डोमेन जनरेशन एल्गोरिदम

डोमेन जनरेशन एल्गोरिदम (डीजीए) मैलवेयर के विभिन्न समूह में देखे जाने वाली कलन विधि हैं जिनका उपयोग समय-समय पर बड़ी संख्या में डोमेन नेम उत्पन्न करने के लिए किया जाता है जिन्हें उनके कंट्रोल सर्वर (मैलवेयर) के साथ मिलन बिंदु के रूप में उपयोग किया जा सकता है। बड़ी संख्या में संभावित मिलन बिंदु नियम प्रवर्तन के लिए बॉटनेट को प्रभावी ढंग से बंद करना कठिन बनाते हैं, क्योंकि संक्रमित कंप्यूटर अपडेट या कमांड प्राप्त करने के लिए हर दिन इनमें से कुछ डोमेन नामों से संपर्क करने का प्रयास करेंगे। मैलवेयर कोड में सार्वजनिक-कुंजी क्रिप्टोग्राफी का उपयोग नियम प्रवर्तन और अन्य कर्ता के लिए मैलवेयर नियंत्रकों से आदेशों की नकल करना अक्षम्य बना देता है क्योंकि कुछ वर्म्स मैलवेयर नियंत्रकों द्वारा डिजिटल हस्ताक्षर के अतिरिक्त किसी भी अपडेट को स्वचालित रूप से अस्वीकार कर देंगे।

उदाहरण के लिए, एक संक्रमित कंप्यूटर हजारों डोमेन नाम बना सकता है जैसे: ''www. .com'' और अपडेट या कमांड प्राप्त करने के उद्देश्य से इनमें से एक हिस्से से संपर्क करने का प्रयास करेगा।

मैलवेयर के स्पष्ट बाइनरी में पहले से जेनरेट किए गए (कमांड और कंट्रोल सर्वर द्वारा) डोमेन की सूची के बजाय डीजीए को एम्बेड करना एक स्ट्रिंग डंप के खिलाफ सुरक्षा करता है जिसे संक्रमित से आउटबाउंड संचार को प्रतिबंधित करने का प्रयास करने के लिए नेटवर्क ब्लैकलिस्टिंग उपकरण में प्रीमेप्टिव रूप से फीड किया जा सकता है। एक उद्यम के भीतर होस्ट करता है।

इस तकनीक को कन्फ़िकर.ए और .बी नामक कीड़ों के परिवार द्वारा लोकप्रिय बनाया गया था, जो पहले प्रति दिन 250 डोमेन नाम उत्पन्न करते थे। कन्फिकर.सी से शुरू करके, मैलवेयर हर दिन 50,000 डोमेन नाम उत्पन्न करेगा, जिनमें से यह 500 से संपर्क करने का प्रयास करेगा, जिससे एक संक्रमित मशीन को हर दिन अपडेट होने की 1% संभावना मिलेगी यदि मैलवेयर नियंत्रक प्रति दिन केवल एक डोमेन पंजीकृत करते हैं। संक्रमित कंप्यूटरों को अपने मैलवेयर को अपडेट करने से रोकने के लिए, नियम प्रवर्तन को हर दिन 50,000 नए डोमेन नामों को पूर्व-पंजीकृत करने की आवश्यकता होगी। बॉटनेट मालिक के दृष्टिकोण से, उन्हें कई डोमेन में से केवल एक या कुछ डोमेन को पंजीकृत करना होगा जो प्रत्येक बॉट हर दिन क्वेरी करेगा।

हाल ही में, इस तकनीक को अन्य मैलवेयर लेखकों द्वारा अपनाया गया है। नेटवर्क सुरक्षा फर्म डंबल्ला (कंपनी) के अनुसार, 2011 तक शीर्ष 5 सबसे प्रचलित डीजीए-आधारित क्राइमवेयर परिवार कन्फिकर, मुरोफ़ेट, बैंकपैच, बोनाना और बोबैक्स हैं। डोमेन बनाने के लिए डीजीए शब्दकोश से शब्दों को भी जोड़ सकता है। इन शब्दकोशों को मैलवेयर में हार्ड-कोड किया जा सकता है या सार्वजनिक रूप से सुलभ स्रोत से लिया जा सकता है। शब्दकोश डीजीए द्वारा उत्पन्न डोमेन वैध डोमेन के समान होने के कारण उनका पता लगाना अधिक कठिन होता है।

उदाहरण
उदाहरण के लिए, 7 जनवरी 2014 को, यह विधि डोमेन नाम उत्पन्न करेगी, जबकि अगले दिन, यह वापस आ जाएगा. यह सरल उदाहरण वास्तव में CryptoLocker लॉकर जैसे मैलवेयर द्वारा उपयोग किया गया था, इससे पहले कि यह अधिक परिष्कृत संस्करण में बदल जाए।

पहचान
डीजीए डोमेन ब्लैकलिस्ट का उपयोग करके नामों को अवरुद्ध किया जा सकता है, लेकिन इन ब्लैकलिस्ट का कवरेज या तो खराब है (सार्वजनिक ब्लैकलिस्ट) या बेतहाशा असंगत (वाणिज्यिक विक्रेता ब्लैकलिस्ट)। पता लगाने की तकनीकें दो मुख्य वर्गों में होती हैं: प्रतिक्रियावादी और वास्तविक समय। प्रतिक्रियावादी पहचान गैर-पर्यवेक्षित क्लस्टर विश्लेषण और नेटवर्क NXDOMAIN प्रतिक्रियाओं जैसी प्रासंगिक जानकारी पर निर्भर करती है। WHOIS जानकारी, और निष्क्रिय डीएनएस डोमेन नाम की वैधता का आकलन करना। गहन शिक्षण तकनीकों के साथ डीजीए डोमेन नामों का पता लगाने के हालिया प्रयास बेहद सफल रहे हैं, जिसमें F1 स्कोर 99% से अधिक है। ये गहन शिक्षण विधियाँ आम तौर पर दीर्घकालिक अल्पकालिक मेमोरी और संवादात्मक तंत्रिका नेटवर्क आर्किटेक्चर का उपयोग करती हैं, हालाँकि गहरे शब्द एम्बेडिंग ने शब्दकोश डीजीए का पता लगाने के लिए बहुत अच्छा वादा दिखाया है। हालाँकि, ये गहन शिक्षण दृष्टिकोण प्रतिकूल मशीन लर्निंग के प्रति संवेदनशील हो सकते हैं।

यह भी देखें

 * ज़ीउस (ट्रोजन हॉर्स)
 * श्रीज़बी बॉटनेट

अग्रिम पठन

 * DGAs in the Hands of Cyber-Criminals - Examining the state of the art in malware evasion techniques
 * DGAs and Cyber-Criminals: A Case Study
 * How Criminals Defend Their Rogue Networks, Abuse.ch
 * DGAs in the Hands of Cyber-Criminals - Examining the state of the art in malware evasion techniques
 * DGAs and Cyber-Criminals: A Case Study
 * How Criminals Defend Their Rogue Networks, Abuse.ch