Domain Flux

Domain Flux
Domains die mit einem Domain-Generation-Algorithmus generiert wurden und auf einen C&C leiten

Domain Flux ist eine Technik, die von Botnetbetreibern genutzt wird, um den Standort ihrer Command-&-Control-Server zu verbergen. Der Vorteil gegenüber Fast Flux besteht darin, dass die Domain zu der sich die infizierten Rechner verbinden, ständig gewechselt wird. Somit ist es beinahe unmöglich, den Command-&-Control-Server (kurz: C&C) zu finden, ohne den DGA zu entschlüsseln.

Inhaltsverzeichnis

Domain-Generation-Algorithmus

Domain-Generation-Algorithmus

Der sogenannte Domain-Generation-Algorithmus (kurz: DGA) ist ein Teil der Malware zum Generieren von Domainnamen. Wenn der Bot eine Domain generiert, muss der Botnet-Betreiber die Domain registrieren, über die sich die infizierten Rechner dann zum Command-&-Control-Server verbinden. Um das Erraten einer Domain zu erschweren, kann eine Zufallskomponente wie die Twitter-API, die das Botnetz Sinowal/Torpig verwendet, hinzugezogen werden. Durch das tägliche Wechseln der Domain ist es sehr schwer, den C&C des Botnetzes ausfindig zu machen.

Beispiel DGA

<script type="text/javascript"> 
var suffix = new Array("anj", "ebf", "arm", "pra", "aym", "unj", "ulj", "uag", "esp", "kot", "onv", "edc"); 
var t; 

function generate_daily_domain() 
{ 
  t = new Date(); 
  p = 8; 
  return generate_domain(t, p); 
} 

function scramble_date(t, p) 
{ 
  return (((t.getMonth() ^ t.getDay()) + t.getDay()) * p) + t.getDay() + t.getYear(); 
} 

function generate_domain(t, p) 
{ 
  var year = t.getYear(); 

  if (year < 2007) { 
    year = 2007; 
  } 
   
  var s = scramble_date(t, p); 
  var c1 = (((t.getYear() >> 2) & 0x3fc0) + s) % 25 + 'a'; 
  var c2 = (t.getMonth() + s) % 10 + 'a'; 
  var c3 = ((t.getYear() & 0xff) + s) % 25 + 'a'; 

  if (t.getDay() * 2 < '0' || t.getDay() * 2 > '9') { 
    var c4 = (t.day * 2) % 25 + 'a'; 
  } else { 
    var c4 = t.getDay() % 10 + '1'; 
  } 

  return c1 + 'h' + c2 + c3 + 'x' + c4 + suffix[t.getMonth() - 1]; 
} 

document.write(generate_daily_domain()); 
</script> 

Es wird auf dem aktuellen Datum und einem Seed (in Form der Zahl p = 8) ein Domainname generiert. An diesem generierten Domainnamen werden eine Reihe von TLD´s wie .com, .org, .net und dergleichen angehängt und dann versucht ob dieser erreichbar ist. Die täglich generierte Domain ist die zweite Schicht, welche der Bot verwendet um eine Domain zu kontaktieren. Zuallererst wird eine wöchentliche Domain generiert, welche sich die ganze Woche nicht ändert. Erst wenn diese nicht mehr erreichbar ist generiert der Bot eine tägliche Domain, sollte dieses fehlschlagen, gibt es einen Fallback auf hartcodierte Domains.

Domain-Registrierungsablauf

Domain-Registrierung

Bei der Registrierung einer Domain generiert der Bot diese und der Betreiber registriert die Domain, über die sich die infizierten Rechner dann zum C&C verbinden. Um die aktuelle Domain zu kennen, die der Bot generiert, benutzt der Betreiber ein Programm, welches denselben DGA verwendet wie seine Malware.

Domain Wildcard

Domain Wildcarding missbraucht systemeigene DNS-Funktionalität um eine höhergestellte Domain zu verallgemeinern, sodass alle FQDNs auf dieselbe IP verweisen. Zum Beispiel könnte *.Domain.com sowohl mypc.atl.Domain.com als auch myserver.Domain.com einschließen. Diese Methode wird meistens mit Botnets in Verbindung gebracht, die Spam und Phishing-Inhalte verbreiten – wobei die willkürlich aussehenden stellvertretenden Informationen dem Botnet-Betreiber dazu dienen, ein Opfer eindeutig zu erfassen, den Erfolgsverlauf durch verschiedene Zustellungsverfahren nachzuvollziehen und Anti-Spam-Technologien zu umgehen.

Die meisten dieser automatisch erzeugten Phishing-URLs (die die Wildcard-Domains für die Namensauflösung nutzen) können mit einer Filterregel abgeblockt werden, der die Länge eines Host-Namens in einer URL auf maximal vier oder fünf Level beschränkt. Dann wäre eine URL mit dem Namen "www.MyDomain.co.za" in Ordnung, während eine URL mit dem Namen "www.Domain.co.uk.b906758.index.MyBank.cc" automatisch blockiert werden würde.

Das wandelnde Command-&-Control-Center

Serverwechsel

Einige Botnetze sind in der Lage, ihr Steuerzentrum zu verlagern. Hierfür enthält das Steuerungszentrum des Botnetzes eine Datenbank mit allen registrierten Domains und Daten, die zur Verschiebung des Command-&-Control-Servers benutzt werden können. Das stetige Wechseln des Steuerungszentrums erschwert das Aufspüren abermals und schützt es vor der Entdeckung durch Antivirenfirmen und Behörden.

Domain-Flux-Botnetze

  • Srizbi: Cbeplay, Exchanger
  • Sinowal: Torpig, Anserin
  • Conficker: DownUp, DownAndUp, DownAdUp, Kido

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Domain name speculation — is the practice of identifying and registering or acquiring Internet domain names with the intent of selling them later for a profit. The main targets of domain name speculation are generic words which can be valuable for type in traffic and for… …   Wikipedia

  • Domain parking — is the registration of an Internet domain name without using it for services such as e mail or a website i.e without placing any content on the domain. This may be done to reserve the domain name for future development, to protect against the… …   Wikipedia

  • Domain tasting — is the practice of a domain name registrant using the five day grace period (the Add Grace Period or AGP) at the beginning of the registration of an ICANN regulated second level domain to test the marketability of the domain. During this period,… …   Wikipedia

  • Domain-driven design — (DDD) is an approach to developing software for complex needs by deeply connecting the implementation to an evolving model of the core business concepts.[1] The premise of domain driven design is the following: Placing the project s primary focus …   Wikipedia

  • Flux limiter — Flux limiters are used in high resolution schemes mdash; numerical schemes used to solve problems in science and engineering, particularly fluid dynamics, described by partial differential equations (PDE s). They are used in high resolution… …   Wikipedia

  • Domain name warehousing — is the common practice of registrars obtaining control of domain names with the intent to hold or “warehouse” names for their use and/or profit. Also see domain name front running and domain tasting, related business practices employed by… …   Wikipedia

  • Domain sniping — is the practice of an individual registering a domain name whose registration has lapsed in the immediate moments after expiry. This practice has largely been rendered moot through ICANN s addition of the Redemption Grace Period (RGP), which… …   Wikipedia

  • Domain name front running — is the practice whereby a domain name registrar uses insider information to register domains for the purpose of re selling them or earning revenue via ads placed on the domain s landing page. By registering the domains, the registrar locks out… …   Wikipedia

  • Domain name drop list — A domain name drop list is a list containing the expired domain names that will be deleted from the domain name registry in the near future. These lists are typically used by domainers to locate expiring domain names with value. Contents 1 Drop… …   Wikipedia

  • Domain aftermarket — The domain aftermarket is the secondary market for Internet domain names in which a party interested in acquiring a domain that is already registered bids or negotiates a price to effect the transfer of registration from the registered holder of… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”