Algoritmo de generación de dominio
Un algoritmo de generación de dominios o DGA (del inglés Domain Generation Algorithm) es un algoritmo que genera pseudoaleatoriamente nombres de dominio a partir de una semilla.[1][2][3]
Es frecuente el uso de la fecha del sistema como semilla para generar los nombres de dominios. Por ejemplo, el malware Murofet usa la fecha para inicializar su algoritmo y genera al día 800 dominios diferentes.[4] Otras veces se usan datos de sitios de legítimos. Por ejemplo Torpig usan los trending topics de Twitter.[5]
Uso con malware
Es habitual el uso de estos algoritmos en ciberataques. Su uso, junto con técnicas de Domain Fluxing, permiten eludir el bloqueo de conexión al servidores C&C o al servidor donde descargar software.[1][4]
El atacante selecciona una semilla e instala un malware con la misma. Como el atacante conoce la semilla, es capaz de predecir los dominios que se generarán, por lo que se anticipa y genera de forma aleatoria alguno de ellos, lo activa, espera a conectar con algunos nodos y los desactiva (des-registra) y vuelta a empezar. Esto dificulta la labor de administradores e investigadores de seguridad de bloquear accesos al servidor C&C para anular una botnet. Por ejemplo, los sistemas de detección basados en listas negras, listas de reputación y filtros web pueden ser evadidos sin problemas ya que, pasado un tiempo, el servidor C&C tendrá otro dominio y otra IP, y por tanto se permitirá el acceso. Por eso cuando se encuentra una muestra es muy importante aplicar ingeniería inversa y encontrar la semilla. Esta forma de elusión fue popularizado por los malware Conficker y es utilizado por el malware Kraken, Locky, Murofet, Zeus, CryptoLocker y Torpig. Cada día es una técnica más habitual[2][3]
Referencias
- Algoritmo de Generación de Dominios. David Romero Trejo. davidromerotrejo.com. 2 de marzo de 2015
- Domain fluxing. techtarget.com. Noviembre de 2013
- Entendiendo el algortimo[sic de Generación de Dominios (DGA)]. Adrián Ramirez Correa. adrianramirez.es. 13 mayo de mayo 2016
- Estudio del Algoritmo de Generación de Dominios de Murofet, una variante de Zeus. Laurent Delosières. hispasec.com. 28 de agosto de 2014
- Técnicas de evasión avanzadas. Asier Martínez. incibe-cert.es. 28 de mayo de 2015