Intercepting Hail Hydra: Real-Time Detection of Algorithmically Generated Domains

• https://www.sciencedirect.com/science/article/pii/S1084804521001545?dgcid=coauthor

Malware,  Domain Generation Algorithms,  Botnets, DNS, Algorithmically Generated Domain

Zásadní technickou výzvou pro kyberzločince je udržet si kontrolu nad potenciálně miliony infikovaných zařízení, která si vytvářejí své botnety, aniž by byla ohrožena robustnost jejich útoků. Jeden C&C server lze například triviálně detekovat buď binární analýzou nebo analýzou provozu a okamžitě jej zablokovat napr. státnimi orgány. Botnety často používají algoritmy generování domény (DGA), primárně k vyhýbání se pokusům o zablokovaní. DGA mohou prodloužit životnost kampaně s malwarem a potenciálně tak zvýšit její ziskovost. Mohou také přispět k omezení odpovědnosti za útok. V této práci představujeme HYDRAS, nejkomplexnější a  nejreprezentativnější datový soubor algoritmicky generovaných domén (AGD), který je dosud k dispozici. Datová sada obsahuje více než 100 rodin DGA, včetně benigních domén i adversariálne navržených. Analyzujeme datovou sadu a diskutujeme o možnosti rozlišení mezi neškodnými požadavky (na skutečné domény) a škodlivými (na AGD) v  reálném čase. Studium tolika rodin a variant přináší několik výzev; nicméně, to zmírňuje zaujatosti nalezené v předchozí literatuře využívající malé datové soubory, které Často využívají charakteristické rysy jednotlivých rodin, které u klasifikace nezobecňují. Důkladně porovnáme náš přístup s aktuálním stavem techniky a zdůrazňujeme některé metodické nedostatky ve skutečném stavu praxe. Získané výsledky ukazují, že náš navrhovaný přístup významně překonává současný stav techniky, pokud jde o výkon klasifikace i účinnost.