在最近的一次恶意软件搜寻[1] 中,Cato 研究团队确定了 DGA 算法的一些独特属性,这些属性可以帮助安全团队自动发现其网络上的恶意软件。
攻击者使用 DGA(域生成算法)来生成大量(您猜对了)通常用于 C&C 服务器的域。如果没有清晰、可搜索的模式,发现 DGA 可能会很困难。
Cato 研究人员首先从恶意 Chrome 扩展程序收集流量元数据到他们的 C&C 服务。Cato 维护着一个数据仓库,该数据仓库由跨越其全球私有骨干网的所有流量的元数据构建而成。我们每天都会分析这些流中的可疑流量以搜寻威胁。
研究人员能够识别来自 80 个不同恶意 Chrome 扩展程序的流量中的相同流量模式和网络行为,这些恶意扩展程序被确定为来自 Bujo、Dealply 和 ManageX 系列恶意扩展程序。通过检查 C&C 域,研究人员观察到了一种用于创建恶意域的算法。在许多情况下,DGA 显示为随机字符。在某些情况下,域包含数字,而在其他情况下,域很长,使它们看起来很可疑。
以下是 C&C 域的一些示例
传送门: https://www.catonetworks.com/blog/the-dga-algorithm-used-by-dealply-and-bujo/?continueFlag=9d6b8dd21de880146a1ea11c33748d35
下一篇:《算法设计与分析》课件
Martial God Asura Chapter 2170 - Treachery
2024-09-08Shadow Slave Chapter 904 A Journey Of A Thousand Miles
2024-10-27