I malware, come le botnet, hanno spesso bisogno di comunicare con un server centralizzato per ricevere comandi o aggiornamenti. Questi server, detti di Command and Control (C2), vengono identificati e raggiunti dal malware eseguendo la risoluzione DNS di un nome di dominio (FQDN). Le botnet più semplici in passato potevano essere bloccate identificando questi domini o sottodomini e disabilitandone l’accesso a livello di DNS.
Gli Algoritmi di Generazione dei Domini (Domain Generation Algorithm”, DGA) sono utilizzati nei malware per generare un gran numero di nomi di dominio semi casuali. Un dispositivo infetto tenta regolarmente di connettersi all’intero set di domini generati dall’algoritmo fornito dal DGA. È sufficiente che un solo dominio venga raggiunto con successo per stabilire una connessione con il server C2. Questo rende più difficile per i ricercatori di cybersicurezza abbattere la comunicazione C2.
- I ricercatori di Akamai hanno scoperto e spiegato l’inaspettato comportamento delle famiglie di DGA con dynamic seed nei dati del traffico DNS.
- Tale comportamento suggerisce che gli attori malevoli hanno modificato questi DGA per complicare ulteriormente il rilevamento, proteggere le loro attività dannose e prolungare la durata di vita dei loro server C2, proteggendo le loro botnet.
- Questo rende difficile per i ricercatori di sicurezza bloccare il traffico dannoso, poiché i domini cambiano frequentemente e spesso hanno un aspetto casuale.
Akamai ha scoperto che i DGA con dynamic seed (un sottoinsieme di DGA) spesso mostrano un comportamento molto diverso da quello che sembra suggerire l’algoritmo DGA stesso. Più precisamente, si assiste all’attivazione di nomi di dominio DGA prima della data di generazione prevista.
Le DGA hanno permesso di aumentare la sicurezza delle comunicazioni C2, consentendo un ulteriore sviluppo delle attività in cui sono coinvolte, tra cui: attacchi DDoS, cripto-mining, vendita di informazioni sensibili da dispositivi compromessi, spyware, frodi pubblicitarie, frodi via e-mail e auto-diffusione di malware. Questo rappresenta un rischio per le reti aziendali e affligge la comunità della sicurezza informatica.
Ad esempio, se si immagina una botnet che utilizza un’ipotetica famiglia o variante DGA che genera 500 nomi di dominio dannosi al giorno, il server C2 della botnet genererà gli stessi 500 nomi di dominio ogni giorno. Tuttavia, l’attore malintenzionato deve controllare 1 di questi 500 domini per stabilire le comunicazioni con i dispositivi infetti (bot). A volte il seed cambia, generando una nuova serie di domini, e il processo ricomincia da capo. Questo rende difficile per i ricercatori di sicurezza bloccare il traffico dannoso, poiché i domini cambiano frequentemente e hanno spesso un aspetto casuale, come “ghlidae[.]com”.
I domini di primo livello (TLD, come ad esempio .com) sono codificati in modo rigido e per lo più limitati a TLD poco costosi da acquisire.
Esistono molti DGA diversi. Una volta che la comunità della sicurezza scopre un nuovo algoritmo (e a volte riesce a decodificarlo), in genere gli viene assegnato un “nome di famiglia”. Alcune delle famiglie di DGA più note sono Conficker, Mirai e CryptoLocker.
