永恒之蓝中黑客预留了一个没有注册的域名,用于防护事件不受控制时,启用该域名可以抑制事件的扩大 2....利用永恒之蓝进行勒索事件中黑客预留的域名是DGA域名,在某些条件下探测该DGA域名是否可以正常解析,若解析成功则不进行加密,若解析成功则不加密。...DGA一般都是通过硬编码写入到程序中,在没有能力对其逆向的情况下,我们可以分析网络流量来分析DNS请求的DGA域名。这样就需要了解哪些域名是DGA域名,这里面有多种方法与思路: 1....DGA域名有个特征,很多DGA并没有注册,黑客前期会生成大量的DGA域名,但是在某些情况下,如传输数据与命令或抑制事件时,会选择性的注册少量域名,这样的话可以对DNS解析不成功的域名进行记录,并将这些域名进行进行...,若其没有注册,且域名很随机可以判断为疑似DGA域名。
图1 DGA域名工作原理 2DGA域名分类 DGA算法由两部分构成,种子(算法输入)和算法,可以根据种子和算法对DGA域名进行分类,DGA域名可以表示为AGD(Algorithmically-Generated...该方式会从专有词典中挑选单词进行组合,减少域名字符上的随机性,迷惑性更强,字典内嵌在恶意程序中或者从公有服务中提取。 4.基于排列组合。对一个初始域名进行字符上的排列组合。...DGA域名, 由于DGA域名的请求过程中会产生大量NXDomain,[11]对NXDomain进行分类,有效识别DGA域名。...我们查看每种DGA家族的分类情况,如图3所示,我们随机选择33种DGA家族和良性域名进行展示(34类),可以发现很多DGA家族几乎可以做到100%的分类准确率,尤其是基于字典的DGA家族,如:suppobox...四、发展 DGA域名从最开始的伪随机字符串开始进入人们的视野,由于该方式产生域名的字符分布与正常域名的分布有明显区别,易被检测,攻击者转而使用基于字典的DGA域名算法,从字符分布上尽量拟合正常域名,极大地降低了字符的随机性
DGA(Domain generation algorithms),中文名:域名生成算法,其可以生成大量随机的域名来供恶意软件连接C&C控制服务器。...本文将针对DGA域名的检测,开展以下几个方面的内容: 1)针对开源DGA域名与正常域名进行初步的数据分析,查看正常域名与DGA域名的不同及其各自的数据分布; 2)尝试利用自然语言处理的方式对DGA域名进行可视化...,看不到明显的规律,也没有可读的单词,呈现出来一种随机性。...因为手里的计算资源有限,所以每个恶意DGA家族(数量在1000以上)以及正常的域名随机采样500个进行处理。 ?...5.1 判断某个域名是否是DGA域名 DGA域名检测过程中的第一个目标是判断该域名是否是DGA域名;在该部分实验中,将直接使用全部数据来进行实验:正常域名、DGA域名,其中域名的数量见表2-1。
Part4 后门DGA域名通信阶段 dga域名通信阶段前置知识 1 dga域名通信阶段概述 在以上环境检测都通过之后,Sunburst后门会进入使用dga域名的DNS通信阶段。...3 后门DGA域名生成格式 Sunburst使用的dga域名做了非常巧妙的处理,大致格式如下: *.appsync-api.eu-west-1.avsvmcloud.com(*代表DGA的子域名)...后门的dga域名通信阶段 1 第1阶段DGA域名通信 在这个阶段,Sunburst主要任务是把受害者计算机域名,经过几层加密放在DGA域名中,然后回传给C2。...如下图所示,这些是从流量中抓到的Sunburst在第一阶段的dga域名通信的dga域名的流量样本。...为了对抗IOCs检测,Sunburst后门作者设计了巧妙的dga域名生成算法和URL路径随机生成算法,而且两个dga域名请求间隔时间可能长达一整天,攻击过程非常隐蔽。 3.
Palo Alto Networks为了发现类似的 APT 攻击,将数据中包含大量新发现 DGA 子域名的域名标记为潜在的恶意域名。...这些恶意域名平均有 161 个 DGA子域名,承载了突增流量的 43.19%。以下展示几个典型的示例分析。...△ 图 4 DGA 域名占比累计分布图 平均每天都能识别出两个可疑域名。在投入使用后,每个战略性休眠域名大约有 2443 个新出现的子域名,其中 161 个 DAG 子域名。...上图显示了激活后 DGA 流量百分比的累积分布图(CDF),域名中有一半的 DGA 流量占比超过 36.76%。...这些域名都关联了随机生成的网站,文字内容都是使用随机字符串填充的网站模板,猜测是黑产用于黑帽 SEO 用途。 结论 攻击者越来越倾向于在攻击行动很久前就注册域名备用。
Starting09:30:28 dga Generating list of DGA domains09:30:30 dga Resolving rdumomx.xyz09...qtovmrn.xyz09:30:32 dga Resolving qtovmrn.biz09:30:33 dga Resolving qtovmrn.top09:30:33 dga...工具模块介绍 下面给出的是该工具自带的模块包: 模块名 模块描述 c2-dns 生成当前的C2目的地址列表,分别执行DNS请求 c2-ip 随机连接10个当前列表中的C2 IP地址:端口,模拟攻击会话...dga 使用随机标签和顶级域名模拟DGA流量 hijack 通过ns1.sandbox.alphasoc.xyz测试DNS劫持 scan 使用常见端口对10个随机RFC 1918地址进行端口扫描 sink...对10个安全提供商的随机地址进行安全测试 spambot 随机解析并连接互联网SMTP服务器,测试欺诈端口 tunnel 生成DNS隧道请求并发送至*.sandbox.alphasoc.xyz 项目地址
当C2服务端攻击者将dga域名解析成图中蓝色部分的IP地址时,说明C2服务端的攻击者还未决定目标是否是有价值的目标,是否要进一步渗透,所以需要Sunburst后门会继续发起dga域名请求,以便接收攻击者发送下一步指令...Sunburst随机选择一个延时时间。...C2服务端将dga域名解析为8.18.145.62,Sunburst后门解析ip地址的最后8字节,得知需要延迟1天之后再次发起dga域名请求。...第3步 延迟1天之后,Sunburst通过ping如下dga域名,向C2请求指令,C2将域名解析为8.18.144.150,Sunburst需要继续等待1天,然后发起dga域名请求。...Sunburst后门激活后门随机等待12到14天然后正式激活执行,部分单位的安全设备日志留存12天左右,然后就会被新的日志覆盖掉。 2.
今天我们来介绍一个Kali中的工具Automater 这个工具在Information Gathering下面 Automater这个工具是一个URL/域名,IP地址和MD5哈希OSINT工具 旨在使渗透测试人员更轻松地进行分析目标网址...当然也可以看到一些检测的恶意apk历史记录,等等,当然我这里只是用做演示 我们也可以看到用DGA生成的恶意域名(就是下面那个很长一串那个) DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段...例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cryptolocker勒索病毒。...域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效 ? 还会包括一些我们做渗透测试时候的用IP查域名等等操作 ? 这个工具对于前期的信息收集还是蛮大作用的 ?
在此背景下,中国信通院云大所牵头成立“数字化治理方阵(DGA)”,将围绕企业数字化运营,新架构、新技术、新模式、新业务、新生态治理,以及治理数字化等关键领域展开主题交流、资源共享、产业发展及平台搭建等工作...为进一步凝聚共识、增强行业影响力,现于今日在2022 首届XOps产业生态峰会上正式举行数字化治理方阵(DGA)成立仪式。...数字化治理方阵(DGA)成立仪式 方阵自启动成员单位招募以来,受到企事业单位广泛关注,截至大会前夕,共有29家单位完成申请工作,成为数字化治理方阵首批成员单位。...为进一步凝聚共识、增强行业影响力,现于今日在2022 首届XOps产业生态峰会上正式举行数字化治理方阵(DGA)成立仪式。...数字化治理方阵(DGA)成立仪式 方阵自启动成员单位招募以来,受到企事业单位广泛关注,截至大会前夕,共有29家单位完成申请工作,成为数字化治理方阵首批成员单位。
自从 2020 年 10 月以来,该恶意软件一直使用 DGA 算法每天生成一个主域名,以及几个备用的域名。除了当天日期外,DGA 算法还支持静态配置。...C&C 地址统计信息 不同配置的 DGA 算法生成的域名都解析到了相同的 IP 地址,这意味着不同的 Grandoreiro 样本文件入侵的受害者都会回连到相同的 C&C 服务器。...如前所述,Grandoreiro 使用 No-IP 进行域名注册。base64_alpha 字段对应于 DGA 使用的自定义 base64 字母表。...DGA 算法逻辑如下所示,最终输出结果是子域名,该子域名与 base_domain 拼接起来用作当天的 C&C 服务器。...Python 实现的 DGA 算法 以红色突出显示的部分是 Grandoreiro 的故障安全机制,在主域名无法解析时备用。尽管并非所有样本文件都有该机制,但使用的配置文件是固定的。
随后调用 RegCreateKeyExA 创建 HKEY_LOCAL_MACHINESOFTWARE6094805 注册表项,这里的数字路径是随机产生的。...数据上报的方式比较独特,通过DGA域名随机算法,每个月产生一个随机域名。...然后将这个长域名,发往知名的域名解析器,通过域名解析将用户上线信息传到黑客的后台服务器。...IOC: 通过每个月的DGA算法,可以获取到一些域名 ribotqtonut.com (2017年7月) nylalobghyhirgh.com (2017年8月) jkvmdmjyfcvkf.com...2,运维人员发现IOC中列出的域名请求时,请尽快进行排查。 3,已经中毒的电脑,建议查杀后,应尽快修改服务器的密码。 ----
Bert Hubert 注意到了一个涉及.tickets、.blackfriday、.feedback等顶级域名的 DGA 域名,并将其发布到 Twitter: ?...随后,该恶意软件会尝试交替从以下两个域名下载 Payload: asxe4d2fmz7ji5ux.onion dyvt2mleg33f6zdb.onion 基于 DGA 的恶意软件不使用 Tor,两个文件后续的步骤几乎完全相同...DGA 基于 DGA 的恶意软件噪音很大,它会生成无限数量的域名,直到获得有效的 Payload 为止: ?...DGA 每天最多生成五百个二级域名(共计两千五百个二级域名)。每天的第一个域名都是特殊的,该域名始终使用硬编码的第二个域名 31b4bd31fg1x2。...(d): print(domain) 例如,推文的中显示域名来自 2018 年 4 月 10 日,如下所示: python3 dga.py --date 2018-04-10 总结 属性
本文用识别由域名生成算法Domain Generation Algorithm: DGA生成的C&C域名作为例子,目的是给白帽安全专家们介绍一下机器学习在安全领域的应用,演示一下机器学习模型的一般流程。...---- DGA生成C&C域名的办法常见于一类botnet,比如conficker,zeus之类,他们的方法是用一个私有的随机字符串生成算法,按照日期或者其他随机种子(比如twitter头条),每天生成一些随机字符串域名然后用其中的一些当作...在他们的bot malware里面也按照同样的算法尝试生成这些随机域名然后碰撞得到当天可用的C&C域名。...基本特征:随机性和熵 我们可以想一下,具体为什么C&C域名看起来和别的合法域名比如google.com不一样呢?因为它看起来随机,所以第一个特征就是找一个数量来描述它的随机性。...C&C域名的随机算法产生的bigram和trigram比较分散,而合法域名喜欢用比较好念好见的组合。
、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容(如下图所示),所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。...其中一个域名指向的页面内容 ? yyakeq.cn域名注册信息 ? ce56b.cn域名注册信息 ? 部分疑似DGA域名 ?...部分疑似DGA域名 盗号病毒溯源 通过对盗号病毒收集URL的Whois查询,可以得到如下信息: ?...域名zouxian1.cn注册信息 另外通过该域名注册信息的联系人和联系邮箱反查,此人以同样的命名方式于2018年4月20日共注册了15个近似域名: ?...域名注册反查结果 另外,通过ICP备案查询发现,其中部分域名还经过了ICP个人备案: ?
孤立森林模型首先随机选择用户行为样本的一个特征,再随机选择该特征取值范围中的一个值,对样本集做拆分,迭代该过程,生成一颗孤立树;树上叶子节点离根节点越近,其异常值越高。...此外,不要求各个特征量必须满足独立同分布的假设条件,融合多种判别规则的条件随机场DDoS攻击检测方法充分利用条件随机场综合处理多特征优势的基础上,将基于特征匹配与异常检测的方法有效地统一起来,实现高检测率与低误报率...安全攻防应用案例:DGA域名检测——C2链接分析[24] DGA(域名生成算法)是一种利用随机字符来生成C2域名,从而逃避域名黑名单检测的技术手段。...而有了DGA域名生成算法,攻击者就可以利用它来生成用作域名的伪随机字符串,这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的,但由于其结构可以预先确定,因此可以重复产生和复制。...因此,安全人员可以通过收集样本以及对DGA进行逆向,来预测哪些域将来会被生成和预注册并将它们列入黑名单中。
孤立森林模型首先随机选择用户行为样本的一个特征,再随机选择该特征取值范围中的一个值,对样本集做拆分,迭代该过程,生成一颗孤立树;树上叶子节点离根节点越近,其异常值越高。...DGA域名检测——C2链接分析 DGA(域名生成算法)是一种利用随机字符来生成C2域名,从而逃避域名黑名单检测的技术手段。...而有了DGA域名生成算法,攻击者就可以利用它来生成用作域名的伪随机字符串,这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的,但由于其结构可以预先确定,因此可以重复产生和复制。...因此,安全人员可以通过收集样本以及对DGA进行逆向,来预测哪些域将来会被生成和预注册并将它们列入黑名单中。 ?...这里,调用train_test_split()函数将数据集随机划分,核心代码如下所示: ?
域名使用情况: ?...加载程序负责以下任务: 1、通过启动文件夹或注册表建立持久性 2、将自身注入到另一个进程,例如rundll32.exe和dllhost.exe 3、解密两个Blob:“导入表”和“加载器配置” 4、使用DGA...Configuration & DGA 加载程序配置经过加密,包含以下信息:C&C域,端口,用户代理和域生成算法(DGA)种子。如果种子不为零,加载程序将根据种子和通信日期使用DGA生成C&C域。...信息收集 Aria-body首先在受害者的机器上收集数据,包括:主机名,计算机名,用户名,域名,Windows版本,处理器MHz,MachineGuid,公共IP。 ?...DGA ?
其中,恶意域名情报是威胁情报的重要组成部分,包括恶意域名检测(Malicious Domains Detection)[1]、域名生成算法识别(DGA Recognition)[2]等。...同时,通过对恶意域名的结构进行分析发现,一些属于同一二级域名的子域名往往从事一些相似的威胁活动,为了避免同类型域名数据的冗余导致模型过拟合,在黑域名标注数据的构建中,在同一二级域名上,随机抽取固定量的子域名作为黑域名...4.png 域名字符特征 这一类特征源于DGA的识别,目前,由DGA构造的域名一般为恶意域名。此外,根据具体黑域名特点,构造了如子域名是否为数字这样的特征。...每种特征的具体含义如下: 域名字符熵,域名字符串的字符熵做特征值; 域名字符长度; 域名级别,从3级域名起始到6级域名为止,6级以上映射为同一值,并做dummy variable转换; 域名数字数量,数字字符数量及占比...(red.com)=1; 是否是邮箱前缀,f(mail.qq.com)=1; 黑灰白顶级域名,统计训练数据 黑:(白+灰)顶级域名的分布,得到纯黑顶级域名集、纯白顶级域名集、偏白顶级域名集、偏黑顶级域名集
希望对您有所帮助~ 文章目录: KDD CUP 99 HTTP DATASET CSIC 2010 honeypot.json Masquerading User Data ADFA IDS Datasets 域名相关...DGA 正常域名和可疑域名检测,主要用于DGA的检测。...这里直接用Alexa Top 100W 作为正常域名,用其他的开放的DGA数据作为黑样本。...是否特征化:否 使用范围:入侵检测 异常流量 WAF 下载地址 Alexa Top 100W:http://s3.amazonaws.com/alexa-static/top-1m.csv.zip 360DGA...:http://data.netlab.360.com/dga/ zeusDGA:http://www.secrepo.com/misc/zeus_dga_domains.txt.zip 数据示例:
域名系统 1.3.1....域名系统工作原理 DNS解析过程是递归查询的,具体过程如下: 用户要访问域名www.xxxxx.com时,先查看本机hosts是否有记录或者本机是否有DNS缓存,如果有,直接返回结果,否则向递归服务器查询该域名的...IP地址 递归缓存为空时,首先向根服务器查询com顶级域的IP地址 根服务器告知递归服务器com顶级域名服务器的IP地址 递归向com顶级域名服务器查询负责xxxxx.com的权威服务器的IP com顶级域名服务器返回相应的...根服务器 根服务器是DNS的核心,负责互联网顶级域名的解析,用于维护域的权威信息,并将DNS查询引导到相应的域名服务器。 根服务器在域名树中代表最顶级的 . 域, 一般省略。...DGA DGA(Domain Generate Algorithm,域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段,常见于botnet中。 1.3.6.
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
云直播
