Техники: T1568 , T1568.001 , T1568.002 , T1568.003
Злоумышленники могут использовать алгоритмы генерации доменов (DGA) для динамического определения домена назначения для командно-контрольного трафика вместо того, чтобы полагаться на список статических IP-адресов или доменов.Преимущество такого подхода заключается в том, что защитникам гораздо сложнее блокировать, отслеживать или захватывать канал управления, поскольку потенциально могут существовать тысячи доменов, которые вредоносное ПО может проверить на наличие инструкций.(Цитата: Cybereason Dissecting DGAs)(Цитата: Cisco Umbrella DGA)(Цитата: Unit 42 DGA Feb 2019)
DGA могут принимать форму случайных или "тарабарских" строк (например, istgmxdejdnxuyla.ru), когда они создают доменные имена путем генерации каждой буквы. Кроме того, некоторые DGA используют целые слова в качестве единицы измерения, соединяя слова вместо букв (например, cityjulydish.net). Многие DGA работают по времени, генерируя разные домены для каждого периода времени (ежечасного, ежедневного, ежемесячного и т. д.).Другие также включают начальное значение, чтобы усложнить защитникам предсказание будущих доменов.(Цитата: Cybereason Dissecting DGAs)(Цитата: Cisco Umbrella DGA)(Цитата: Talos CCleanup 2017)(Цитата: Akamai DGA Mitigation)
Злоумышленники могут использовать DGAs для Fallback Channels.При потере связи с основным командно-контрольным сервером вредоносное ПО может использовать DGA в качестве средства восстановления командования и контроля.(Цитата: Talos CCleanup 2017)(Цитата: FireEye POSHSPY April 2017)(Цитата: ESET Sednit 2017 Activity)
https://attack.mitre.org/techniques/T1568/002
Визуализация смежных техник для T1568.002
| № | Техника |
|---|
