永恒之蓝中黑客预留了一个没有注册的域名,用于防护事件不受控制时,启用该域名可以抑制事件的扩大 2....利用永恒之蓝进行勒索事件中黑客预留的域名是DGA域名,在某些条件下探测该DGA域名是否可以正常解析,若解析成功则不进行加密,若解析成功则不加密。...DGA一般都是通过硬编码写入到程序中,在没有能力对其逆向的情况下,我们可以分析网络流量来分析DNS请求的DGA域名。这样就需要了解哪些域名是DGA域名,这里面有多种方法与思路: 1....DGA域名有个特征,很多DGA并没有注册,黑客前期会生成大量的DGA域名,但是在某些情况下,如传输数据与命令或抑制事件时,会选择性的注册少量域名,这样的话可以对DNS解析不成功的域名进行记录,并将这些域名进行进行...,若其没有注册,且域名很随机可以判断为疑似DGA域名。
1DGA域名原理 恶意软件利用DGA算法与C2服务器进行通信的原理如图1[2]所示,客户端通过DGA算法生成大量备选域名,并且进行查询,攻击者与恶意软件运行同一套DGA算法,生成相同的备选域名列表,当需要发动攻击的时候...图1 DGA域名工作原理 2DGA域名分类 DGA算法由两部分构成,种子(算法输入)和算法,可以根据种子和算法对DGA域名进行分类,DGA域名可以表示为AGD(Algorithmically-Generated...现有DGA生成算法一般可以分为如下4类: 1.基于算术。...该类型算法会生成一组可用ASCII编码表示的值,从而构成DGA域名,流行度最高。 2.基于哈希。用哈希值的16进制表示产生DGA域名,被使用的哈希算法常有:MD5,SHA256。 3.基于词典。...根据种子和生成算法的不同,DGA域名可以选择不同种子类型和算法类型的组合方式,因此最终DGA域名的生成形式多样性高。
DGA(Domain generation algorithms),中文名:域名生成算法,其可以生成大量随机的域名来供恶意软件连接C&C控制服务器。...恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表,从中选取几个来作为控制服务器,恶意软件会持续解析这些域名,直到发现可用的服务器地址。...二、一个DGA算法的例子 为了让读者对DGA算法生成的域名有更加直观的认识,列举一种DGA算法murofet(v2),该算法以时间与一个密钥作为种子来生成相应的域名地址,代码如下: def dga(date...图3.3 DGA域名长度分布 从图2.2的长度分布中可以看出,其中比较突出的两个长度是16和18,再其次长的是12,这个让笔者想起了另外一个家族,tinba算法就是按照12为数量限制循环生成字符组成域名...同时使用的数据也不一样,文章[4]中的数据是采用DGA算法生成的,各个类别的数据相当,而本文是直接采用的开源的数据,每个DGA家族之间的数据分布很不均衡, 且家族数据也不一致。
自从 2020 年 10 月以来,该恶意软件一直使用 DGA 算法每天生成一个主域名,以及几个备用的域名。除了当天日期外,DGA 算法还支持静态配置。...DGA 算法 DGA 算法被 Grandoreiro 僵尸网络硬编码内置,通过名为 dga_id 的字符串获得引用。...C&C 地址统计信息 不同配置的 DGA 算法生成的域名都解析到了相同的 IP 地址,这意味着不同的 Grandoreiro 样本文件入侵的受害者都会回连到相同的 C&C 服务器。...DGA 算法逻辑如下所示,最终输出结果是子域名,该子域名与 base_domain 拼接起来用作当天的 C&C 服务器。...如下所示,每条都由一个 Key、一个前缀和一个基础域名组成。 故障安全机制会采用主 C&C 子域名生成的部分逻辑,遍历所有条目并对其进行异或加密,最后当作前缀前置。
3 后门DGA域名生成格式 Sunburst使用的dga域名做了非常巧妙的处理,大致格式如下: *.appsync-api.eu-west-1.avsvmcloud.com(*代表DGA的子域名)...*.appsync-api.us-east-2.avsvmcloud.com(*代表DGA的子域名) 其中,每个DGA域名右边三个分段,来自于后门程序中硬编码的字符串,而dga域名的第一分段的星号部分是根据受害者服务器中的计算机域名等信息动态生成的...,以下是一个DGA阶段域名生成算法的示例。...当Sunburst后门状态为Append(激活状态)时,即开始第2阶段dga域名,生成的DGA域名将包括计算机唯一标志符、内置服务黑名单的安全产品测状态信息(包括是否存在、是否还在运行、是否被关闭等信息...为了对抗IOCs检测,Sunburst后门作者设计了巧妙的dga域名生成算法和URL路径随机生成算法,而且两个dga域名请求间隔时间可能长达一整天,攻击过程非常隐蔽。 3.
△ 图1 2021年9月每日检测战略性休眠域名的数量 在 SolarWinds 供应链攻击中,SUNBURST 木马使用 DGA 算法窃取失陷主机的域信息。...SUNBURST 木马通过 DGAstring.appsync-api.region.avsvmcloud.com 形式生成 DGA 域名请求,其中包含编码后的受害者身份、受感染组织的域以及使用安全产品的状态...上图显示了激活后 DGA 流量百分比的累积分布图(CDF),域名中有一半的 DGA 流量占比超过 36.76%。...△ 图 6 页面跳转逻辑 网络钓鱼攻击还会使用 DGA 字符串生成域名用于域名抢注。这些字符串将欺骗性部分和根域名分开,例如 mailingmarketing.net 是在 2020 年注册的。...这些域名都关联了随机生成的网站,文字内容都是使用随机字符串填充的网站模板,猜测是黑产用于黑帽 SEO 用途。 结论 攻击者越来越倾向于在攻击行动很久前就注册域名备用。
今天我们来介绍一个Kali中的工具Automater 这个工具在Information Gathering下面 Automater这个工具是一个URL/域名,IP地址和MD5哈希OSINT工具 旨在使渗透测试人员更轻松地进行分析目标网址...当然也可以看到一些检测的恶意apk历史记录,等等,当然我这里只是用做演示 我们也可以看到用DGA生成的恶意域名(就是下面那个很长一串那个) DGA(域名生成算法)是一种利用随机字符来生成C&C域名,从而逃避域名黑名单检测的技术手段...例如,一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com,如果我们的进程尝试其它建立连接,那么我们的机器就可能感染Cryptolocker勒索病毒。...域名黑名单通常用于检测和阻断这些域的连接,但对于不断更新的DGA算法并不奏效 ? 还会包括一些我们做渗透测试时候的用IP查域名等等操作 ? 这个工具对于前期的信息收集还是蛮大作用的 ?
今天给大家介绍一款名叫Flightsim的实用工具,该工具可以帮大家生成恶意网络流量,并以此来评估自身的网络安全控制策略。 ?...Network Flight Simulator Flightsim是一款轻量级的开源网络安全工具,安全研究人员可以利用这款工具来生成恶意网络流量,并帮助他们评估自身网络系统的安全控制策略以及网络可见性...,如果你需要执行完整测试,可以直接使用下列命令: flightsim run 该命令会使用第一个可用的网络接口来生成恶意流量。...工具模块介绍 下面给出的是该工具自带的模块包: 模块名 模块描述 c2-dns 生成当前的C2目的地址列表,分别执行DNS请求 c2-ip 随机连接10个当前列表中的C2 IP地址:端口,模拟攻击会话...dga 使用随机标签和顶级域名模拟DGA流量 hijack 通过ns1.sandbox.alphasoc.xyz测试DNS劫持 scan 使用常见端口对10个随机RFC 1918地址进行端口扫描 sink
Bert Hubert 注意到了一个涉及.tickets、.blackfriday、.feedback等顶级域名的 DGA 域名,并将其发布到 Twitter: ?...DGA 基于 DGA 的恶意软件噪音很大,它会生成无限数量的域名,直到获得有效的 Payload 为止: ?...Downloader 有以下五个顶级域名: .org .tickets .blackfriday .hosting .feedback 每个顶级域名都传递到一个单独的线程中,该线程生成二级域名,然后执行前述操作...DGA 每天最多生成五百个二级域名(共计两千五百个二级域名)。每天的第一个域名都是特殊的,该域名始终使用硬编码的第二个域名 31b4bd31fg1x2。...描述 类型 确定时间相关 生成方案 MD5 哈希 种子 当前日期与 Magic 字符串 域名变化频率 1 天 每天生成域名数量 499(+1 硬编码) 顺序 每个顶级域名在单独的线程中运行,在该线程中依次生成域名
该算法生成的C2域名仅与种子域名的前四个字符不同,共有26^4种排列组合;生成的C2域名示例如下 ’plhusemitismgavenuteq.com’ ‘ckbrsemitismgavenuteq.com...’ ‘msfasemitismgavenuteq.com’ ‘fbcpsemitismgavenuteq.com’ 如果一直无法连接到C2域名,样本会一直使用该算法生成新的C2域名直到连接成功。...由于四个字符的排列组合数量有限,因此该算法会多次生成相同的域名,即’回环域名’。...有些域名在经过一定轮次后可被再次生成,有些则不可以。举例,对于域名’gfaqsemitismgavenuteq.com’,不存在使用该DGA算法后输出’gfaq’的输入。...非回环域名可用于该DGA算法的种子,但不可作为C2域名,这是因为非回环域名不会被再次算出,首次连接失败就意味着C2永久性丧失了对肉鸡的控制权。我们可以提取回环域名特征后将其枪注,进而接管僵尸网络。
域名是每个企业都需要的,尤其是要建设网站。这是必不可少的虚拟产品,在选择域名上,尽量与企业相关,最重要的是凸显出企业的形象。很多企业都是以品牌拼音挑选,也有些是拼音加数字,都是一些简单易记的域名。...下面就给大家讲讲如何生成二级域名? 如何生成二级域名 如何生成二级域名?说到二级域名,做网站的人应该都知道,当购买一个主域名之后,可以通过解析的方式生成多个二级域名,这样就可以建设多个网站。...具体的生成方式就是先在注册商平台中找到域名管理中心。再找到要解析的主域名做域名解析,设置主机名、记录、IP地址等等。...完成之后再耐心等到几分钟,二级域名就解析生成就这样完成了,安装的步骤方法也跟主域名一样。 如何购买域名 很多企业都需要拥有一个独一无二的域名来凸显企业的形象,域名的购买方式也是很简单。...线上搜索域名注册,就会出现很多注册平台,多家对比后再选择一家靠谱的平台进行注册购买,购买之后再进行认证解析就可以访问了。 上述就是关于如何生成二级域名的方法。域名的后缀有很多,有贵有便宜的。
当C2服务端攻击者将dga域名解析成图中蓝色部分的IP地址时,说明C2服务端的攻击者还未决定目标是否是有价值的目标,是否要进一步渗透,所以需要Sunburst后门会继续发起dga域名请求,以便接收攻击者发送下一步指令...C2服务端将dga域名解析为8.18.145.62,Sunburst后门解析ip地址的最后8字节,得知需要延迟1天之后再次发起dga域名请求。...第3步 延迟1天之后,Sunburst通过ping如下dga域名,向C2请求指令,C2将域名解析为8.18.144.150,Sunburst需要继续等待1天,然后发起dga域名请求。...url生成规则如下(详情请见上一篇文章) Sunburst回传数据的请求数据包大致如下(这是ABC_123根据国外分析文章拼起来的,可能会缺少部分的header头信息) 请求数据包的解释如下:...C2的通信在初始阶段获取内网计算机域名和安全防护软件基本信息过程中,流量都隐藏在dga域名中,难以发现。
域名使用情况: ?...算法 5、与C&C地址通信,检索下一阶段有效载荷 6、解密收到的有效载荷DLL(Aria-body后门) 7、加载并执行DLL的导出功能 ?...Configuration & DGA 加载程序配置经过加密,包含以下信息:C&C域,端口,用户代理和域生成算法(DGA)种子。如果种子不为零,加载程序将根据种子和通信日期使用DGA生成C&C域。...信息收集 Aria-body首先在受害者的机器上收集数据,包括:主机名,计算机名,用户名,域名,Windows版本,处理器MHz,MachineGuid,公共IP。 ?...DGA ?
shellcode2动态加载获取系统函数后,会调用CoCreateGuid生成一个Guid,这个Guid会在后续上报信息时用到。...数据上报的方式比较独特,通过DGA域名随机算法,每个月产生一个随机域名。...然后将这个长域名,发往知名的域名解析器,通过域名解析将用户上线信息传到黑客的后台服务器。...IOC: 通过每个月的DGA算法,可以获取到一些域名 ribotqtonut.com (2017年7月) nylalobghyhirgh.com (2017年8月) jkvmdmjyfcvkf.com...2,运维人员发现IOC中列出的域名请求时,请尽快进行排查。 3,已经中毒的电脑,建议查杀后,应尽快修改服务器的密码。 ----
DGA(Domain Generation Algorithm)恶意软件利用DGA算法与C2服务器进行通信的原理如图所示,客户端通过DGA算法生成大量备选域名,并且进行查询,攻击者与恶意软件运行同一套DGA...很显然,在这种方式下,传统基于黑名单的防护手段无法起作用,一方面,黑名单的更新速度远远赶不上DGA域名的生成速度,另一方面,防御者必须阻断所有的DGA域名才能阻断C2通信,因此,DGA域名的使用使得攻击容易...DGA算法由两部分构成,种子(算法输入)和算法,可以根据种子和算法对DGA域名进行分类,DGA域名可以表示为AGD(Algorithmically-Generated Domains)。...DGA生成算法一般可以分为如下4类:1.基于算术。...该类型算法会生成一组可用ASCII编码表示的值,从而构成DGA域名,流行度最高。2.基于哈希。用哈希值的16进制表示产生DGA域名,被使用的哈希算法常有:MD5,SHA256。3.基于词典。
从选定的协议(如DNS,HTTP,TLS…)中提取元数据,并与已知的算法进行匹配,以检测特定的威胁(如DGA主机,域生成算法)。...弱密码 TLS 证书过期 TLS 证书不匹配 HTTP可疑用户代理 HTTP连接的数字IP主机 HTTP可疑URL HTTP可疑协议报头 TLS连接未携带HTTPS (例如:TLS上的VPN) 可疑的DGA...域名连接 畸形数据包 SSH/SMB过时的协议/应用版本 TLS可疑的ESNI使用 使用不安全的协议 ntopng流量合并 nProbe是一个面向流的探针,用于监控边缘的流量,ntopng是一个数据采集器
域名侧 在域名配置中,设置一个域名(xx.yourdomain.com)CNAME指向yourname.github.io Hexo侧 在source目录下新建一个文件,名称为CNAME。...在CNAME中只写上之前设置的域名xx.yourdomain.com 执行命令: Hexo g Hexo d 验证 在浏览器中输入你的域名,显示github上的博客。
最小生成树 对于一个图,我们可以把它转换成一颗树(联通图)或者是多棵树(非联通树)。 对于一个带权值的联通图,最小生成树就是它的所有生成树中边权值和最小的生成树。...Prim算法 Prim算法就是一种用来生成最小生成树的算法。 由一个带权值的联通图到一个最小生成树的过程,其实就是从图的所有边中挑出一部分边用来组成树的过程,所以关键在于如何挑选边。...对于Prim算法,它的具体操作是这样的: 对于给定的一个起点节点(Prim算法必须给它一个起点),先找出这个节点连接的所有节点所组成的边中权值最小的边,作为最小生成树的第一条被挑选出来的边,现在我们有两个节点了对吧
迭代生成多颗孤立树,生成孤立森林,识别时,融合多颗树的结果形成最终的行为分类结果。...Phinn 使用了机器学习领域中的卷积神经网络算法来生成和训练一个自定义的Chrome扩展,这个 Chrome扩展可以将用户浏览器中呈现的页面与真正的登录页面进行视觉相似度分析,以此来识别出恶意URL(...安全攻防应用案例:DGA域名检测——C2链接分析[24] DGA(域名生成算法)是一种利用随机字符来生成C2域名,从而逃避域名黑名单检测的技术手段。...而有了DGA域名生成算法,攻击者就可以利用它来生成用作域名的伪随机字符串,这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的,但由于其结构可以预先确定,因此可以重复产生和复制。...因此,安全人员可以通过收集样本以及对DGA进行逆向,来预测哪些域将来会被生成和预注册并将它们列入黑名单中。
迭代生成多颗孤立树,生成孤立森林,识别时,融合多颗树的结果形成最终的行为分类结果。...Phinn使用了机器学习领域中的卷积神经网络算法来生成和训练一个自定义的Chrome扩展,这个 Chrome扩展可以将用户浏览器中呈现的页面与真正的登录页面进行视觉相似度分析,以此来识别出恶意URL(钓鱼网站...DGA域名检测——C2链接分析 DGA(域名生成算法)是一种利用随机字符来生成C2域名,从而逃避域名黑名单检测的技术手段。...而有了DGA域名生成算法,攻击者就可以利用它来生成用作域名的伪随机字符串,这样就可以有效的避开黑名单列表的检测。伪随机意味着字符串序列似乎是随机的,但由于其结构可以预先确定,因此可以重复产生和复制。...因此,安全人员可以通过收集样本以及对DGA进行逆向,来预测哪些域将来会被生成和预注册并将它们列入黑名单中。 ?
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
