Dealply 和 Bujo 活动使用的 DGA 算法_tiknovel-最新最全的nft,web3,AI技术资讯技术社区

Dealply 和 Bujo 活动使用的 DGA 算法

2022-04-09 18:41:30  浏览:498  作者:管理员
Dealply 和 Bujo 活动使用的 DGA 算法

在最近的一次恶意软件搜寻[1] 中,Cato 研究团队确定了 DGA 算法的一些独特属性,这些属性可以帮助安全团队自动发现其网络上的恶意软件。

“Shimmy” DGA

攻击者使用 DGA(域生成算法)来生成大量(您猜对了)通常用于 C&C 服务器的域。如果没有清晰、可搜索的模式,发现 DGA 可能会很困难。

Cato 研究人员首先从恶意 Chrome 扩展程序收集流量元数据到他们的 C&C 服务。Cato 维护着一个数据仓库,该数据仓库由跨越其全球私有骨干网的所有流量的元数据构建而成。我们每天都会分析这些流中的可疑流量以搜寻威胁。

研究人员能够识别来自 80 个不同恶意 Chrome 扩展程序的流量中的相同流量模式和网络行为,这些恶意扩展程序被确定为来自 Bujo、Dealply 和 ManageX 系列恶意扩展程序。通过检查 C&C 域,研究人员观察到了一种用于创建恶意域的算法。在许多情况下,DGA 显示为随机字符。在某些情况下,域包含数字,而在其他情况下,域很长,使它们看起来很可疑。

以下是 C&C 域的一些示例

传送门: https://www.catonetworks.com/blog/the-dga-algorithm-used-by-dealply-and-bujo/?continueFlag=9d6b8dd21de880146a1ea11c33748d35


评论区

共 0 条评论
  • 这篇文章还没有收到评论,赶紧来抢沙发吧~

【随机内容】

返回顶部