1. <i id="8kl0q"></i>

    ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引頁]

    譯者: 林妙倩(清華大學網絡研究院網絡空間安全實習生)、戴亦侖(賽寧網安) 原創翻譯作品,如果需要轉載請取得翻譯作者同意。

    數據來源:ATT&CK Matrices

    原文: https://attack.mitre.org/techniques/T1483

    術語表: /attack/glossary

    域生成算法

    攻擊者可以利用域生成算法(DGA)來動態標識命令和控制流量的目的地,而不是依賴于靜態IP地址或域的列表。這樣做的好處是,防御者很難阻止,跟蹤或接管命令和控制通道,因為惡意軟件可能會檢查成千上萬個域,以檢查指令。

    DGA通過生成每個字母來構造域名時,可以采取看似隨機或“亂碼”字符串的形式(例如:istgmxdejdnxuyla.ru)。另外,某些DGA通過將單詞(而不是字母)串聯在一起來使用整個單詞作為單位(例如:cityjulydish.net)。許多DGA基于時間,在每個時間段(每小時,每天,每月等)生成一個不同的域。其他一些也包含種子值,這使得防御者很難預測未來的領域。

    攻擊者可能出于后備渠道(T1008)的目的而使用DGA 。當失去與主要命令和控制服務器的聯系時,惡意軟件可能會使用DGA作為重新建立命令和控制的手段。

    Adversaries may make use of Domain Generation Algorithms (DGAs) to dynamically identify a destination for command and control traffic rather than relying on a list of static IP addresses or domains. This has the advantage of making it much harder for defenders block, track, or take over the command and control channel, as there potentially could be thousands of domains that malware can check for instructions.

    DGAs can take the form of apparently random or "gibberish" strings (ex: istgmxdejdnxuyla.ru) when they construct domain names by generating each letter. Alternatively, some DGAs employ whole words as the unit by concatenating words together instead of letters (ex: cityjulydish.net). Many DGAs are time-based, generating a different domain for each time period (hourly, daily, monthly, etc). Others incorporate a seed value as well to make predicting future domains more difficult for defenders.

    Adversaries may use DGAs for the purpose of Fallback Channels(T1008). When contact is lost with the primary command and control server malware may employ a DGA as a means to reestablishing command and control.

    標簽

    ID編號: T1483

    策略:命令與控制

    平臺: Linux,macOS,Windows

    所需權限: user

    數據源: 網絡的過程使用,數據包捕獲,網絡設備日志,Netflow/Enclave Netflow,DNS記錄

    緩解措施

    減輕 描述
    網絡入侵防護 (M1031) 使用網絡簽名識別特定攻擊者惡意軟件流量的網絡入侵檢測和防御系統可用于緩解網絡級別的活動。惡意軟件研究人員可以對使用DGA的惡意軟件變體進行逆向工程,并確定該惡意軟件將嘗試聯系的未來域,但這是一項耗費時間和資源的工作。惡意軟件也越來越多地結合了對于每個實例唯一的種子值,然后需要確定這些值以提取將來生成的域。在某些情況下,可以從DNS流量中提取特定樣本使用的種子。即便如此,每天仍可能產生數千個可能的域。鑒于成本,這使得防御者搶先注冊所有可能的C2域是不切實際的。
    限制基于Web的內容(M1021) 在某些情況下,可以使用本地DNS漏洞來以降低的成本幫助防止基于DGA的命令和控制。
    Mitigation Description
    Network Intrusion Prevention(M1031) Network intrusion detection and prevention systems that use network signatures to identify traffic for specific adversary malware can be used to mitigate activity at the network level. Malware researchers can reverse engineer malware variants that use DGAs and determine future domains that the malware will attempt to contact, but this is a time and resource intensive effort. Malware is also increasingly incorporating seed values that can be unique for each instance, which would then need to be determined to extract future generated domains. In some cases, the seed that a particular sample uses can be extracted from DNS traffic. Even so, there can be thousands of possible domains generated per day; this makes it impractical for defenders to preemptively register all possible C2 domains due to the cost.
    Restrict Web-Based Content(M1021) In some cases a local DNS sinkhole may be used to help prevent DGA-based command and control at a reduced cost.

    檢測

    由于不同DGA算法的數量,惡意軟件家族的不斷發展以及算法復雜性的提高,檢測動態生成的域可能具有挑戰性。有多種方法可以檢測偽隨機生成的域名,包括使用頻率分析,馬爾可夫鏈,熵,字典單詞比例,元音與其他字符的比例等。CDN域可能會由于其域名格式而觸發這些檢測。除了基于名稱檢測DGA域外,另一種用于檢測可疑域的更通用方法是檢查最近注冊的名稱或訪問很少的域。

    已經開發了用于檢測DGA域的機器學習方法,并在應用程序中取得了成功。一種方法是使用N-Gram方法來確定域名中使用的字符串的隨機性得分。如果隨機性分數高,并且域未列入白名單(CDN等),則可以確定域是否與合法主機或DGA相關。)另一種方法是使用深度學習將域分類為DGA生成的域。

    Detecting dynamically generated domains can be challenging due to the number of different DGA algorithms, constantly evolving malware families, and the increasing complexity of the algorithms. There is a myriad of approaches for detecting a pseudo-randomly generated domain name, including using frequency analysis, Markov chains, entropy, proportion of dictionary words, ratio of vowels to other characters, and more.CDN domains may trigger these detections due to the format of their domain names. In addition to detecting a DGA domain based on the name, another more general approach for detecting a suspicious domain is to check for recently registered names or for rarely visited domains.

    Machine learning approaches to detecting DGA domains have been developed and have seen success in applications. One approach is to use N-Gram methods to determine a randomness score for strings used in the domain name. If the randomness score is high, and the domains are not whitelisted (CDN, etc), then it may be determined if a domain or related to a legitimate host or DGA.Another approach is to use deep learning to classify domains as DGA-generated

    免费任你躁国语自产在线播放,午夜嘿嘿嘿在线观看,国语自产精品视频在线,女人本色完整版高清,大人片视频免费,国产综合有码无码中文字幕,日日摸日日碰夜夜爽无码 2020自拍偷区亚洲综合第一页,欧美色欧美亚洲日韩在线播放,偷拍中国熟妇牲交,久久99久久99久久综合,男女配种超爽免费视频,少妇被黑人4P到惨叫,国产成人午夜精品影院 我不卡影院免费观看,手机在线不卡一区二区,在线不卡日本v二区三区18,一日本道在线不卡视频,我不卡手机在线观看,国产欧美亚洲综合第一页,欧美顶级情欲片 午夜无码片在线观看影视,在线观看免费无码专区,成年肉动漫在线观看无码,99久久无色码中文字幕,久久SE精品一区二区,午夜无码片在线观看影视 偷柏自拍亚洲不卡综合在线,国产亚洲Av黄在线,久久精品五福影院,人人爽人人爽人人爽,99国产免费和视频,中文字幕无码日韩Av,中国美女牲交视频,国产女人牲交免费视频 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 亚洲中文字幕系列第1页_欧美a级片_男女激烈性高爱潮视频,欧美激情第一欧美精品,最新国产AⅤ精品无码,亚洲 欧美 国产综合aⅴ,视频一区 二区 三区,台湾自拍偷区亚洲综合
    亚洲人成观看视频在线观看,亚洲人成网站视频,亚洲人成AV免费,强乱中文字幕在线播放不卡,强伦姧中文字幕在线观看,国产v片在线播放免费,亚洲一日韩欧美中文字幕在线 青青草伊人,洛洛色中文网最新版,五月丁香综合,亚洲另类色区欧美日韩,日本中文字幕有码在线视频,最新亚洲中文字幕一区在线,中国熟妇牲交视频,性欧美牲交在线视频 又色又黄18禁免费的网站,国产亚洲日韩在线播放不卡,亚洲欧美中文日韩在线V日本,成·人免费午夜无码视频,欧美毛片性情免费播放,免费欧洲美女牲交视频,国产美女牲交视频 少妇的丰满2中文字幕,色八区人妻在线视频,香港日本韩国免费三级,免费视频在线观看网站,免费高清视频,香港三香港日本三级在线播放,洛洛色中文网最新版 老司机午夜神器_两性色午夜视频_午夜男人免费福利视频,男人吃奶视频.男人女人强吻下面视频.无码av手机免费不卡在线观看.在线日本v二区不卡,一本到高清视频不卡dvd 成年av动漫网站18禁无码,亚洲AⅤ视频动漫在线,亚洲成年AV天堂动漫网站最新电影,在线视频免费播放动漫H片在线播放免费,国产 欧美 日产_国产欧美国日产_日产a在线播放 性抽插gif动态图,俺去啦_俺来也,女人张开腿让男人桶肌肌,床震未满十八禁止观看男女男,欧美Z0ZO人禽交免费观看,日本高清AV免费乱码专区,欧洲美女粗暴牲交 日本高清在线无码视频,日本爽快片100色毛片,人与动杂交在线播放,欧美人与禽交片免播放,日本黄大片免费播放片,香港三香港日本三级在线理论最新高清无码专区 免费网站看v片在线无遮挡,男女啪啪免费观看网站,大香大香伊人在钱线久久,日韩精品中文字幕高清在线,亚洲 国产 日韩 在线 一区,性欧美BBW性A片,黑粗硬大欧美在线视频 亚洲一日韩欧美中文字幕在线,大色堂撸撸看,欧美在线超清中文乱码一区,欧美肥老太交性视频,2020国产在视频线自在拍,日本牲交大片免费观看,日日摸夜夜添夜夜