Dealply 和 Bujo 活动使用的 DGA 算法

在最近的一次恶意软件搜寻[1] 中，Cato 研究团队确定了 DGA 算法的一些独特属性，这些属性可以帮助安全团队自动发现其网络上的恶意软件。

“Shimmy” DGA

攻击者使用 DGA（域生成算法）来生成大量（您猜对了）通常用于 C&C 服务器的域。如果没有清晰、可搜索的模式，发现 DGA 可能会很困难。

Cato 研究人员首先从恶意 Chrome 扩展程序收集流量元数据到他们的 C&C 服务。Cato 维护着一个数据仓库，该数据仓库由跨越其全球私有骨干网的所有流量的元数据构建而成。我们每天都会分析这些流中的可疑流量以搜寻威胁。

研究人员能够识别来自 80 个不同恶意 Chrome 扩展程序的流量中的相同流量模式和网络行为，这些恶意扩展程序被确定为来自 Bujo、Dealply 和 ManageX 系列恶意扩展程序。通过检查 C&C 域，研究人员观察到了一种用于创建恶意域的算法。在许多情况下，DGA 显示为随机字符。在某些情况下，域包含数字，而在其他情况下，域很长，使它们看起来很可疑。

以下是 C&C 域的一些示例

传送门： https://www.catonetworks.com/blog/the-dga-algorithm-used-by-dealply-and-bujo/?continueFlag=9d6b8dd21de880146a1ea11c33748d35