DGA（域名生成算法）

DGA

1.介绍

域名生成算法 (DGA) 是一个可以生成大量新域名的程序。网络犯罪分子和僵尸网络运营者会使用域名生成算法来频繁更改所使用的域名，从而花样翻新地发起各种恶意软件攻击。利用这项技术，黑客可以避开用于拦截特定域名和静态 IP 地址的恶意软件检测解决方案。

2.黑客为什么使用域名生成算法？

攻击者利用恶意软件来感染企业 IT 环境内的大量计算机或设备。通过使用命令和控制服务器（即 C2 服务器，通常也托管在被入侵的系统内），攻击者可以向这些感染恶意软件的机器或爬虫程序发出命令并且从中收集信息。这种爬虫程序网络也就是僵尸网络，可用于传播垃圾邮件、窃取敏感数据或执行分布式拒绝服务 (DDoS) 攻击活动以及其他网络攻击。
为了防范这些恶意活动， 网络安全服务和解决方案 会尝试识别 C2 服务器与受感染设备进行通信时所涉及的机器和网站的 IP 地址，并根据来自网络安全服务提供商的威胁情报拦截与这些 IP 地址传递的任何流量。为了继续实施攻击，网络犯罪分子必须不断地切换域名，以避开拦截列表、签名过滤器、安全网关、声誉系统、入侵防护系统及其他安全技术的检测。
他们利用 DGA 生成大量域名，然后在不同的域名间变来变去，让检测引擎难以跟上步伐。

3.域名生成算法

域名生成算法使用字符序列来快速生成数以千计的域名，这些域名实际上就是攻击者与 C2 服务器进行通信的会合点。这些算法每天可以生成成千上万个 DGA 域名，其中大部分都未注册。黑客使用未注册的域名隐藏已注册的域名，从而更轻松地避开使用签名和 IP 声誉的检查引擎所进行的检测。该算法可以在客户端和源端上执行。它从攻击者和 C2 服务器已知的一个种子开始，让双方都知道将生成哪些域名以及要注册哪个域名以用作恶意软件的通信通道。如果安全系统识别出该域名并进行拦截，攻击者就会遵从黑客和恶意软件或僵尸网络都理解的模式快速切换到下一个域名，以便继续与 C2 服务器保持联系。

4.企业如何检测 DGA 域名？

企业可以利用防范恶意软件的措施来防范 DGA。由于域名生成算法是为恶意软件提供帮助，因此大多数反恶意软件解决方案基本上都能用来抵御此类威胁。最佳实践包括：
●采用最佳的定期修补方案及时更新软件，以阻止攻击者利用软件漏洞入侵防御系统并且安装恶意软件。
●开展安全意识培训，帮助用户识别可能属于恶意软件攻击的潜在恶意链接、网站和电子邮件。
●使用 URL 过滤功能来阻止用户访问已知的恶意网站或点击已知的恶意链接。
●部署安全解决方案，禁止用户打开恶意附件或启用附件文档中的宏。
●选择使用 DNS 安全解决方案，这些解决方案能够利用 DNS 流量（通常可以穿过防火墙而不会受到检查）识别和拦截 C2 服务器与恶意软件之间的通信，从而为 DGA 检测提供帮助。
部署防 DGA 技术，此类技术可使用机器学习和大数据来识别异常活动并关闭恶意网站。