Akamai的研究人员发现,在域名系统(DNS)流量数据中,动态种子域生成算法(DGA)家族的行为发生了令人担忧的变化。这一发现揭示了恶意行为者如何调整他们的策略来延长他们的指挥与控制(C2)通信通道的寿命,以保护他们的僵尸网络。
从技术角度来看,DGAs有两种主要类型,分别是动态种子(动态DGAs)和静态种子(静态DGAs)。动态DGAs依赖于时间相关的种子,通常基于当前日期,如果算法是逆向工程,则允许域预测。静态DGAs使用不变的种子来生成一致的域序列。
恶意软件依赖DGAs与中央服务器通信,DGAs生成大量半随机域名。受感染的设备尝试连接到这些域,只有一个成功的连接允许与C2服务器联系。这给网络安全专家带来了巨大的挑战,因为这些领域不断变化。
在DGAs之前,恶意软件作者将域硬编码到他们的代码中,这使得在进行反向工程时很容易被阻止。DGAs,从2008年的Kraken家族开始,由Conficker推广,改变了游戏规则,产生了许多日常域名和压倒性的安全团队。
Akamai的新研究聚焦于动态DGAs,专注于Pushdo和Necurs家族,两者都使用基于日期的种子进行领域预测。然而,这项研究发现了意想不到的行为。
对于Pushdo,研究人员预计在预期日期的24小时窗口内查询域名。相反,他们发现了从预期日期-50天到+50天的唯一域名,这表明恶意行为者故意转移种子以迷惑安全研究人员。
同样,内克斯一家的行为也出乎意料。研究人员预计域名会在预期日期的-7到+7天内出现,但在+12天左右发现了一个较小的峰值,这表明恶意行为者故意将域名延迟7天以逃避检测。
Akamai研究人员Connor Faulkner和Stijn Tilborghs在周三发表的分析报告中写道:“我们的分析表明,这样做是为了避开DGA检测系统,使安全研究团队的工作复杂化。”
当恶意行为者继续寻找方法来保护他们的僵尸网络并延长他们的C2通信通道的寿命时,安全研究人员的工作就是对抗这些措施,更好地识别真实的和预期的。
