Les algorithmes de domaine (DGA) ne sont pas nouveaux. Les auteurs de logiciels malveillants les utilisent pour rendre leur infrastructure plus résiliente. Les chercheurs en sécurité peuvent utiliser certaines fonctionnalités de ces algorithmes pour garder une longueur d'avance sur leurs adversaires. Découvrez avec nous l'état actuel de l'enquête. L'analyse des logiciels et la sécurité doivent toujours aller de pair. Le système de malware doit être appliqué.
De nombreux types de logiciels malveillants modernes nécessitent un serveur de surveillance.
Ne serait-il pas très utile pour les criminels de ne pas avoir à s'inquiéter de la prise de contrôle de leurs serveurs de contrôle? Bien sûr, il y a un moyen. Si les scanners ne savent pas où va le logiciel malveillant une fois qu'il est installé, ils ne pourront pas arrêter les serveurs. C'est là qu'interviennent les DGA. En d'autres termes, un DGA calcule indépendamment les domaines selon un schéma plus ou moins aléatoire. Cela se produit à différents intervalles, du quotidien à plusieurs fois par heure. Tout ce qu'un criminel doit faire maintenant est d'enregistrer les domaines générés aléatoirement et de les connecter à leur infrastructure de contrôle. Connaissant le fonctionnement de son algorithme, il peut précalculer et enregistrer des centaines de domaines et n'a plus à se soucier d'en saisir un. La recherche de serveurs de contrôle devient donc une course virtuelle vers le bas : vous pourriez être en mesure d'arrêter un serveur, mais découvrir ensuite que les machines infectées sont déjà passées au serveur suivant qui est sous le contrôle des bots. les criminels. Les systèmes ne sont pas menacés. L'analyse doit localiser le logiciel malveillant, ce qui garantira la sécurité du système logiciel.
Mais tout n'est pas perdu : la façon dont les domaines sont créés suit toujours un certain modèle, et les modèles sont visibles. Ce simple fait a un grand potentiel : si les chercheurs peuvent surveiller le trafic réseau d'une application suspecte, alors on peut conclure avec une certaine certitude si oui ou non un domaine contacté a été créé par ledit algorithme de génération de domaine. Actuellement, il existe toujours un risque de détections de faux positifs, même s'il existe très peu de cas d'utilisation légitime de la DGA. Certains algorithmes essaient spécifiquement de donner l'impression qu'un domaine légitime a été contacté, mais avec des fautes de frappe comme "goolge.de". Les données obtenues peuvent également être utilisées pour tirer d'autres conclusions : les chercheurs peuvent également utiliser la façon dont les domaines C2 des systèmes sont calculés pour établir des liens entre différentes familles de logiciels malveillants.
Une fois que l'on sait comment le logiciel malveillant calcule ses adresses de serveur de contrôle, des contre-mesures peuvent être prises. Une mesure efficace et controversée serait que les forces de l'ordre enregistrent les domaines afin que l'attaquant ne puisse plus y accéder. Les experts appellent également cette stratégie "le naufrage". Cependant, les criminels le remarqueraient très rapidement. Soit dit en passant : le fait qu'un domaine n'ait pas été contacté à l'avance a contribué de manière significative au ralentissement du rançongiciel WannaCry. Le chercheur de logiciels malveillants a découvert qu'un domaine contacté n'était pas enregistré et l'a enregistré lui-même. Par inadvertance, cela a déclenché le tristement célèbre kill switch de WannaCry, ce qui en a fait un héros involontaire pour des milliers d'entreprises à travers le monde.
Le monde de la cybersécurité a évolué. De nos jours, les cybercriminels n'hésitent pas à utiliser les stratagèmes les plus complexes pour atteindre leurs cibles. Pour maintenir leur présence sur le réseau de la victime via un serveur de commande et de contrôle, la plupart ont recours au DNS dynamique. Cette stratégie leur permet d'initier des transferts ou des mises à jour de fichiers, généralement à des fins malveillantes. Les algorithmes de génération de noms de domaine, ou DGA Domain Generation Algorithm, sont l'une des techniques les plus difficiles à détecter. Cependant, il existe des méthodes pour détecter ce type notoire d'attaque DNS. Pour bien les comprendre , il est important de savoir ce qui constitue une utilisation frauduleuse des noms de domaine.
contrôle de l'hôte
L'enregistrement d'un nom de domaine à des fins malveillantes telles que le phishing, les logiciels malveillants, les botnets est une fraude et est considéré comme illégal dans le monde entier. Cela ne décourage toutefois pas les cybercriminels, qui continueront à profiter de la flexibilité des noms de domaine pour s'enrichir personnellement. Une pratique connue consiste à déplacer l'adresse IP des serveurs de commande et de contrôle des logiciels malveillants à l'aide de diverses techniques pour échapper à la détection. Pour garder le contrôle de l'hôte compromis, les cybercriminels implémentent une porte dérobée ainsi qu'un canal C&C pour rester en communication constante avec l'appareil cible. En d'autres termes, l'appareil devient un bot contrôlé par le botmaster, c'est-à-dire le cybercriminel.
