ثبت روزانه دامنه، راه فرار جدید بدافزارها !
بدافزار نویسان برای مخفی ماندن تولیدات خود و پنهان نگه داشتن شبکه آلوده تحت کنترل، رو به استفاده از ابزارهایی خودکار برای تعیین نام دامنه های جدید که اصطلاحاً Domain Generation Algorithm) DGA) نامیده می شوند، آورده اند.
بدافزارنویسان اغلب از طریق یک مرکز کنترل و فرماندهی، کامپیوترهای آلوده شده به بدافزارهای خود را تحت نظارت و مدیریت قرار می دهند. بدین طریق می توانند نسخه های جدیدتر برافزار را بر روی کامپیوترهای تحت کنترل خود نصب کنند و یا این کامپیوترها را وادار به انجام عملیات مورد نظر خود کنند. در مواقعی که این مرکز فرماندهی مورد شناسایی قرار می گیرد و فعالیت آن متوقف می شود، از ابزارهای DGA به عنوان روش جایگزین برای راه اندازی یک مرکز فرماندهی جدید استفاده می شود.
ابزارهای DGA یک فهرست از نام های دامنه (Domain) که در ظاهر به طور شانسی ساخته و انتخاب شده اند، تهیه می کنند. کامپیوترهای آلوده در صورتی که نتوانند به مرکز فرماندهی اصلی وصل شده و دستورات جدید را دریافت کنند، از این فهرست استفاده کرده و یک به یک به دامنه های نوشته شده در آن فهرست، مراجعه می کنند تا پاسخ دریافت کنند.
بدافزارنویس نیز عیناً از ابزار DGA استفاده کرده و همان فهرست را در اختیار خواهد داشت. بدین ترتیب، بدافزارنویس می داند که در یک روز خاص، کامپیوترهای آلوده به سراغ کدامیک از دامنه ها خواهند رفت و قبل از آن، اقدام به ثبت نام آن دامنه خاص کرده و اطلاعات مخرب جدید را از طریق این دامنه جدید به کامپیوترهای آلوده تحت کنترل خود انتقال می دهد.
ویروس مشهور و قدیمی Conficker از یک چنین ابزار “تولید خودکار نام دامنه” استفاده می کرد ولی اکنون ابزارهای DGA پیشرفت های زیادی کرده اند و امروزه قادر هستند حتی ابزارهای امنیتی را که به طور هوشمند می توانند، استفاده مکرر از نام های دامنه ثابت و یا استفاده از نام های دامنه مختلف را شناسایی کنند، فریب دهند.
ابزارهای تولید نام دامنه (DGA) اکنون در اغلب مجموعه های نرم افزاری جاسوسی و خرابکاری پیدا می شود و تنها لازم است که تنظیمات مورد نظر را بر روی آنها انجام داد.
بدافزارهای امروزی که از ابزارهای DGA در ساخت آنها استفاده شده، دردسر و مشکل بزرگی برای شرکت های امنیتی و مراجع قانونی هستند. اینگونه بدافزارها می توانند در کمتر از 24 ساعت، مرکز فرماندهی خود را تعویض کرده و هیچ ردپایی از خود و کامپیوترهای آلوده تحت کنترل خود، به جا نگذارند.
روشی که شاید ابتدا از ویروس Conficker شروع شد، اکنون در ویروس های مخرب و مهمی نظیر Zeus هم دیده شده و بطور یقین در بدافزاهای بیشتری مورد استفاده قرار خواهد گرفت. همین امر باید باعث شود تا تولید کنندگان محصولات امنیتی از هم اکنون به فکر چاره اندیشی باشند.