“DGA: The Invisible Code” (cara malware lolos dari deteksi)

(Untuk Bruno Riccio)

26/09/24

Il Algoritma Pembuatan Domain (DGA) adalah teknik yang digunakan penjahat dunia maya untuk secara otomatis membuat serangkaian nama domain (alamat yang kami gunakan untuk mengakses situs web). Teknik ini berfungsi untuk memfasilitasi komunikasi antara malware dan server tempat ia menerima instruksi, yang disebut server perintah dan kontrol (C2).

Sederhananya: malware ini seolah-olah mengubah gatewaynya setiap hari, sehingga menyulitkan antivirus atau pembelanya untuk menghentikannya.

Mengapa ini sangat relevan?

Strategi ini mewakili terobosan dalam bidang keamanan siber, karena memungkinkan penyerang menghindari deteksi dan mitigasi dengan langkah-langkah keamanan tradisional. Sedangkan di masa lalu, malware didasarkan pada domain statis (sebuah nama domain tetap dan telah ditentukan sebelumnya yang dimasukkan ke dalam kode malware), atau alamat IP yang dikodekan secara keras (mirip dengan domain statis, tetapi alih-alih nama domain, malware berisi alamat IP tertentu yang dikodekan dalam kodenya, selalu diperbaiki dan telah ditentukan sebelumnya) untuk berkomunikasi dengan server C2 mereka, adopsi DGA telah memperkenalkan a riang ketidakpastian yang membuat intervensi oleh tim biru. Domain yang dihasilkan secara dinamis adalah selalu baru, yang memungkinkan penyerang dengan cepat mengganti domain yang disusupi atau diblokir sambil tetap menjaga komunikasi dengan malware. Serangan berbasis DGA didefinisikan sebagai evolusi dari “penghindaran”. Algoritme ini dapat menghasilkan ribuan nama domain setiap hari, yang masing-masing dapat digunakan untuk membuat koneksi dengan server C2, sehingga memastikan aktivitas berkelanjutan bahkan ketika ada pemblokiran atau penyitaan domain berbahaya yang diketahui. Pendekatan ini memberikan penjahat dunia maya a keuntungan strategis, karena pertahanan tradisional, seperti firewall atau sistem penyaringan DNS, menjadi lebih sulit untuk memblokir upaya komunikasi. Salah satu aspek terpenting dari teknik ini adalah kemampuannya untuk mempertahankan persistensi di seluruh jaringan yang disusupi. ITU DGA Hal ini tidak hanya memungkinkan penjahat dunia maya untuk dengan cepat beradaptasi terhadap tindakan penanggulangan yang dilakukan oleh korban (baik perusahaan atau individu), namun juga mempersulit pihak berwenang untuk sepenuhnya mengganggu komunikasi antara malware dan server C2: bahkan penyerang dapat mempertahankan kendali atas jaringan bot mereka. setelah beberapa infrastruktur mereka dibongkar. Dalam konteks di mana ancaman dunia maya menjadi semakin canggih dan sulit dideteksi, DGA mewakili salah satu tantangan paling signifikan bagi para profesional keamanan siber.

Terdiri dari apa itu?

Pengoperasian DGA didasarkan pada penggunaan algoritma yang telah ditentukan sebelumnya yang menghasilkan nama domain baru berdasarkan logika internal¹. Domain dapat dibuat menggunakan berbagai parameter, seperti tanggal dan waktu saat ini, string acak, atau seed yang telah ditentukan sebelumnya. Dengan cara ini, penyerang (tetapi bukan korban) bisa melakukannya mengantisipasi domain yang akan dihasilkan oleh malware dalam jangka waktu tertentu, mendaftarkannya terlebih dahulu. Setelah domain didaftarkan, server perintah dan kontrol dapat menjalin komunikasi dengan mesin yang terinfeksi dan mengirimkan perintah, pembaruan, atau muatan baru.

Domain yang dihasilkan mungkin tampak tidak berbahaya atau sepenuhnya acak. Misalnya, malware dapat menghasilkan domain seperti abc123.net, xyz789.it, atau italia.it setiap hari, sehingga menciptakan ribuan kemungkinan variasi. Pendekatan ini memungkinkan malware menghindari metode pemfilteran DNS tradisional, karena variasi dan volume domain membuat tim keamanan tidak dapat memblokir semuanya terlebih dahulu. Dalam banyak kasus, i penjahat dunia maya mereka hanya menggunakan sebagian kecil dari domain yang dihasilkan, sehingga menyulitkan solusi keamanan untuk memprediksi domain mana yang benar-benar akan digunakan untuk komunikasi.

Aspek yang menarik dari DGA adalah bahwa implementasinya dapat bervariasi secara signifikan. Beberapa malware menggunakan algoritme sederhana, yang menghasilkan domain dari sekumpulan kecil parameter, sementara malware lainnya menggunakan pendekatan yang lebih kompleks, menggabungkan variabel seperti zona waktu, perangkat keras mesin yang terinfeksi, atau bahkan kondisi cuaca saat ini. Faktor-faktor ini menjadikan DGA teknologi yang sangat fleksibel, yang dapat disesuaikan dengan berbagai konteks operasional.

Diagram contoh proses pembuatan domain berbahaya.

Diagram prosedur serangan DGA

Dalam serangan DGA, malware mengeksekusi algoritma tersebut kapan pun yang harus membuat koneksi dengan server perintah dan kontrol (C2). Proses ini terjadi dalam tiga fase utama:

Masukan parameter: Definisi kriteria "matematis" yang menyebabkan terjadinya pembuatan domain secara konstan.
Pembuatan daftar domain: Setelah parameter diproses, algoritme membuat daftar nama domain. Panjang daftarnya bervariasi, namun dalam banyak kasus dapat berisi ratusan atau ribuan domain.
Upaya koneksi: Malware mencoba menyambung ke salah satu domain yang dihasilkan. Jika koneksi berhasil dibuat, malware dapat menerima perintah baru atau mengunduh pembaruan dari server C2. Namun, jika domain telah diblokir atau belum didaftarkan oleh penjahat, malware akan mengulangi proses tersebut dengan domain lain yang dihasilkan hingga koneksi dibuat.

Meskipun DGA didasarkan pada domain “semu” yang dihasilkan secara acak,AI (kecerdasan buatan) memungkinkan Anda menghasilkan domain berdasarkan kata-kata nyata, membuat nama domain tampak sah, sehingga meningkatkan kemungkinan domain diabaikan oleh sistem pemfilteran.

Maksud dan tujuan serangan DGA

Salah satu tujuan utama serangan berbasis DGA adalah memastikan ketekunan dalam jaringan yang dikompromikan. Bahkan jika beberapa infrastruktur penyerang dinonaktifkan, malware tersebut terus beroperasi dengan menghasilkan domain baru. Hal ini memungkinkan penjahat untuk mempertahankan kendali atas jaringan yang disusupi dengan mengirimkan perintah atau menerima data yang dicuri.

Tujuan lainnya adalah menghindari sistem keamanan. Metode deteksi tradisional bergantung pada pola statis, seperti domain atau IP yang diketahui, yang diblokir setelah ditemukan. Namun berkat DGA, begitu banyak domain baru yang dihasilkan sehingga mustahil untuk memblokir semuanya tepat waktu. Kalaupun ada yang ditemukan, banyak orang lain yang menggantikannya.

DGA juga digunakan untuk mendistribusikan malware. Mereka mengizinkan botnet dan ransomware untuk menjaga komunikasi konstan dengan server C2, yang melaluinya penyerang mengirimkan muatan, pembaruan, atau perintah baru. Misalnya, botnet dapat menerima instruksi mengenai target mana yang harus diserang atau data mana yang harus dicuri.

Contoh serangan dengan DGA: “Conficker”

Salah satu malware paling berbahaya yang menggunakan DGA itu tidak diragukan lagi conficker². Pertama kali dirilis pada 2008, Conficker adalah salah satunya cacing, malware yang mereplikasi dirinya sendiri di seluruh jaringan yang saling terhubung, (seperti virus biologis) yang paling tersebar luas dan sulit diberantas dalam sejarah keamanan komputer.

Berikut ciri-ciri yang menjadikannya salah satu yang paling berbahaya:

Penggunaan DGA yang canggih: Conficker dikenal menggunakan DGA yang sangat efektif. Setiap hari malware ini menghasilkan sejumlah besar domain (hingga 50.000) yang dapat digunakan malware untuk terhubung ke server komando dan kontrol. Hal ini mempersulit pemblokiran atau menonaktifkan infrastruktur perintah malware, karena domain terus berubah dan tidak mungkin mengantisipasi semuanya.

Kegigihan dan ketahanan: Conficker menggunakan teknik enkripsi dan rootkit untuk bersembunyi dari perangkat lunak keamanan dan mencegah penghapusan. Selain itu, virus ini juga dapat menonaktifkan pembaruan keamanan dan memblokir akses ke situs keamanan, sehingga menyulitkan pengguna yang terinfeksi untuk melindungi sistem mereka.

Modularitas: Setelah terhubung ke server C2, Conficker dapat mengunduh dan menjalankan pembaruan malware atau memasang muatan baru, menjadikannya platform serangan yang sangat serbaguna.

Salah satu kesulitan dalam menghilangkan infeksi Conficker terletak pada kemampuannya memblokir akses ke situs web yang terkait dengan keamanan dan antivirus. Ditambah lagi, fungsinya autorun pada sistem Windows, diaktifkan secara default, memungkinkan penyebaran dan eksekusi yang mudah ketika stik USB yang terinfeksi CONFICKER dihubungkan ke komputer yang tidak terinfeksi. Yang lebih rumit lagi, sejumlah besar mesin belum diperbarui karena berbagai alasan: dalam beberapa kasus karena pembajakan, dalam kasus lain karena sistem lama yang menjalankan program lama yang hanya didukung oleh versi Windows yang lebih lama. Infeksi Conficker menyoroti banyak masalah keamanan yang kemudian secara aktif diatasi dengan pembaruan pada sistem operasi Windows baru. Dia juga menyoroti perlunya melakukan patch secara berkala dan meningkatkan pengelolaan sistem lama, terutama yang terhubung ke jaringan perusahaan.

Seperti malware Necur³ mereka mengeksploitasi DGA untuk mendistribusikan ransomware, Trojan perbankan, dan meluncurkan kampanye spam besar-besaran, yang menunjukkan betapa serbaguna dan berbahayanya jenis serangan ini. Untuk melindungi sistem dari ancaman tersebut, penting untuk menerapkan solusi keamanan tingkat lanjut, seperti menganalisis lalu lintas jaringan, secara proaktif memblokir domain yang mencurigakan, dan menggunakan teknik pembelajaran mesin untuk mengidentifikasi pola perilaku khas DGA. Evolusi botnet dan teknik seperti DGA memerlukan pembaruan pertahanan terus-menerus dan kerja sama antara penegak hukum dan peneliti keamanan untuk memitigasi ancaman ini secara efektif.

Kesimpulannya, serangan berdasarkan Algoritma Pembuatan Domain (DGA) mereka mewakili ancaman yang kompleks dan canggih dalam lanskap keamanan siber. DGA memungkinkan malware menghasilkan nama domain secara dinamis untuk berkomunikasi dengan server perintah dan kontrol (C2), sehingga sangat sulit bagi pembela untuk memblokir koneksi tersebut. Mekanisme ini membuat malware yang dilengkapi dengan DGA lebih tangguh, karena meskipun domain terdeteksi dan diblokir, algoritme akan terus membuat domain baru, sehingga memastikan keberlangsungan infeksi.

_{¹https://attack.mitre.org/techniques/T1568/002}

_{²https://attack.mitre.org/software/S0608/}

_{³https://www.trendmicro.com/vinfo/us/threat-encyclopedia/web-attack/3133/...}

Perlu bantuan
dari kalibermu
mendukung pertahanan online

peristiwa

Klik pada hari yang disorot dengan warna merah dan cari tahu apa yang ada di buktinya.

Kirimkan cerita Anda

“DGA: The Invisible Code” (cara malware lolos dari deteksi)

18 Maret 1992: Windows 3.1 (nama kode Janus) mulai didistribusikan

Pentagon: Strategi Baru untuk Mempercepat Pengembangan Perangkat Lunak Militer dan Memperkuat Efektivitas Operasional

Spyware dan Adware: Ancaman Tersembunyi Antara Spionase dan Perang Informasi

DNS Tunneling: Ancaman Tak Terlihat yang Melewati Jaringan Perusahaan

DeepSeek R1: Kemajuan strategis Tiongkok dalam AI open source dan implikasinya terhadap keseimbangan teknologi global

Virus = Perangkat lunak perusak? Seperti menyebut setiap serangga "nyamuk"!

Spionase dan bom logika: Tiongkok dan Amerika Serikat menunggu Trump di dunia maya

Keamanan Siber: IEC62443 dan pendekatannya sesuai dengan "Tingkat Keamanan"

Peretasan dan propaganda: Italia diserang antara ancaman dunia maya dan perang psikologis

Steganografi: seni kuno berkomunikasi secara diam-diam dan evolusinya di era digital

peristiwa

Penghormatan (jatuh tempo) kepada infanteri "Roma" ke-80 yang mengambil cuti dengan hormat

"Il Signor Parolini" (bagian kesembilan)