Algoritmi di Generazione Domini: Domain Generation Algorithms (T1568.002)

Per comprendere il funzionamento dei DGA, iniziamo simulando un algoritmo base in Python che genera domini casuali basati sulla data corrente:

import hashlib
from datetime import datetime

def generate_dga_domain(date, seed="malware123"):
    date_string = date.strftime("%Y%m%d")
    hash_input = f"{seed}{date_string}".encode()
    hash_output = hashlib.md5(hash_input).hexdigest()
    domain = hash_output[:16] + ".com"
    return domain

Il comando sopra genera un dominio di 16 caratteri che cambia giornalmente. Per testare algoritmi più complessi che concatenano parole, possiamo utilizzare dizionari predefiniti simulando il comportamento di CHOPSTICK:

python dga_wordlist.py --words adjectives.txt nouns.txt --tld .net --count 100

Durante un red team engagement, l'implementazione di un DGA richiede la sincronizzazione temporale tra il malware e il server C2. Un approccio pratico prevede l'utilizzo di servizi pubblici come la blockchain di Dogecoin, tecnica documentata nel malware Doki.

Per testare la resilienza della difesa, generate domini con entropia variabile. Domini con alta entropia (>4.0) sono facilmente identificabili, mentre quelli basati su parole comuni possono mimetizzarsi meglio nel traffico legittimo. ShadowPad utilizza il giorno del mese come seed, generando solo 31 possibili domini mensili - un compromesso tra flessibilità e gestibilità dell'infrastruttura.

Il tool ngrok offre una implementazione legittima di DGA che cambia URL ogni 12 ore, utile per comprendere pattern temporali senza sviluppare codice custom.

La detection efficace dei DGA richiede analisi multi-livello del traffico DNS. Configure Sysmon per catturare tutti gli eventi DNS (Event ID 22) con questa configurazione:

<DnsQuery onmatch="exclude"> <QueryName condition="end with">.local</QueryName> </DnsQuery>

Impostate soglie di entropia per identificare domini sospetti. Domini legittimi hanno tipicamente entropia <3.5, mentre DGA letter-based superano 4.0. Per Windows, correlate WinEventLog:Sysmon con WinEventLog:Security cercando processi non browser che generano query DNS ad alta frequenza.

I falsi positivi provengono principalmente da CDN e servizi cloud che utilizzano sottodomini dinamici. Create whitelist basate su:

• Domini root affidabili (amazonaws.com, cloudfront.net)
• Processi legittimi noti per generare traffico DNS dinamico
• Pattern temporali regolari (backup schedulati, sincronizzazioni)

Per Linux, monitorate /var/log/syslog e auditd per syscall connect() verso IP risolti da domini sospetti. Il tasso di NXDOMAIN è cruciale: >30% di fallimenti indica possibile DGA, ma verificate sempre contro baseline specifiche dell'ambiente.

Un approccio avanzato prevede il machine learning per classificare domini basandosi su n-grammi e struttura lessicale. Domini word-based come quelli generati da POSHSPY richiedono analisi semantica oltre alla semplice entropia.

L'analisi forense dei DGA inizia dall'identificazione dei processi che hanno generato le query DNS anomale. Su Windows, esaminate:

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

Cercate EventCode 22 filtrando per QueryName con pattern casuali. La correlazione temporale è fondamentale: Conficker utilizza la data UTC del sistema vittima come seed, quindi verificate possibili manipolazioni del tempo di sistema nei log.

Per ricostruire l'algoritmo utilizzato, estraete tutti i domini risolti dal malware ordinandoli cronologicamente. Pattern comuni includono:

• Cambio giornaliero a mezzanotte UTC
• Rotazione oraria con prefissi incrementali
• Utilizzo di date significative come seed (data di compromissione iniziale)

Su Linux, i resolver cache in /var/cache/nscd/ possono contenere tracce di domini DGA anche dopo la rimozione del malware. Il file resolv.conf potrebbe mostrare modifiche se il malware ha tentato di utilizzare resolver specifici.

Grandoreiro implementa un DGA con chiave specifica per utente che cambia quotidianamente. Cercate artefatti di persistenza che potrebbero contenere questa chiave: registry keys su Windows, file di configurazione su Linux.

La timeline reconstruction deve mappare:

1. Prima query DGA registrata
2. Frequenza e pattern temporale delle query
3. Domini che hanno risposto con IP validi
4. Connessioni TCP/UDP successive verso gli IP risolti

APT41 rappresenta l'implementazione più sofisticata, con rotazione mensile dei server C2 tramite DGA. Il gruppo mantiene tipicamente 3-5 domini attivi simultaneamente, registrati con 30-45 giorni di anticipo utilizzando registrar in giurisdizioni non collaborative.

TA551 adopera DGA in combinazione con macro malevole, generando URL diversi per ogni campagna di phishing. I loro algoritmi preferiscono domini .com e .net con lunghezza 12-16 caratteri, registrati tramite servizi che accettano criptovalute.

L'overlap negli strumenti mostra convergenza tecnica: QakBot, Ursnif e Bazar condividono strutture DGA simili, suggerendo possibili collaborazioni o vendita di codice nel underground. Bazar utilizza specificamente la data corrente come seed, pattern osservato anche in SombRAT.

Le campagne future probabilmente evolveranno verso:

• DGA basati su eventi esterni (prezzi crypto, risultati sportivi)
• Utilizzo di TLD alternativi (.xyz, .top) per ridurre costi
• Implementazione di DGA multilivello con domini primari e fallback

Il malware Shark introduce un algoritmo di generazione unico per comunicazioni DNS, indicando una tendenza verso protocolli custom invece di HTTP/HTTPS tradizionale. Monitorate registrazioni bulk di domini con pattern simili presso registrar specifici come indicatore precoce di nuove campagne.

Framework MITRE ATT&CK T1568.002. Documentazione APT41 monthly rotation e TA551 macro-based DGA. Campagne Conficker, Doki blockchain-based DGA. Detection strategies per entropy analysis e NXDOMAIN monitoring.