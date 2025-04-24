Conficker 蠕虫 DGA 就是一种域名生成算法，它可以为其命令和控制基础架构生成大量唯一域名。
域名生成算法 (DGA) 是一个可以生成大量新域名的程序。网络犯罪分子和僵尸网络运营者会使用域名生成算法来频繁更改所使用的域名，从而花样翻新地发起各种恶意软件攻击。利用这项技术，黑客可以避开用于拦截特定域名和静态 IP 地址的恶意软件检测解决方案。
网络犯罪分子为什么使用域名生成算法？
攻击者利用恶意软件来感染企业 IT 环境内的大量计算机或设备。通过使用命令和控制服务器（即 C2 服务器，通常也托管在被入侵的系统内），攻击者可以向这些感染恶意软件的机器或爬虫程序发出命令并且从中收集信息。这种爬虫程序网络也就是僵尸网络，可用于传播垃圾邮件、窃取敏感数据或执行分布式拒绝服务 (DDoS) 攻击活动以及其他网络攻击。
为了防范这些恶意活动， 网络安全服务和解决方案 会尝试识别 C2 服务器与受感染设备进行通信时所涉及的机器和网站的 IP 地址，并根据来自网络安全服务提供商的威胁情报拦截与这些 IP 地址传递的任何流量。为了继续实施攻击，网络犯罪分子必须不断地切换域名，以避开拦截列表、签名过滤器、安全网关、声誉系统、入侵防护系统及其他安全技术的检测。
他们利用 DGA 生成大量域名，然后在不同的域名间变来变去，让检测引擎难以跟上步伐。
域名生成算法的工作原理是什么？
域名生成算法使用字符序列来快速生成数以千计的域名，这些域名实际上就是攻击者与 C2 服务器进行通信的会合点。这些算法每天可以生成成千上万个 DGA 域名，其中大部分都未注册。黑客使用未注册的域名隐藏已注册的域名，从而更轻松地避开使用签名和 IP 声誉的检查引擎所进行的检测。该算法可以在客户端和源端上执行。它从攻击者和 C2 服务器已知的一个种子开始，让双方都知道将生成哪些域名以及要注册哪个域名以用作恶意软件的通信通道。如果安全系统识别出该域名并进行拦截，攻击者就会遵从黑客和恶意软件或僵尸网络都理解的模式快速切换到下一个域名，以便继续与 C2 服务器保持联系。
DGA 有哪些类型？
黑客们已开发出不同类型的 DGA，能够在避开检测的同时提高他们创建恶意域名的能力。
- 伪随机数生成器 (PRNG) 是最为常用的一种 DGA 方法，它使用随机种子（通常是系统日期和时间）生成攻击者和恶意软件都能预测到的域名序列。
- 基于字符的 DGA 使用随机种子生成由字母或数字组成的域名。这些都是较为容易检测出的 DGA 算法。
- 基于词典的 DGA 会随机组合一些词语来生成看似可以理解的域名，这类域名对安全系统来说更难以检测，因为它们看起来像合法域名。
- 高冲突 DGA 也会生成看似合法的域名，并将其与 .com、.net 和 .org 等顶级域名 (TLD) 搭配起来使用。使用高冲突 DGA 时，其生成的域名已注册的可能性更大，这不可避免地会造成“冲突”，使得检测过程更加混乱。
企业如何检测 DGA 域名？
企业可以利用防范恶意软件的措施来防范 DGA。由于域名生成算法是为恶意软件提供帮助，因此大多数反恶意软件解决方案基本上都能用来抵御此类威胁。最佳实践包括：
- 采用最佳的定期修补方案及时更新软件，以阻止攻击者利用软件漏洞入侵防御系统并且安装恶意软件。
- 开展安全意识培训，帮助用户识别可能属于恶意软件攻击的潜在恶意链接、网站和电子邮件。
- 使用 URL 过滤功能来阻止用户访问已知的恶意网站或点击已知的恶意链接。
- 部署安全解决方案，禁止用户打开恶意附件或启用附件文档中的宏。
- 选择使用 DNS 安全解决方案，这些解决方案能够利用 DNS 流量（通常可以穿过防火墙而不会受到检查）识别和拦截 C2 服务器与恶意软件之间的通信，从而为 DGA 检测提供帮助。
- 部署防 DGA 技术，此类技术可使用机器学习和大数据来识别异常活动并关闭恶意网站。
常见问题
域名生成算法中使用的三个要素分别是时间、随机种子和数学计算。
DGA 之所以对网络犯罪分子很有用，是因为此类算法可以帮助他们不断变换与受感染的机器进行通信的域名，从而让安全研究人员和执法部门难以追踪和关闭其基础架构。
域名生成算法与单词列表的主要区别在于，DGA 根据特定要素利用算法来生成域名，而单词列表是预先确定的域名的静态列表，其中包含的域名可以由恶意软件或僵尸网络用于通信目的。与单词列表相比，DGA 的可变性和不可预测性更高。
