dga域名生成器 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

利用Python实现DGA域名检测

永恒之蓝中黑客预留了一个没有注册的域名，用于防护事件不受控制时，启用该域名可以抑制事件的扩大 2....利用永恒之蓝进行勒索事件中黑客预留的域名是DGA域名，在某些条件下探测该DGA域名是否可以正常解析，若解析成功则不进行加密，若解析成功则不加密。...DGA一般都是通过硬编码写入到程序中，在没有能力对其逆向的情况下，我们可以分析网络流量来分析DNS请求的DGA域名。这样就需要了解哪些域名是DGA域名，这里面有多种方法与思路： 1....DGA域名有个特征，很多DGA并没有注册，黑客前期会生成大量的DGA域名，但是在某些情况下，如传输数据与命令或抑制事件时，会选择性的注册少量域名，这样的话可以对DNS解析不成功的域名进行记录，并将这些域名进行进行...，若其没有注册，且域名很随机可以判断为疑似DGA域名。

4K6 0

DGA域名的今生前世：缘起、检测、与发展

1DGA域名原理恶意软件利用DGA算法与C2服务器进行通信的原理如图1[2]所示，客户端通过DGA算法生成大量备选域名，并且进行查询，攻击者与恶意软件运行同一套DGA算法，生成相同的备选域名列表，当需要发动攻击的时候...图1 DGA域名工作原理 2DGA域名分类 DGA算法由两部分构成，种子（算法输入）和算法，可以根据种子和算法对DGA域名进行分类，DGA域名可以表示为AGD（Algorithmically-Generated...3DGA域名存活时间 Plohmann Daniel等人[3]对43个恶意软件家族做逆向分析，实现了DGA算法并对超过1亿个DGA域名做分析，结合WHOIS信息，统计出了不同DGA家族域名存活时间的分布...DGA域名, 由于DGA域名的请求过程中会产生大量NXDomain，[11]对NXDomain进行分类，有效识别DGA域名。...经过上述过滤手段，待确认域名剩余2.7w 2.3.2 确定DGA域名根据公开的威胁情报，我们发现两类DGA域名，第一类包含2572DGA域名，其中主域名有206个，如： lhsjtcl.com dfwpmpm.me

9K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

DGA域名检测的数据分析与深度学习分类

本文将针对DGA域名的检测，开展以下几个方面的内容： 1）针对开源DGA域名与正常域名进行初步的数据分析，查看正常域名与DGA域名的不同及其各自的数据分布； 2）尝试利用自然语言处理的方式对DGA域名进行可视化...对于DGA与正常域名，可以发现他们两者的几点不同：1）DGA的长度分布区间要比正常域名小，DGA长度分布区间为2-44，而正常域名的长度分布为1-63；2）DGA与正常域名的长度分布明显不同，DGA域名长度分布没有明显的分布规律...图3.7 DGA域名字符分布对于DGA域名字符与正常域名字符分布，两者有一定的差别，比如正常域名在某些字符上，取值的概率比较小；DGA域名使用数字的概率比正常域名更高。...五、深度学习分类在DGA域名检测过程中，包含两个方面：1）如何判定某个域名是否是DGA域名；2）如何判定该DGA属于哪个家族。本节将分别从这两个方面对实验内容进行阐述。...5.1 判断某个域名是否是DGA域名 DGA域名检测过程中的第一个目标是判断该域名是否是DGA域名；在该部分实验中，将直接使用全部数据来进行实验：正常域名、DGA域名，其中域名的数量见表2-1。

5.2K4 0

数字化治理方阵（DGA）正式成立

在此背景下，中国信通院云大所牵头成立“数字化治理方阵（DGA）”，将围绕企业数字化运营，新架构、新技术、新模式、新业务、新生态治理，以及治理数字化等关键领域展开主题交流、资源共享、产业发展及平台搭建等工作...为进一步凝聚共识、增强行业影响力，现于今日在2022 首届XOps产业生态峰会上正式举行数字化治理方阵（DGA）成立仪式。...数字化治理方阵（DGA）成立仪式方阵自启动成员单位招募以来，受到企事业单位广泛关注，截至大会前夕，共有29家单位完成申请工作，成为数字化治理方阵首批成员单位。...为进一步凝聚共识、增强行业影响力，现于今日在2022 首届XOps产业生态峰会上正式举行数字化治理方阵（DGA）成立仪式。...数字化治理方阵（DGA）成立仪式方阵自启动成员单位招募以来，受到企事业单位广泛关注，截至大会前夕，共有29家单位完成申请工作，成为数字化治理方阵首批成员单位。

1.2K2 0

APT新趋势：战略性休眠域名利用率提升，检测困难

Palo Alto Networks为了发现类似的 APT 攻击，将数据中包含大量新发现 DGA 子域名的域名标记为潜在的恶意域名。...这些恶意域名平均有 161 个 DGA子域名，承载了突增流量的 43.19%。以下展示几个典型的示例分析。...△ 图 4 DGA 域名占比累计分布图平均每天都能识别出两个可疑域名。在投入使用后，每个战略性休眠域名大约有 2443 个新出现的子域名，其中 161 个 DAG 子域名。...上图显示了激活后 DGA 流量百分比的累积分布图（CDF），域名中有一半的 DGA 流量占比超过 36.76%。...总体而言，DGA 流量随整体流量增加而增加，且 DGA 流量的占比也在显著增长。在 7 月 18 日之前，DGA 流量的百分比为 23.22%，之后为 42.04%。

1.2K1 0

第66篇：顶级APT后门Sunburst通信流量全过程复盘分析(修正篇)

当C2服务端攻击者将dga域名解析成图中蓝色部分的IP地址时，说明C2服务端的攻击者还未决定目标是否是有价值的目标，是否要进一步渗透，所以需要Sunburst后门会继续发起dga域名请求，以便接收攻击者发送下一步指令...C2服务端将dga域名解析为8.18.145.62，Sunburst后门解析ip地址的最后8字节，得知需要延迟1天之后再次发起dga域名请求。...第3步延迟1天之后，Sunburst通过ping如下dga域名，向C2请求指令，C2将域名解析为8.18.144.150，Sunburst需要继续等待1天，然后发起dga域名请求。...第4步延迟1天之后，Sunburst通过ping一个dga域名，C2将域名解析为8.18.145.151，Sunburst继续等待。...C2的通信在初始阶段获取内网计算机域名和安全防护软件基本信息过程中，流量都隐藏在dga域名中，难以发现。

9672 0

详解全球联合执法摧毁的 Grandoreiro 僵尸网络

自从 2020 年 10 月以来，该恶意软件一直使用 DGA 算法每天生成一个主域名，以及几个备用的域名。除了当天日期外，DGA 算法还支持静态配置。...C&C 地址统计信息不同配置的 DGA 算法生成的域名都解析到了相同的 IP 地址，这意味着不同的 Grandoreiro 样本文件入侵的受害者都会回连到相同的 C&C 服务器。...如前所述，Grandoreiro 使用 No-IP 进行域名注册。base64_alpha 字段对应于 DGA 使用的自定义 base64 字母表。...DGA 算法逻辑如下所示，最终输出结果是子域名，该子域名与 base_domain 拼接起来用作当天的 C&C 服务器。...Python 实现的 DGA 算法以红色突出显示的部分是 Grandoreiro 的故障安全机制，在主域名无法解析时备用。尽管并非所有样本文件都有该机制，但使用的配置文件是固定的。

4391 0

第65篇：探索顶级APT后门Sunburst的设计思路（修正篇）Solarwinds供应链攻击中篇

Part4 后门DGA域名通信阶段 dga域名通信阶段前置知识 1 dga域名通信阶段概述在以上环境检测都通过之后，Sunburst后门会进入使用dga域名的DNS通信阶段。...3 后门DGA域名生成格式 Sunburst使用的dga域名做了非常巧妙的处理，大致格式如下： *.appsync-api.eu-west-1.avsvmcloud.com（*代表DGA的子域名）...*.appsync-api.us-east-2.avsvmcloud.com（*代表DGA的子域名）其中，每个DGA域名右边三个分段，来自于后门程序中硬编码的字符串，而dga域名的第一分段的星号部分是根据受害者服务器中的计算机域名等信息动态生成的...后门的dga域名通信阶段 1 第1阶段DGA域名通信在这个阶段，Sunburst主要任务是把受害者计算机域名，经过几层加密放在DGA域名中，然后回传给C2。...如下图所示，这些是从流量中抓到的Sunburst在第一阶段的dga域名通信的dga域名的流量样本。

1.1K2 0

一例门罗币矿工Downloader的DGA解析

Bert Hubert 注意到了一个涉及.tickets、.blackfriday、.feedback等顶级域名的 DGA 域名，并将其发布到 Twitter： ?...随后，该恶意软件会尝试交替从以下两个域名下载 Payload： asxe4d2fmz7ji5ux.onion dyvt2mleg33f6zdb.onion 基于 DGA 的恶意软件不使用 Tor，两个文件后续的步骤几乎完全相同...DGA 基于 DGA 的恶意软件噪音很大，它会生成无限数量的域名，直到获得有效的 Payload 为止： ?...DGA 每天最多生成五百个二级域名（共计两千五百个二级域名）。每天的第一个域名都是特殊的，该域名始终使用硬编码的第二个域名 31b4bd31fg1x2。...(d): print(domain) 例如，推文的中显示域名来自 2018 年 4 月 10 日，如下所示： python3 dga.py --date 2018-04-10 总结属性

1.3K5 0

PRODAFT威胁情报平台：全面追踪网络威胁指标

功能特性全面的威胁行为者档案：包含Arcane Mantis、Cryptic Silverfish、Diabolic Ladybug等知名威胁组织的详细分析多维度IOC数据：提供IP地址、域名、文件哈希等多种类型的威胁指标...安全团队可以通过以下方式使用：直接访问GitHub仓库获取最新的IOC数据将IOC数据导入到SIEM系统或威胁情报平台使用提供的Python脚本进行DGA域名检测依赖要求对于DGA检测脚本，需要安装以下...javarandomimportRandom import asyncio import aiodns 使用说明基础使用示例安全团队可以直接使用提供的IOC数据进行威胁检测： # 示例：检测恶意域名...: {domain} -> {ip}") except: pass DGA域名检测项目包含FluBot DGA检测脚本，可生成并检测动态域名： def gen_seed():...域名生成算法 def gen_domain(): r = Random(seed=gen_seed()) for i in range(5000): domain=""

2111 0

Hacker基础之工具篇 Automater

今天我们来介绍一个Kali中的工具Automater 这个工具在Information Gathering下面 Automater这个工具是一个URL/域名，IP地址和MD5哈希OSINT工具旨在使渗透测试人员更轻松地进行分析目标网址...当然也可以看到一些检测的恶意apk历史记录，等等，当然我这里只是用做演示我们也可以看到用DGA生成的恶意域名（就是下面那个很长一串那个） DGA（域名生成算法）是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段...例如，一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试其它建立连接，那么我们的机器就可能感染Cryptolocker勒索病毒。...域名黑名单通常用于检测和阻断这些域的连接，但对于不断更新的DGA算法并不奏效 ? 还会包括一些我们做渗透测试时候的用IP查域名等等操作 ? 这个工具对于前期的信息收集还是蛮大作用的 ?

1.1K2 0

主动防御域名系统关键技术体系研究

2.域名安全威胁情报收集：针对DGA域名、Look-Like域名、钓鱼网站等典型威胁，研发精准检测技术，构建威胁情报数据源。...四、域名安全威胁情报收集关键技术威胁情报是PDNS安全防护的核心支撑，本研究针对六大典型域名安全威胁，研发专项检测技术，实现威胁的精准识别：（一）域名生成算法（DGA）检测DGA 是恶意软件动态生成域名以连接...核心检测方法包括：机器学习模型：采用“两级分类+预测”架构——第一级用决策树/神经网络区分DGA与正常域名，第二级用 DBSCAN聚类相似DGA域名；同时通过Bigram/Word2Vec 提取域名字符特征...，结合 LSTM 模型提升大规模数据集检测效率；域名长度分布分析：通过统计客户端查询域名的二级字符串长度异常，识别未被标记的DGA域名，某企业网络实践中曾通过该方法发现 21个DGA域名，含9个新样本。...基于混合神经网络的生成域名检测：针对DGA生成域名的随机性，融合卷积神经网络（CNN）与长短期记忆网络（LSTM），CNN提取域名字符局部特征，LSTM捕捉字符序列依赖关系，在大规模 DGA 域名样本库

2721 0

基于DNS解析行为分析的网络恶意行为检测方法研究

通过分析域名长度、熵值、TLD分布、请求频率、解析失败率及域名生成算法（DGA）特征等指标，结合机器学习分类模型与规则引擎，实现对恶意软件回连、C2通信、DNS隧道、域名劫持等典型恶意行为的有效识别。...现代恶意软件普遍采用域名生成算法（DGA）、动态域名更新、低频通信等策略，规避基于固定IP或域名的黑名单机制。...Zhang et al.（2020）提出通过域名字符串的统计特征（如长度、熵、字符分布）识别DGA域名，准确率达92%以上。...（1）静态字符串特征域名长度：恶意域名常显著长于正常域名（如>30字符）。信息熵：计算域名字符序列的香农熵，高熵值（>3.5）指示伪随机性，典型于DGA域名。...3.4 检测场景覆盖本模型可识别以下典型恶意行为：DGA恶意软件通信：依赖高熵、长域名、高失败率特征。DNS隧道：通过子域多样性、高频请求、小数据包特征识别。

5791 0

Flightsim：看我如何生成并分析恶意网络流量

Starting09:30:28 dga Generating list of DGA domains09:30:30 dga Resolving rdumomx.xyz09...:30:31 dga Resolving rdumomx.biz09:30:31 dga Resolving rdumomx.top09:30:32 dga Resolving...qtovmrn.xyz09:30:32 dga Resolving qtovmrn.biz09:30:33 dga Resolving qtovmrn.top09:30:33 dga...:30:35 dga Resolving wfoheoz.xyz09:30:35 dga Resolving wfoheoz.biz09:30:36 dga Resolving...使用随机标签和顶级域名模拟DGA流量 hijack 通过ns1.sandbox.alphasoc.xyz测试DNS劫持 scan 使用常见端口对10个随机RFC 1918地址进行端口扫描 sink 对

1.6K2 0

Efimer木马的攻击机制分析与企业防御体系构建

研究发现，该木马采用多阶段加载、动态域名生成（DGA）与进程注入等高级技术，显著提升其隐蔽性与存活率。...自2025年3月起，Efimer引入域名生成算法（DGA），每日生成50–100个候选域名，仅少数被激活用于通信。...域名domains = generate_dga_domains("20250615")print(domains[:5]) # 输出如：['xkqz...top', 'mnpa...top', ......域名检测模型利用机器学习识别DGA生成的随机域名。...5 讨论与局限性尽管上述防御体系能有效缓解Efimer威胁，但仍存在若干挑战：首先，DGA算法持续演化。攻击者可能引入LSTM等生成模型，使域名更接近自然语言，降低基于统计特征的检测准确率。

2741 0

2026年网络安全必看：主流流量威胁检测产品僵尸程序检测能力深度解析

传统的基于签名的检测方法已难以应对采用加密通信、动态域名生成算法（DGA）等规避技术的现代僵尸网络。因此，采用AI驱动、行为分析、全流量检测的先进威胁检测系统成为企业安全建设的刚需。...融合僵尸主机规则库在内的十大智能规则库、AI赋能安全分析安恒明御全流量深度威胁检测平台安恒信息僵尸网络和失陷主机检测内置离线高可信威胁情报库、全流量审计、行为溯源山石网科云安全威胁检测山石网科僵尸网络检测、DGA...检测、DNS隧道检测基于特征库的僵尸主机发现、支持DGA域名攻击检测和DNS隧道检测绿盟网络入侵检测系统NIDS(信创版) 绿盟科技僵尸网络等攻击一网打尽近万条入侵规则、千万级病毒库、协同沙箱和威胁情报...华为云安全方案华为云僵尸网络木马检测、恶意域名服务基于行为检测引擎、恶意域名服务包含130k+僵尸网络C&C情报三、腾讯云NDR：AI驱动的僵尸程序检测专家在众多产品中，腾讯云NDR网络威胁检测系统...腾讯威胁情报库包含海量的恶意IP、域名、文件哈希等IoC，能够快速识别已知僵尸网络的基础设施。

591 0

Naikon APT组织分析

域名使用情况： ?...加载程序负责以下任务： 1、通过启动文件夹或注册表建立持久性 2、将自身注入到另一个进程，例如rundll32.exe和dllhost.exe 3、解密两个Blob：“导入表”和“加载器配置” 4、使用DGA...Configuration & DGA 加载程序配置经过加密，包含以下信息：C＆C域，端口，用户代理和域生成算法（DGA）种子。如果种子不为零，加载程序将根据种子和通信日期使用DGA生成C＆C域。...信息收集 Aria-body首先在受害者的机器上收集数据，包括：主机名，计算机名，用户名，域名，Windows版本，处理器MHz，MachineGuid，公共IP。 ?...DGA ?

1.3K1 0

Banjori银行木马分析报告

使用DGA动态获取C2域名，绕过杀软的恶意域名检测。 2. 将窃取到的用户信息上传至C2服务器。 ? 三....3动态域名算法样本使用字符串’antisemitismgavenuteq.com’作为种子域名，根据该种子域名的前四个字符计算后成真正的C2域名，计算方法如公式所描述 ?...有些域名在经过一定轮次后可被再次生成，有些则不可以。举例，对于域名’gfaqsemitismgavenuteq.com’，不存在使用该DGA算法后输出’gfaq’的输入。...非回环域名可用于该DGA算法的种子，但不可作为C2域名，这是因为非回环域名不会被再次算出，首次连接失败就意味着C2永久性丧失了对肉鸡的控制权。我们可以提取回环域名特征后将其枪注，进而接管僵尸网络。...earnestnessbiophysicalohax.com f555132e0b7984318b965f984785d360 参考资料： [1]:https://www.johannesbader.ch/2015/02/the-dga-of-banjori

1.5K1 0

7.基于机器学习的安全数据集总结

希望对您有所帮助~ 文章目录： KDD CUP 99 HTTP DATASET CSIC 2010 honeypot.json Masquerading User Data ADFA IDS Datasets 域名相关...DGA 正常域名和可疑域名检测，主要用于DGA的检测。...这里直接用Alexa Top 100W 作为正常域名，用其他的开放的DGA数据作为黑样本。...是否特征化：否使用范围：入侵检测异常流量 WAF 下载地址 Alexa Top 100W：http://s3.amazonaws.com/alexa-static/top-1m.csv.zip 360DGA...：http://data.netlab.360.com/dga/ zeusDGA：http://www.secrepo.com/misc/zeus_dga_domains.txt.zip 数据示例：

2.5K2 0

腾讯反病毒实验室为你揭秘Xshell软件后门技术！

数据上报的方式比较独特，通过DGA域名随机算法，每个月产生一个随机域名。...然后将这个长域名，发往知名的域名解析器，通过域名解析将用户上线信息传到黑客的后台服务器。...IOC：通过每个月的DGA算法，可以获取到一些域名 ribotqtonut.com （2017年7月） nylalobghyhirgh.com （2017年8月） jkvmdmjyfcvkf.com...2，运维人员发现IOC中列出的域名请求时，请尽快进行排查。 3，已经中毒的电脑，建议查杀后，应尽快修改服务器的密码。 ----

1.7K6 0

点击加载更多

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭