डोमेन जनरेशन एल्गोरिदम

From Vigyanwiki
Revision as of 19:45, 14 July 2023 by alpha>Jyotimehta (text)

डोमेन जनरेशन एल्गोरिदम (डीजीए) मैलवेयर के विभिन्न समूह में देखे जाने वाली कलन विधि हैं जिनका उपयोग समय-समय पर बड़ी संख्या में डोमेन नेम उत्पन्न करने के लिए किया जाता है जिन्हें उनके कंट्रोल सर्वर (मैलवेयर) के साथ मिलन बिंदु के रूप में उपयोग किया जा सकता है। बड़ी संख्या में संभावित मिलन बिंदु नियम प्रवर्तन के लिए बॉटनेट को प्रभावी ढंग से बंद करना कठिन बनाते हैं, क्योंकि संक्रमित कंप्यूटर अपडेट या कमांड प्राप्त करने के लिए हर दिन इनमें से कुछ डोमेन नामों से संपर्क करने का प्रयास करेंगे। मैलवेयर कोड में सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग नियम प्रवर्तन और अन्य कर्ता के लिए मैलवेयर नियंत्रकों से आदेशों की नकल करना अक्षम्य बना देता है क्योंकि कुछ वर्म्स मैलवेयर नियंत्रकों द्वारा डिजिटल हस्ताक्षर के अतिरिक्त किसी भी अपडेट को स्वचालित रूप से अस्वीकार कर देंगे।

उदाहरण के लिए, एक संक्रमित कंप्यूटर हजारों डोमेन नाम बना सकता है जैसे: www.<gibberish>.com और अपडेट या कमांड प्राप्त करने के उद्देश्य से इनमें से एक हिस्से से संपर्क करने का प्रयास करेगा।

मैलवेयर के स्पष्ट बाइनरी में पहले से जेनरेट किए गए (कमांड और कंट्रोल सर्वर द्वारा) डोमेन की सूची के बजाय डीजीए को एम्बेड करना एक स्ट्रिंग डंप के खिलाफ सुरक्षा करता है जिसे संक्रमित से आउटबाउंड संचार को प्रतिबंधित करने का प्रयास करने के लिए नेटवर्क ब्लैकलिस्टिंग उपकरण में प्रीमेप्टिव रूप से फीड किया जा सकता है। एक उद्यम के भीतर होस्ट करता है।

इस तकनीक को कन्फ़िकर.ए और .बी नामक कीड़ों के परिवार द्वारा लोकप्रिय बनाया गया था, जो पहले प्रति दिन 250 डोमेन नाम उत्पन्न करते थे। कन्फिकर.सी से शुरू करके, मैलवेयर हर दिन 50,000 डोमेन नाम उत्पन्न करेगा, जिनमें से यह 500 से संपर्क करने का प्रयास करेगा, जिससे एक संक्रमित मशीन को हर दिन अपडेट होने की 1% संभावना मिलेगी यदि मैलवेयर नियंत्रक प्रति दिन केवल एक डोमेन पंजीकृत करते हैं। संक्रमित कंप्यूटरों को अपने मैलवेयर को अपडेट करने से रोकने के लिए, नियम प्रवर्तन को हर दिन 50,000 नए डोमेन नामों को पूर्व-पंजीकृत करने की आवश्यकता होगी। बॉटनेट मालिक के दृष्टिकोण से, उन्हें कई डोमेन में से केवल एक या कुछ डोमेन को पंजीकृत करना होगा जो प्रत्येक बॉट हर दिन क्वेरी करेगा।

हाल ही में, इस तकनीक को अन्य मैलवेयर लेखकों द्वारा अपनाया गया है। नेटवर्क सुरक्षा फर्म डंबल्ला (कंपनी) के अनुसार, 2011 तक शीर्ष 5 सबसे प्रचलित डीजीए-आधारित क्राइमवेयर परिवार कन्फिकर, मुरोफ़ेट, बैंकपैच, बोनाना और बोबैक्स हैं।[1] डोमेन बनाने के लिए डीजीए शब्दकोश से शब्दों को भी जोड़ सकता है। इन शब्दकोशों को मैलवेयर में हार्ड-कोड किया जा सकता है या सार्वजनिक रूप से सुलभ स्रोत से लिया जा सकता है।[2] शब्दकोश डीजीए द्वारा उत्पन्न डोमेन वैध डोमेन के समान होने के कारण उनका पता लगाना अधिक कठिन होता है।

उदाहरण

def generate_domain(year: int, month: int, day: int) -> str:
    """Generate a domain name for the given date."""
    domain = ""

    for i in range(16):
        year = ((year ^ 8 * year) >> 11) ^ ((year & 0xFFFFFFF0) << 17)
        month = ((month ^ 4 * month) >> 25) ^ 16 * (month & 0xFFFFFFF8)
        day = ((day ^ (day << 13)) >> 19) ^ ((day & 0xFFFFFFFE) << 12)
        domain += chr(((year ^ month ^ day) % 25) + 97)

    return domain + ".com"

उदाहरण के लिए, 7 जनवरी 2014 को, यह विधि डोमेन नाम उत्पन्न करेगी intgmxdeadnxuyla.com, जबकि अगले दिन, यह वापस आ जाएगा axwscwsslmiagfah.com. यह सरल उदाहरण वास्तव में CryptoLocker लॉकर जैसे मैलवेयर द्वारा उपयोग किया गया था, इससे पहले कि यह अधिक परिष्कृत संस्करण में बदल जाए।

पहचान

डीजीए डोमेन[3] ब्लैकलिस्ट का उपयोग करके नामों को अवरुद्ध किया जा सकता है, लेकिन इन ब्लैकलिस्ट का कवरेज या तो खराब है (सार्वजनिक ब्लैकलिस्ट) या बेतहाशा असंगत (वाणिज्यिक विक्रेता ब्लैकलिस्ट)।[4] पता लगाने की तकनीकें दो मुख्य वर्गों में होती हैं: प्रतिक्रियावादी और वास्तविक समय। प्रतिक्रियावादी पहचान गैर-पर्यवेक्षित क्लस्टर विश्लेषण और नेटवर्क NXDOMAIN प्रतिक्रियाओं जैसी प्रासंगिक जानकारी पर निर्भर करती है।[5] WHOIS जानकारी,[6] और निष्क्रिय डीएनएस[7] डोमेन नाम की वैधता का आकलन करना। गहन शिक्षण तकनीकों के साथ डीजीए डोमेन नामों का पता लगाने के हालिया प्रयास बेहद सफल रहे हैं, जिसमें F1 स्कोर 99% से अधिक है।[8] ये गहन शिक्षण विधियाँ आम तौर पर दीर्घकालिक अल्पकालिक मेमोरी और संवादात्मक तंत्रिका नेटवर्क आर्किटेक्चर का उपयोग करती हैं,[9] हालाँकि गहरे शब्द एम्बेडिंग ने शब्दकोश डीजीए का पता लगाने के लिए बहुत अच्छा वादा दिखाया है।[10] हालाँकि, ये गहन शिक्षण दृष्टिकोण प्रतिकूल मशीन लर्निंग के प्रति संवेदनशील हो सकते हैं।[11][12]


यह भी देखें

संदर्भ

  1. "Top-5 Most Prevalent DGA-based Crimeware Families" (PDF). Damballa. p. 4. Archived from the original (PDF) on 2016-04-03.
  2. Plohmann, Daniel; Yakdan, Khaled; Klatt, Michael; Bader, Johannes; Gerhards-Padilla, Elmar (2016). "मैलवेयर उत्पन्न करने वाले डोमेन का व्यापक मापन अध्ययन" (PDF). 25th USENIX Security Symposium: 263–278.
  3. Shateel A. Chowdhury, "DOMAIN GENERATION ALGORITHM – DGA IN MALWARE", Aug 30, 2019.
  4. Kührer, Marc; Rossow, Christian; Holz, Thorsten (2014), Stavrou, Angelos; Bos, Herbert; Portokalidis, Georgios (eds.), "Paint It Black: Evaluating the Effectiveness of Malware Blacklists" (PDF), Research in Attacks, Intrusions and Defenses, Springer International Publishing, vol. 8688, pp. 1–21, doi:10.1007/978-3-319-11379-1_1, ISBN 9783319113784, retrieved 2019-03-15
  5. Antonakakis, Manos; et al. (2012). "From Throw-Away Traffic to Bots: Detecting the Rise of DGA-Based Malware". 21st USENIX Security Symposium: 491–506.
  6. Curtin, Ryan; Gardner, Andrew; Grzonkowski, Slawomir; Kleymenov, Alexey; Mosquera, Alejandro (2018). "आवर्ती तंत्रिका नेटवर्क और साइड जानकारी के साथ डीजीए डोमेन का पता लगाना". arXiv:1810.02023 [cs.CR].
  7. Pereira, Mayana; Coleman, Shaun; Yu, Bin; De Cock, Martine; Nascimento, Anderson (2018), "Dictionary Extraction and Detection of Algorithmically Generated Domain Names in Passive DNS Traffic" (PDF), Research in Attacks, Intrusions, and Defenses, Lecture Notes in Computer Science, vol. 11050, Springer International Publishing, pp. 295–314, doi:10.1007/978-3-030-00470-5_14, ISBN 978-3-030-00469-9, retrieved 2019-03-15
  8. Woodbridge, Jonathan; Anderson, Hyrum; Ahuja, Anjum; Grant, Daniel (2016). "दीर्घकालिक अल्पकालिक मेमोरी नेटवर्क के साथ डोमेन जनरेशन एल्गोरिदम की भविष्यवाणी करना". arXiv:1611.00791 [cs.CR].
  9. Yu, Bin; Pan, Jie; Hu, Jiaming; Nascimento, Anderson; De Cock, Martine (2018). "डीजीए डोमेन नामों का चरित्र स्तर आधारित पता लगाना" (PDF). 2018 International Joint Conference on Neural Networks (IJCNN). Rio de Janeiro: IEEE: 1–8. doi:10.1109/IJCNN.2018.8489147. ISBN 978-1-5090-6014-6. S2CID 52398612.
  10. Koh, Joewie J.; Rhodes, Barton (2018). "संदर्भ-संवेदनशील शब्द एंबेडिंग के साथ डोमेन जनरेशन एल्गोरिदम का इनलाइन पता लगाना". 2018 IEEE International Conference on Big Data (Big Data). Seattle, WA, USA: IEEE: 2966–2971. arXiv:1811.08705. doi:10.1109/BigData.2018.8622066. ISBN 978-1-5386-5035-6. S2CID 53793204.
  11. Anderson, Hyrum; Woodbridge, Jonathan; Bobby, Filar (2016). "DeepDGA: Adversarially-Tuned Domain Generation and Detection". arXiv:1610.01969 [cs.CR].
  12. Sidi, Lior; Nadler, Asaf; Shabtai, Asaf (2019). "MaskDGA: A Black-box Evasion Technique Against DGA Classifiers and Adversarial Defenses". arXiv:1902.08909 [cs.CR].


अग्रिम पठन