「DGA: 目に見えないコード」 (マルウェアが検出を回避する方法)

(へ ブルーノ・リッチョ)
26/09/24

Il ドメイン生成アルゴリズム (DGA) は、サイバー犯罪者が一連のドメイン名 (Web サイトへのアクセスに使用するアドレス) を自動的に作成するために使用する手法です。この手法は、マルウェアと、マルウェアが命令を受け取るサーバーとの間の通信を容易にするのに役立ちます。 コマンドアンドコントロールサーバー (C2).

簡単に言うと、マルウェアが毎日ゲートウェイを変更するようなもので、ウイルス対策や防​​御側がマルウェアを阻止するのが難しくなります。

なぜそれがそれほど重要なのでしょうか?

この戦略は、攻撃者が従来のセキュリティ対策による検出と軽減を回避できるため、サイバーセキュリティの分野で大きな変革をもたらします。かつてはマルウェアのベースとなっていたのは、 静的ドメイン (ドメイン名 固定された、あらかじめ決められた マルウェア コードに挿入される)、または ハードコーディングされた IP アドレス (静的ドメインに似ていますが、ドメイン名の代わりに、マルウェアにはコード内にエンコードされた特定の IP アドレスが含まれており、常に固定されています。 あらかじめ決められた) C2 サーバーと通信するために、DGA の採用により、 ジョリー による介入を引き起こす予測不可能性 青チーム。動的に生成されるドメインは、 常に新しいこれにより、攻撃者はマルウェアとの通信を維持しながら、侵害されたドメインまたはブロックされたドメインを迅速に置き換えることができます。 DGA ベースの攻撃は、「」の進化として定義されます。回避”。これらのアルゴリズムは毎日何千ものドメイン名を生成することができ、それぞれのドメイン名を使用して C2 サーバーとの接続を確立できるため、既知の悪意のあるドメインのブロックや押収が存在する場合でもアクティビティを継続できます。このアプローチは、サイバー犯罪者に次のような手段を提供します。 戦略的優位性ファイアウォールや DNS フィルタリング システムなどの従来の防御手段が通信の試行をブロックすることがはるかに困難になるためです。この手法の最も重要な側面の 1 つは、侵害されたネットワーク全体で永続性を維持できることです。ザ DGA これにより、サイバー犯罪者が被害者 (企業または個人) が採用した対策に迅速に適応できるようになるだけでなく、当局がマルウェアと C2 サーバー間の通信を完全に妨害することも困難になります。攻撃者はボットのネットワークの制御を維持できます。インフラの一部が解体された後。というコンテキストでは、 サイバー脅威 DGA はますます洗練され、検出が困難になっているため、サイバーセキュリティ専門家にとって最も重要な課題の 1 つとなっています。

何で構成されていますか?

DGA の動作は、次の使用に基づいています。 内部ロジックに従って新しいドメイン名を生成する所定のアルゴリズム1。ドメインは、現在の日付と時刻、ランダムな文字列、事前定義されたシードなどのさまざまなパラメーターを使用して生成できます。このようにして、攻撃者 (被害者ではありません) は、 ドメインを予測する 特定の時間枠でマルウェアによって生成される情報を事前に登録します。ドメインが登録されると、コマンド アンド コントロール サーバーは感染したマシンとの通信を確立し、新しいコマンド、更新、またはペイロードを送信できるようになります。

生成されたドメインは無害であるか、完全にランダムであるように見える場合があります。たとえば、マルウェアは abc123.net、xyz789.it、italia.it などのドメインを毎日生成し、何千ものバリエーションを生み出す可能性があります。このアプローチにより、マルウェアは従来の DNS フィルタリング方法を回避できます。これは、ドメインの種類と量が多いため、セキュリティ チームがすべてのドメインを事前にブロックすることが不可能であるためです。多くの場合、私は サイバー犯罪者 生成されたドメインのごく一部しか使用しないため、セキュリティ ソリューションがこれらのドメインのどれが実際に通信に使用されるかを予測することが困難になります。

の興味深い側面は、 DGA それは、その実装が大幅に異なる可能性があるということです。一部のマルウェアは、少数のパラメーター セットからドメインを生成する単純なアルゴリズムを使用しますが、他のマルウェアは、タイム ゾーン、感染したマシンのハードウェア、さらには現在の気象条件などの変数を組み込んだ、より複雑なアプローチを採用します。これらの要因により、DGA はさまざまな運用状況に適応できる非常に柔軟なテクノロジーになっています。

悪意のあるドメインの生成プロセスの例示的な図。

DGA 攻撃の手順図

DGA 攻撃では、マルウェアがアルゴリズムを実行します。 毎回 コマンド アンド コントロール サーバー (C2) との接続を確立する必要があります。このプロセスは、次の XNUMX つの主要なフェーズで発生します。

  1. パラメータ入力: ドメインの継続的な生成が行われる「数学的」基準の定義。

  2. ドメインリストの生成: パラメーターが処理されると、アルゴリズムによってドメイン名のリストが作成されます。リストの長さはさまざまですが、多くの場合、リストには以下を含めることができます。 何百、何千ものドメイン.

  3. 接続試行: マルウェアは、生成されたドメインの 2 つに接続しようとします。接続が正常に確立されると、マルウェアは新しいコマンドを受信したり、CXNUMX サーバーから更新をダウンロードしたりできます。ただし、ドメインがブロックされているか、犯罪者によってまだ登録されていない場合、マルウェアは、接続が確立されるまで、生成された別のドメインでプロセスを繰り返します。

DGA が「擬似」ランダムに生成されたドメインに基づいている場合でも、AI (人工知能) を使用すると、以下に基づいてドメインを生成できます。 本当の言葉、正当に見えるドメイン名が作成されるため、ドメインがフィルタリング システムによって無視される可能性が高くなります。

DGA 攻撃の目的と目的

DGA ベースの攻撃の主な目的の 1 つは次のとおりです。 永続性を確保する 侵害されたネットワーク内で。攻撃者のインフラストラクチャの一部が無効になっても、マルウェアは新しいドメインを生成して動作を続けます。これにより、犯罪者はコマンドを送信したり、盗まれたデータを受信したりすることで、侵害されたネットワークの制御を維持することができます。

もう一つの目的は、 セキュリティシステムを回避する。従来の検出方法は、既知のドメインや IP などの静的パターンに依存しており、検出されるとブロックされます。ただし、DGA のおかげで、非常に多くの新しいドメインが生成されるため、すべてを時間内にブロックするのは不可能になります。たとえ一人が発見されたとしても、他の多くの人が彼の代わりをします。

DGA は次の用途にも使用されます。 マルウェアを配布する。これにより、ボットネットやランサムウェアが C2 サーバーとの継続的な通信を維持できるようになり、攻撃者はこれを通じて新しいペイロード、更新、またはコマンドを送信します。たとえば、ボットネットは、どのターゲットを攻撃するか、どのデータを盗むかについての指示を受け取ることができます。

DGAによる攻撃例:「Conficker」

を使用する最も危険なマルウェアの 1 つ DGA それは間違いなくそうでした Confickerの2。最初にリリースされたのは 2008, Conficker はその 1 つでした。 ワーム相互接続されたネットワーク間で自己複製するマルウェア (生物学的ウイルスと同様) は、コンピュータ セキュリティの歴史の中で最も蔓延しており、根絶が困難です。

最も狡猾なウイルスの 1 つとなる特徴は次のとおりです。

DGA の高度な使用法: Conficker は、非常に効率的な DGA を使用することで知られています。毎日、マルウェアがコマンド アンド コントロール サーバーに接続するために使用できる大量のドメイン (最大 50.000) が生成されました。これにより、ドメインは常に変化し、すべてを予測することは不可能だったため、マルウェアのコマンド インフラストラクチャをブロックまたは無効にすることが困難になりました。

持続性と回復力: Conficker は暗号化技術とルートキットを使用してセキュリティ ソフトウェアから隠し、削除を防ぎました。さらに、セキュリティ更新が無効になり、セキュリティ サイトへのアクセスがブロックされる可能性があり、感染したユーザーがシステムを保護することが困難になります。

モジュール性: C2 サーバーに接続すると、Conficker はマルウェアのアップデートをダウンロードして実行したり、新しいペイロードをインストールしたりすることができるため、非常に汎用性の高い攻撃プラットフォームとなります。

Conficker 感染を除去する難しさの一部は、セキュリティおよびウイルス対策関連の Web サイトへのアクセスをブロックする機能にあります。さらに機能性も オートラン システム上 Windowsデフォルトで有効になっており、CONFICKER に感染した USB スティックが感染していないコンピュータに接続されている場合に、簡単に伝播および実行できます。さらに問題を複雑にしているのは、さまざまな理由でかなりの数のマシンが更新されていなかったことです。場合によっては著作権侵害であったこともあれば、古いバージョンの Windows でのみサポートされている古いプログラムを実行しているレガシー システムであったこともあります。 Conficker の感染により、多くのセキュリティ問題が浮き彫りになり、その後、新しい Windows オペレーティング システムのアップデートで積極的に対処されました。同氏はまた、定期的にパッチを適用し、レガシー システム、特に企業ネットワークに接続されているシステムの管理を改善する必要性を強調しました。

マルウェアのような あなたがいなくて寂しいです3 彼らは DGA を悪用してランサムウェアやバンキング型トロイの木馬を配布し、大規模なスパム キャンペーンを開始しました。これは、この種の攻撃がいかに多用途で危険であるかを実証しました。このような脅威からシステムを保護するには、ネットワーク トラフィックの分析、疑わしいドメインの積極的なブロック、機械学習技術を使用した DGA に典型的な動作パターンの特定など、高度なセキュリティ ソリューションの実装が不可欠です。ボットネットや DGA などの技術の進化には、これらの脅威を効果的に軽減するために、継続的な防御の更新と、法執行機関とセキュリティ研究者の協力が必要です。

結論から言えば、次のような攻撃が考えられます。 ドメイン生成アルゴリズム (DGA) これらは、サイバーセキュリティ環境における複雑かつ高度な脅威を表しています。 DGA を使用すると、マルウェアがコマンド アンド コントロール (C2) サーバーと通信するためのドメイン名を動的に生成できるため、防御者がそのような接続をブロックすることが非常に困難になります。このメカニズムにより、DGA を備えたマルウェアの回復力が高まります。ドメインが検出されてブロックされた場合でも、アルゴリズムが継続的に新しいドメインを作成し、感染の持続性を確保します。