Un esempio di algoritmo di generazione dei domini è il DGA del worm Conficker, utilizzato per generare un gran numero di nomi di dominio univoci per la sua infrastruttura di comando e controllo.
Un algoritmo di generazione dei domini (DGA) è un programma che genera un gran numero di nuovi nomi di dominio. I criminali informatici e gli operatori di botnet utilizzano gli algoritmi di generazione dei domini per cambiare frequentemente i domini che utilizzano per sferrare attacchi malware. Questa tecnica consente agli hacker di evitare le soluzioni di rilevamento dei malware che bloccano nomi di dominio specifici e indirizzi IP statici.
Perché i criminali informatici usano gli algoritmi di generazione dei domini?
Gli autori degli attacchi utilizzano i malware per infettare un gran numero di computer o dispositivi all'interno degli ambienti IT aziendali. Questi criminali possono lanciare comandi a questi computer o bot infettati dal malware e raccogliere informazioni utilizzando un server di comando e controllo (server C2), in genere un computer ospitato all'interno di un sistema compromesso. Questa rete di bot, o botnet, può essere utilizzata per diffondere spam, rubare dati sensibili o condurre campagne DDoS (Distributed Denial-of-Service) e altri attacchi informatici.
Per prevenire queste attività dannose, i servizi e le soluzioni di cybersicurezza cercano di identificare gli indirizzi IP dei computer e dei siti web coinvolti nella comunicazione tra i server C2 e i dispositivi infetti, bloccando il traffico diretto a o proveniente da tali indirizzi IP sulla base dell'intelligence sulle minacce di un fornitore di sicurezza di rete. Per continuare i loro attacchi, i criminali informatici devono cambiare continuamente dominio per evitare il rilevamento tramite blocklist, filtri basati su firme, gateway di protezione, sistemi di reputazione, sistemi di prevenzione delle intrusioni e altre tecnologie di sicurezza.
Utilizzando i DGA per generare un gran numero di nomi di dominio, i criminali informatici possono cambiare rapidamente dominio a un ritmo che rende difficile per i motori di rilevamento tenere il passo.
Come funzionano gli algoritmi di generazione dei domini?
Gli algoritmi di generazione dei domini sono applicazioni che utilizzano sequenze di caratteri per produrre rapidamente migliaia di nomi di dominio, che potrebbero servire da punto di incontro in cui i criminali possono comunicare con i server C2. Questi algoritmi possono generare decine di migliaia di nomi di dominio DGA al giorno, la maggior parte dei quali non registrati. Gli hacker utilizzano i domini non registrati per nascondere quelli registrati, rendendo più facile l'elusione del rilevamento da parte dei motori di ispezione che utilizzano le firme e la reputazione IP. L'algoritmo viene eseguito sia sul lato client che su quello sorgente. Inizia con un seme noto sia al criminale che al server C2, consentendo a entrambi di sapere quali domini verranno generati e quale dominio verrà registrato per servire da canale di comunicazione per il malware. Se tale dominio viene identificato dai sistemi di sicurezza e bloccato, i criminali possono passare rapidamente al dominio successivo per mantenere il contatto con il server C2, seguendo uno schema compreso sia dall'hacker che dal malware o la botnet.
Quali sono le tipologie di DGA?
Gli hacker hanno sviluppato diverse tipologie di DGA per aumentare la loro capacità di creare domini dannosi eludendo il rilevamento.
- I DGA con generatore di numeri pseudo-casuali (PRNG) sono la metodologia più comune e utilizzano un seme casuale (spesso la data e l'ora del sistema) per generare sequenze di domini che sia l'aggressore che il malware possono prevedere.
- I DGA basati sui caratteri utilizzano un seme casuale per generare nomi di dominio con lettere o numeri. Questi DGA sono i più facili da rilevare.
- I DGA basati sui dizionari combinano casualmente le parole per generare domini che sembrano leggibili e sono più difficili da rilevare per i sistemi di sicurezza, poiché sembrano domini legittimi.
- I DGA ad alta collisione sono progettati per assomigliare a nomi di dominio legittimi e sono abbinati a domini di primo livello (TLD) come .com, .net e .org. Con i DGA ad alta collisione, è più probabile che il dominio prodotto sia già registrato, causando una "collisione" che può aggiungere un livello di confusione al processo di rilevamento.
In che modo le organizzazioni possono individuare i domini DGA?
Le misure adottate dalle organizzazioni per prevenire i malware possono prevenire anche i DGA. Poiché gli algoritmi di generazione dei domini sono utilizzati per la penetrazione dei malware, la maggior parte delle soluzioni antimalware offre difese di base contro queste minacce. Le best practice includono:
- Adozione di una frequenza di applicazione delle patch ottimale per mantenere il software aggiornato, impedendo agli autori di attacchi di sfruttare le vulnerabilità del software per penetrare le difese e installare il malware.
- Organizzazione di corsi di formazione sulla sensibilizzazione alla sicurezza, per aiutare gli utenti a riconoscere i link, i siti web e le e-mail potenzialmente dannosi che potrebbero far parte di un attacco malware.
- Utilizzo del filtraggio degli URL per impedire agli utenti di accedere a siti web o di fare clic su link noti per essere dannosi.
- Implementazione di soluzioni di sicurezza per bloccare la possibilità per gli utenti di aprire allegati dannosi o abilitare macro su documenti allegati.
- Scelta di soluzioni di sicurezza DNS che possano aiutare il rilevamento dei DGA identificando e bloccando la comunicazione tra i server C2 e il malware utilizzando il traffico DNS, che spesso può passare attraverso i firewall senza essere ispezionato.
- Implementazione di una tecnologia anti-DGA che utilizzi l'apprendimento automatico e i big data per identificare le attività anomale e bloccare i siti dannosi.
Domande frequenti (FAQ)
I tre fattori che possono essere utilizzati negli algoritmi di generazione dei domini sono il tempo, il seme casuale e i calcoli matematici.
I DGA sono utili ai criminali informatici perché consentono loro di cambiare costantemente i domini utilizzati per la comunicazione con i computer infetti, rendendo difficile per i ricercatori di sicurezza e le forze dell'ordine rintracciare e distruggere la loro infrastruttura.
La differenza principale tra un algoritmo di generazione dei domini e un elenco di parole è che un DGA genera nomi di dominio in modo algoritmico in base a determinati fattori, mentre un elenco di parole è un elenco statico di nomi di dominio predeterminati, che possono essere utilizzati da un malware o da una botnet per scopi di comunicazione. I DGA offrono un livello superiore di variabilità e imprevedibilità rispetto agli elenchi di parole.
Perché i clienti scelgono Akamai
Akamai è l'azienda di cybersecurity e cloud computing che abilita e protegge il business online. Le nostre soluzioni di sicurezza leader del settore, la nostra innovativa intelligence sulle minacce e il nostro team operativo su scala globale forniscono una difesa approfondita in grado di proteggere i dati e le applicazioni aziendali ovunque. Le soluzioni complete di cloud computing offerte da Akamai assicurano performance elevate e notevoli risparmi, grazie alla piattaforma più distribuita al mondo. Le maggiori aziende internazionali si affidano ad Akamai per ottenere la protezione, la scalabilità e le competenze leader del settore di cui hanno bisogno per far crescere la loro attività senza rischi.