dga域名生成算法 - 腾讯云开发者社区

文章/答案/技术大牛

发布

利用Python实现DGA域名检测

永恒之蓝中黑客预留了一个没有注册的域名，用于防护事件不受控制时，启用该域名可以抑制事件的扩大 2....利用永恒之蓝进行勒索事件中黑客预留的域名是DGA域名，在某些条件下探测该DGA域名是否可以正常解析，若解析成功则不进行加密，若解析成功则不加密。...DGA一般都是通过硬编码写入到程序中，在没有能力对其逆向的情况下，我们可以分析网络流量来分析DNS请求的DGA域名。这样就需要了解哪些域名是DGA域名，这里面有多种方法与思路： 1....DGA域名有个特征，很多DGA并没有注册，黑客前期会生成大量的DGA域名，但是在某些情况下，如传输数据与命令或抑制事件时，会选择性的注册少量域名，这样的话可以对DNS解析不成功的域名进行记录，并将这些域名进行进行...，若其没有注册，且域名很随机可以判断为疑似DGA域名。

4K6 0

DGA域名的今生前世：缘起、检测、与发展

1DGA域名原理恶意软件利用DGA算法与C2服务器进行通信的原理如图1[2]所示，客户端通过DGA算法生成大量备选域名，并且进行查询，攻击者与恶意软件运行同一套DGA算法，生成相同的备选域名列表，当需要发动攻击的时候...图1 DGA域名工作原理 2DGA域名分类 DGA算法由两部分构成，种子（算法输入）和算法，可以根据种子和算法对DGA域名进行分类，DGA域名可以表示为AGD（Algorithmically-Generated...现有DGA生成算法一般可以分为如下4类： 1.基于算术。...该类型算法会生成一组可用ASCII编码表示的值，从而构成DGA域名，流行度最高。 2.基于哈希。用哈希值的16进制表示产生DGA域名，被使用的哈希算法常有：MD5，SHA256。 3.基于词典。...根据种子和生成算法的不同，DGA域名可以选择不同种子类型和算法类型的组合方式，因此最终DGA域名的生成形式多样性高。

9K3 0

您找到你想要的搜索结果了吗？

是的

没有找到

DGA域名检测的数据分析与深度学习分类

DGA（Domain generation algorithms），中文名：域名生成算法，其可以生成大量随机的域名来供恶意软件连接C&C控制服务器。...恶意软件编写者将采用同样的种子和算法生成与恶意软件相同的域名列表，从中选取几个来作为控制服务器，恶意软件会持续解析这些域名，直到发现可用的服务器地址。...二、一个DGA算法的例子为了让读者对DGA算法生成的域名有更加直观的认识，列举一种DGA算法murofet(v2)，该算法以时间与一个密钥作为种子来生成相应的域名地址，代码如下： def dga(date...图3.3 DGA域名长度分布从图2.2的长度分布中可以看出，其中比较突出的两个长度是16和18，再其次长的是12，这个让笔者想起了另外一个家族，tinba算法就是按照12为数量限制循环生成字符组成域名...同时使用的数据也不一样，文章[4]中的数据是采用DGA算法生成的，各个类别的数据相当，而本文是直接采用的开源的数据，每个DGA家族之间的数据分布很不均衡，且家族数据也不一致。

5.2K4 0

详解全球联合执法摧毁的 Grandoreiro 僵尸网络

自从 2020 年 10 月以来，该恶意软件一直使用 DGA 算法每天生成一个主域名，以及几个备用的域名。除了当天日期外，DGA 算法还支持静态配置。...DGA 算法 DGA 算法被 Grandoreiro 僵尸网络硬编码内置，通过名为 dga_id 的字符串获得引用。...C&C 地址统计信息不同配置的 DGA 算法生成的域名都解析到了相同的 IP 地址，这意味着不同的 Grandoreiro 样本文件入侵的受害者都会回连到相同的 C&C 服务器。...DGA 算法逻辑如下所示，最终输出结果是子域名，该子域名与 base_domain 拼接起来用作当天的 C&C 服务器。...如下所示，每条都由一个 Key、一个前缀和一个基础域名组成。故障安全机制会采用主 C&C 子域名生成的部分逻辑，遍历所有条目并对其进行异或加密，最后当作前缀前置。

4401 0

第65篇：探索顶级APT后门Sunburst的设计思路（修正篇）Solarwinds供应链攻击中篇

3 后门DGA域名生成格式 Sunburst使用的dga域名做了非常巧妙的处理，大致格式如下： *.appsync-api.eu-west-1.avsvmcloud.com（*代表DGA的子域名）...*.appsync-api.us-east-2.avsvmcloud.com（*代表DGA的子域名）其中，每个DGA域名右边三个分段，来自于后门程序中硬编码的字符串，而dga域名的第一分段的星号部分是根据受害者服务器中的计算机域名等信息动态生成的...，以下是一个DGA阶段域名生成算法的示例。...当Sunburst后门状态为Append（激活状态）时，即开始第2阶段dga域名，生成的DGA域名将包括计算机唯一标志符、内置服务黑名单的安全产品测状态信息（包括是否存在、是否还在运行、是否被关闭等信息...为了对抗IOCs检测，Sunburst后门作者设计了巧妙的dga域名生成算法和URL路径随机生成算法，而且两个dga域名请求间隔时间可能长达一整天，攻击过程非常隐蔽。 3.

1.1K2 0

APT新趋势：战略性休眠域名利用率提升，检测困难

△ 图1 2021年9月每日检测战略性休眠域名的数量在 SolarWinds 供应链攻击中，SUNBURST 木马使用 DGA 算法窃取失陷主机的域信息。...SUNBURST 木马通过 DGAstring.appsync-api.region.avsvmcloud.com 形式生成 DGA 域名请求，其中包含编码后的受害者身份、受感染组织的域以及使用安全产品的状态...上图显示了激活后 DGA 流量百分比的累积分布图（CDF），域名中有一半的 DGA 流量占比超过 36.76%。...△ 图 6 页面跳转逻辑网络钓鱼攻击还会使用 DGA 字符串生成域名用于域名抢注。这些字符串将欺骗性部分和根域名分开，例如 mailingmarketing.net 是在 2020 年注册的。...这些域名都关联了随机生成的网站，文字内容都是使用随机字符串填充的网站模板，猜测是黑产用于黑帽 SEO 用途。结论攻击者越来越倾向于在攻击行动很久前就注册域名备用。

1.2K1 0

Hacker基础之工具篇 Automater

今天我们来介绍一个Kali中的工具Automater 这个工具在Information Gathering下面 Automater这个工具是一个URL/域名，IP地址和MD5哈希OSINT工具旨在使渗透测试人员更轻松地进行分析目标网址...当然也可以看到一些检测的恶意apk历史记录，等等，当然我这里只是用做演示我们也可以看到用DGA生成的恶意域名（就是下面那个很长一串那个） DGA（域名生成算法）是一种利用随机字符来生成C&C域名，从而逃避域名黑名单检测的技术手段...例如，一个由Cryptolocker创建的DGA生成域xeogrhxquuubt.com，如果我们的进程尝试其它建立连接，那么我们的机器就可能感染Cryptolocker勒索病毒。...域名黑名单通常用于检测和阻断这些域的连接，但对于不断更新的DGA算法并不奏效 ? 还会包括一些我们做渗透测试时候的用IP查域名等等操作 ? 这个工具对于前期的信息收集还是蛮大作用的 ?

1.1K2 0

PRODAFT威胁情报平台：全面追踪网络威胁指标

功能特性全面的威胁行为者档案：包含Arcane Mantis、Cryptic Silverfish、Diabolic Ladybug等知名威胁组织的详细分析多维度IOC数据：提供IP地址、域名、文件哈希等多种类型的威胁指标...安全团队可以通过以下方式使用：直接访问GitHub仓库获取最新的IOC数据将IOC数据导入到SIEM系统或威胁情报平台使用提供的Python脚本进行DGA域名检测依赖要求对于DGA检测脚本，需要安装以下...javarandomimportRandom import asyncio import aiodns 使用说明基础使用示例安全团队可以直接使用提供的IOC数据进行威胁检测： # 示例：检测恶意域名...: {domain} -> {ip}") except: pass DGA域名检测项目包含FluBot DGA检测脚本，可生成并检测动态域名： def gen_seed():...域名生成算法 def gen_domain(): r = Random(seed=gen_seed()) for i in range(5000): domain=""

2121 0

Efimer木马的攻击机制分析与企业防御体系构建

研究发现，该木马采用多阶段加载、动态域名生成（DGA）与进程注入等高级技术，显著提升其隐蔽性与存活率。...自2025年3月起，Efimer引入域名生成算法（DGA），每日生成50–100个候选域名，仅少数被激活用于通信。...2025-06-15的DGA域名domains = generate_dga_domains("20250615")print(domains[:5]) # 输出如：['xkqz...top', 'mnpa...域名检测模型利用机器学习识别DGA生成的随机域名。...5 讨论与局限性尽管上述防御体系能有效缓解Efimer威胁，但仍存在若干挑战：首先，DGA算法持续演化。攻击者可能引入LSTM等生成模型，使域名更接近自然语言，降低基于统计特征的检测准确率。

2741 0

主动防御域名系统关键技术体系研究

四、域名安全威胁情报收集关键技术威胁情报是PDNS安全防护的核心支撑，本研究针对六大典型域名安全威胁，研发专项检测技术，实现威胁的精准识别：（一）域名生成算法（DGA）检测DGA 是恶意软件动态生成域名以连接...核心检测方法包括：机器学习模型：采用“两级分类+预测”架构——第一级用决策树/神经网络区分DGA与正常域名，第二级用 DBSCAN聚类相似DGA域名；同时通过Bigram/Word2Vec 提取域名字符特征...，结合 LSTM 模型提升大规模数据集检测效率；域名长度分布分析：通过统计客户端查询域名的二级字符串长度异常，识别未被标记的DGA域名，某企业网络实践中曾通过该方法发现 21个DGA域名，含9个新样本。...（二）可疑域名高效分析技术聚焦可疑域名的快速分类与识别，研发两类核心技术：基于机器学习的恶意域名识别：提取“黑名单匹配、DNS 数据、网站特征、词汇特征”四类多维特征，采用逻辑回归算法构建分类模型，通过公式...基于混合神经网络的生成域名检测：针对DGA生成域名的随机性，融合卷积神经网络（CNN）与长短期记忆网络（LSTM），CNN提取域名字符局部特征，LSTM捕捉字符序列依赖关系，在大规模 DGA 域名样本库

2741 0

基于DNS解析行为分析的网络恶意行为检测方法研究

通过分析域名长度、熵值、TLD分布、请求频率、解析失败率及域名生成算法（DGA）特征等指标，结合机器学习分类模型与规则引擎，实现对恶意软件回连、C2通信、DNS隧道、域名劫持等典型恶意行为的有效识别。...关键词：DNS解析；网络行为分析；恶意行为检测；域名生成算法；异常检测；网络安全1....现代恶意软件普遍采用域名生成算法（DGA）、动态域名更新、低频通信等策略，规避基于固定IP或域名的黑名单机制。...典型基于DNS的攻击包括：DGA恶意软件通信：如Conficker、CryptoLocker等恶意程序周期性生成大量伪随机域名，用于连接C2服务器，规避黑名单封禁。...然而，现有研究多集中于单一威胁类型（如仅检测DGA），缺乏对多种恶意行为的统一建模框架。同时，多数模型依赖高维特征与复杂算法，在资源受限的边缘设备或大型网络出口节点部署时面临性能挑战。

5821 0

使用openssl生成域名证书

1 生成域名（es.demo.com）私钥 openssl genrsa -out es.demo.com.key 2048 2生成域名（es.demo.com）证书签名请求（CSR） openssl...3 因此，即使 Common Name 只填写一个值，只要在 domain.ext 配置文件的 subjectAltName 中正确列出了所有需要支持的域名和 IP，生成的证书就能适用于这些目标。...例如，你可以将 Common Name 设置为主要域名 es.demo.com，然后在 domain.ext 中列出其他相关域名和 IP： 4 生成域名证书： openssl x509 -req -...补充如果后续有新的域名证书需求签发，例如 es.demo.com ，操作步骤如下： 1 生成域名（es.demo.com）私钥 openssl genrsa -out es.demo.com.key...此外，也支持通配符域名，操作如下： 1 生成域名（*.demo.com）私钥 openssl genrsa -out wildcard.demo.com.key 2048 2生成域名（*.demo.com

9101 0

一例门罗币矿工Downloader的DGA解析

Bert Hubert 注意到了一个涉及.tickets、.blackfriday、.feedback等顶级域名的 DGA 域名，并将其发布到 Twitter： ?...DGA 基于 DGA 的恶意软件噪音很大，它会生成无限数量的域名，直到获得有效的 Payload 为止： ?...Downloader 有以下五个顶级域名： .org .tickets .blackfriday .hosting .feedback 每个顶级域名都传递到一个单独的线程中，该线程生成二级域名，然后执行前述操作...DGA 每天最多生成五百个二级域名（共计两千五百个二级域名）。每天的第一个域名都是特殊的，该域名始终使用硬编码的第二个域名 31b4bd31fg1x2。...描述类型确定时间相关生成方案 MD5 哈希种子当前日期与 Magic 字符串域名变化频率 1 天每天生成域名数量 499（+1 硬编码）顺序每个顶级域名在单独的线程中运行，在该线程中依次生成域名

1.3K5 0

如何生成二级域名如何购买域名

域名是每个企业都需要的，尤其是要建设网站。这是必不可少的虚拟产品，在选择域名上，尽量与企业相关，最重要的是凸显出企业的形象。很多企业都是以品牌拼音挑选，也有些是拼音加数字，都是一些简单易记的域名。...下面就给大家讲讲如何生成二级域名？如何生成二级域名如何生成二级域名？说到二级域名，做网站的人应该都知道，当购买一个主域名之后，可以通过解析的方式生成多个二级域名，这样就可以建设多个网站。...具体的生成方式就是先在注册商平台中找到域名管理中心。再找到要解析的主域名做域名解析，设置主机名、记录、IP地址等等。...完成之后再耐心等到几分钟，二级域名就解析生成就这样完成了，安装的步骤方法也跟主域名一样。如何购买域名很多企业都需要拥有一个独一无二的域名来凸显企业的形象，域名的购买方式也是很简单。...线上搜索域名注册，就会出现很多注册平台，多家对比后再选择一家靠谱的平台进行注册购买，购买之后再进行认证解析就可以访问了。上述就是关于如何生成二级域名的方法。域名的后缀有很多，有贵有便宜的。

14.1K2 0

Banjori银行木马分析报告

该算法生成的C2域名仅与种子域名的前四个字符不同，共有26^4种排列组合；生成的C2域名示例如下 ’plhusemitismgavenuteq.com’ ‘ckbrsemitismgavenuteq.com...’ ‘msfasemitismgavenuteq.com’ ‘fbcpsemitismgavenuteq.com’ 如果一直无法连接到C2域名，样本会一直使用该算法生成新的C2域名直到连接成功。...由于四个字符的排列组合数量有限，因此该算法会多次生成相同的域名，即’回环域名’。...有些域名在经过一定轮次后可被再次生成，有些则不可以。举例，对于域名’gfaqsemitismgavenuteq.com’，不存在使用该DGA算法后输出’gfaq’的输入。...非回环域名可用于该DGA算法的种子，但不可作为C2域名，这是因为非回环域名不会被再次算出，首次连接失败就意味着C2永久性丧失了对肉鸡的控制权。我们可以提取回环域名特征后将其枪注，进而接管僵尸网络。

1.5K1 0

Naikon APT组织分析

域名使用情况： ?...算法 5、与C＆C地址通信，检索下一阶段有效载荷 6、解密收到的有效载荷DLL（Aria-body后门） 7、加载并执行DLL的导出功能 ?...Configuration & DGA 加载程序配置经过加密，包含以下信息：C＆C域，端口，用户代理和域生成算法（DGA）种子。如果种子不为零，加载程序将根据种子和通信日期使用DGA生成C＆C域。...信息收集 Aria-body首先在受害者的机器上收集数据，包括：主机名，计算机名，用户名，域名，Windows版本，处理器MHz，MachineGuid，公共IP。 ?...DGA ?

1.3K1 0

Flightsim：看我如何生成并分析恶意网络流量

今天给大家介绍一款名叫Flightsim的实用工具，该工具可以帮大家生成恶意网络流量，并以此来评估自身的网络安全控制策略。 ?...Network Flight Simulator Flightsim是一款轻量级的开源网络安全工具，安全研究人员可以利用这款工具来生成恶意网络流量，并帮助他们评估自身网络系统的安全控制策略以及网络可见性...，如果你需要执行完整测试，可以直接使用下列命令： flightsim run 该命令会使用第一个可用的网络接口来生成恶意流量。...工具模块介绍下面给出的是该工具自带的模块包：模块名模块描述 c2-dns 生成当前的C2目的地址列表，分别执行DNS请求 c2-ip 随机连接10个当前列表中的C2 IP地址:端口，模拟攻击会话...dga 使用随机标签和顶级域名模拟DGA流量 hijack 通过ns1.sandbox.alphasoc.xyz测试DNS劫持 scan 使用常见端口对10个随机RFC 1918地址进行端口扫描 sink

1.6K2 0

第66篇：顶级APT后门Sunburst通信流量全过程复盘分析(修正篇)

当C2服务端攻击者将dga域名解析成图中蓝色部分的IP地址时，说明C2服务端的攻击者还未决定目标是否是有价值的目标，是否要进一步渗透，所以需要Sunburst后门会继续发起dga域名请求，以便接收攻击者发送下一步指令...C2服务端将dga域名解析为8.18.145.62，Sunburst后门解析ip地址的最后8字节，得知需要延迟1天之后再次发起dga域名请求。...第3步延迟1天之后，Sunburst通过ping如下dga域名，向C2请求指令，C2将域名解析为8.18.144.150，Sunburst需要继续等待1天，然后发起dga域名请求。...url生成规则如下（详情请见上一篇文章） Sunburst回传数据的请求数据包大致如下（这是ABC_123根据国外分析文章拼起来的，可能会缺少部分的header头信息）请求数据包的解释如下：...C2的通信在初始阶段获取内网计算机域名和安全防护软件基本信息过程中，流量都隐藏在dga域名中，难以发现。

9692 0

腾讯反病毒实验室为你揭秘Xshell软件后门技术！

shellcode2动态加载获取系统函数后，会调用CoCreateGuid生成一个Guid，这个Guid会在后续上报信息时用到。...数据上报的方式比较独特，通过DGA域名随机算法，每个月产生一个随机域名。...然后将这个长域名，发往知名的域名解析器，通过域名解析将用户上线信息传到黑客的后台服务器。...IOC：通过每个月的DGA算法，可以获取到一些域名 ribotqtonut.com （2017年7月） nylalobghyhirgh.com （2017年8月） jkvmdmjyfcvkf.com...2，运维人员发现IOC中列出的域名请求时，请尽快进行排查。 3，已经中毒的电脑，建议查杀后，应尽快修改服务器的密码。 ----

1.7K6 0

安全圈术语全景图

DGA（Domain Generation Algorithm）恶意软件利用DGA算法与C2服务器进行通信的原理如图所示，客户端通过DGA算法生成大量备选域名，并且进行查询，攻击者与恶意软件运行同一套DGA...很显然，在这种方式下，传统基于黑名单的防护手段无法起作用，一方面，黑名单的更新速度远远赶不上DGA域名的生成速度，另一方面，防御者必须阻断所有的DGA域名才能阻断C2通信，因此，DGA域名的使用使得攻击容易...DGA算法由两部分构成，种子（算法输入）和算法，可以根据种子和算法对DGA域名进行分类，DGA域名可以表示为AGD（Algorithmically-Generated Domains）。...DGA生成算法一般可以分为如下4类：1.基于算术。...该类型算法会生成一组可用ASCII编码表示的值，从而构成DGA域名，流行度最高。2.基于哈希。用哈希值的16进制表示产生DGA域名，被使用的哈希算法常有：MD5，SHA256。3.基于词典。

7611 0

点击加载更多

利用Python实现DGA域名检测

DGA域名的今生前世：缘起、检测、与发展

DGA域名检测的数据分析与深度学习分类

详解全球联合执法摧毁的 Grandoreiro 僵尸网络

第65篇：探索顶级APT后门Sunburst的设计思路（修正篇）Solarwinds供应链攻击中篇

APT新趋势：战略性休眠域名利用率提升，检测困难

Hacker基础之工具篇 Automater

PRODAFT威胁情报平台：全面追踪网络威胁指标

Efimer木马的攻击机制分析与企业防御体系构建

主动防御域名系统关键技术体系研究

基于DNS解析行为分析的网络恶意行为检测方法研究

使用openssl生成域名证书

一例门罗币矿工Downloader的DGA解析

如何生成二级域名如何购买域名

Banjori银行木马分析报告

Naikon APT组织分析

Flightsim：看我如何生成并分析恶意网络流量

第66篇：顶级APT后门Sunburst通信流量全过程复盘分析(修正篇)

腾讯反病毒实验室为你揭秘Xshell软件后门技术！

安全圈术语全景图

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐