行业新闻与博客

Akamai 的研究人员发现域名系统 (DNS) 流量数据中动态种子域生成算法 (DGA) 系列的行为发生了令人担忧的变化。这一发现揭示了恶意行为者如何调整其策略来延长其命令与控制 (C2) 通信通道的寿命，从而保护其僵尸网络。

从技术角度来看，DGA 有两种主要类型：动态种子（动态 DGA）和静态种子（静态 DGA）。动态 DGA 依赖于时间相关的种子（通常基于当前日期），如果对算法进行逆向工程，则允许进行域预测。静态 DGA 使用不变的种子来生成一致的域序列。

恶意软件依靠 DGA 与中央服务器进行通信，而 DGA 会生成大量半随机域名。受感染的设备尝试连接到这些域，只需一次成功的连接即可与 C2 服务器进行联系。鉴于这些领域不断变化，这给网络安全专家带来了巨大的挑战。

在 DGA 出现之前，恶意软件作者将域名硬编码到他们的代码中，这样在逆向工程时就很容易被阻止。DGA 始于 2008 年的 Kraken 家族，并由 Conficker 普及，改变了游戏规则，产生了许多日常域名并压垮了安全团队。

Akamai 的新研究重点关注动态 DGA，重点关注 Pushdo 和 Necurs 系列，两者都使用基于日期的种子进行域预测。然而，该研究发现了意想不到的行为。

对于 Pushdo，研究人员预计在预期日期的 24 小时内会出现查询域。相反，他们发现了距预期日期 -50 到 +50 天的独特域名，这表明恶意行为者故意转移种子以迷惑安全研究人员。

同样，Necurs 家族的行为也超出了预期。研究人员预计域名会在预计日期的 -7 至 +7 天内出现，但在 +12 天左右发现了较小的峰值，这表明恶意行为者故意将域名滞后 7 天以逃避检测。

Akamai 研究人员 Connor Faulkner 和 Stijn Tilborghs 周三发表的分析称：“我们的分析表明，这样做是为了避免 DGA 检测系统并使安全研究团队的工作复杂化。”

“虽然恶意行为者继续寻找保护其僵尸网络并延长其 C2 通信通道寿命的方法，但安全研究人员的工作就是应对这些措施并更好地识别真实情况与预期情况。”