Algoritmo de generación de dominio

Un algoritmo de generación de dominios o DGA (del inglés Domain Generation Algorithm) es un algoritmo que genera pseudoaleatoriamente nombres de dominio a partir de una semilla.[1][2][3]

Es frecuente el uso de la fecha del sistema como semilla para generar los nombres de dominios. Por ejemplo, el malware Murofet usa la fecha para inicializar su algoritmo y genera al día 800 dominios diferentes.[4] Otras veces se usan datos de sitios de legítimos. Por ejemplo Torpig usan los trending topics de Twitter.[5]

Uso con malware

Es habitual el uso de estos algoritmos en ciberataques. Su uso, junto con técnicas de Domain Fluxing, permiten eludir el bloqueo de conexión al servidores C&C o al servidor donde descargar software.[1][4]

El atacante selecciona una semilla e instala un malware con la misma. Como el atacante conoce la semilla, es capaz de predecir los dominios que se generarán, por lo que se anticipa y genera de forma aleatoria alguno de ellos, lo activa, espera a conectar con algunos nodos y los desactiva (des-registra) y vuelta a empezar. Esto dificulta la labor de administradores e investigadores de seguridad de bloquear accesos al servidor C&C para anular una botnet. Por ejemplo, los sistemas de detección basados en listas negras, listas de reputación y filtros web pueden ser evadidos sin problemas ya que, pasado un tiempo, el servidor C&C tendrá otro dominio y otra IP, y por tanto se permitirá el acceso. Por eso cuando se encuentra una muestra es muy importante aplicar ingeniería inversa y encontrar la semilla. Esta forma de elusión fue popularizado por los malware Conficker y es utilizado por el malware Kraken, Locky, Murofet, Zeus, CryptoLocker y Torpig. Cada día es una técnica más habitual[2][3]

Referencias

Algoritmo de Generación de Dominios. David Romero Trejo. davidromerotrejo.com. 2 de marzo de 2015
Domain fluxing. techtarget.com. Noviembre de 2013
Entendiendo el algortimo[sic de Generación de Dominios (DGA)]. Adrián Ramirez Correa. adrianramirez.es. 13 mayo de mayo 2016
Estudio del Algoritmo de Generación de Dominios de Murofet, una variante de Zeus. Laurent Delosières. hispasec.com. 28 de agosto de 2014
Técnicas de evasión avanzadas. Asier Martínez. incibe-cert.es. 28 de mayo de 2015

Datos: Q5289803

Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.

[davidromerotrejo-1] Algoritmo de Generación de Dominios. David Romero Trejo. davidromerotrejo.com. 2 de marzo de 2015

[techtarget-2] Domain fluxing. techtarget.com. Noviembre de 2013

[adrianramirez-3] Entendiendo el algortimo[sic de Generación de Dominios (DGA)]. Adrián Ramirez Correa. adrianramirez.es. 13 mayo de mayo 2016

[hispasec-4] Estudio del Algoritmo de Generación de Dominios de Murofet, una variante de Zeus. Laurent Delosières. hispasec.com. 28 de agosto de 2014

[asier-5] Técnicas de evasión avanzadas. Asier Martínez. incibe-cert.es. 28 de mayo de 2015