Brève : Les algorithmes DGA (Domain Generation Algorithm)
Date : 08 Décembre 2016
Des chercheurs en sécurité ont observé début décembre des variantes sophistiquées de Mirai ayant implémenté des algorithmes de type DGA (Domain Generation Algorithm).
Nous revenons dans cette brève sur cette fonctionnalité.
L’architecture de nombreux botnets se compose d’ordinateurs ou équipements connectés, qui ont été compromis et qui communiquent avec un serveur C&C (Command and Control) qui les commande, ou récupère les données dérobées.
Pour lutter contre les botnets, une technique simple utilisée par les logiciels de sécurité est d’identifier les noms de domaines de ces serveurs malveillants afin de détecter les équipements compromis, et de bloquer les communications avec ces serveurs.
Pour contourner cette défense, des familles de logiciels malveillants sophistiqués utilisent des algorithmes de type DGA (Domain Generation Algorithm) qui fournissent dynamiquement des noms de domaines prévisibles par le gestionnaire du botnet. Ces noms de domaines sont nombreux et de courte durée (plus de 10.000 générés par jour) afin de rendre inefficaces les techniques basées sur un blacklistage des serveurs C&C.
Pour plus d’informations :
- Article de Trend Micro : Why Domain Generating Algorithms (DGAs)?
- Blog de Cisco Umbrella : Domain Generation Algorithms – Why so effective?