях ежедневно могут генерироваться тысячи возможных доменов, что делает упреждающую регистрацию всех возможных командных доменов нецелесообразной для защитников из-за стоимости.

ID	M1021	Название	Ограничения для веб-контента	Описание	В некоторых случаях сравнительно малозатратным средством для предотвращения работы командных серверов на основе DGA может стать локальная DNS-воронка.

ID	Название	Описание
M1031	Предотвращение сетевых вторжений	Системы обнаружения и предотвращения сетевых вторжений, использующие сетевые сигнатуры для выявления трафика, специфичного для вредоносных программ конкретной группы злоумышленников, могут быть использованы для защиты от связанной с этим трафиком активности на сетевом уровне. Исследователи могут провести обратную разработку вариантов вредоносного ПО, использующих DGA, и определить домены, с которыми вредоносное ПО будет пытаться связаться в дальнейшем, но это требует много времени и ресурсов. Вредоносное ПО также все чаще включает уникальные для каждого экземпляра начальные значения, необходимые для генерации новых доменов. Иногда начальное значение, которое использует конкретный образец, можно извлечь из DNS-трафика. Но даже в таких случаях ежедневно могут генерироваться тысячи возможных доменов, что делает упреждающую регистрацию всех возможных командных доменов нецелесообразной для защитников из-за стоимости.
M1021	Ограничения для веб-контента	В некоторых случаях сравнительно малозатратным средством для предотвращения работы командных серверов на основе DGA может стать локальная DNS-воронка.