Algoritmi di Generazione Domini: Domain Generation Algorithms (T1568.002)

Simulare un DGA in laboratorio è un esercizio fondamentale per comprendere cosa il SOC dovrà rilevare. L'obiettivo non è costruire malware, ma generare traffico DNS realistico che attivi — o non attivi — le regole di detection del blue team.

Il punto di partenza più naturale è Python. Un DGA time-based elementare basato su hash si scrive in poche righe: si concatena la data corrente con un seed, si calcola l'hash MD5 e si estraggono i primi N caratteri come nome di dominio. In laboratorio, lo script può lanciare risoluzioni DNS verso quei domini inesistenti usando la libreria socket, generando il pattern di NXDOMAIN che i sistemi di detection devono intercettare.

Per un DGA word-based più realistico — analogo a quello usato da POSHSPY o CHOPSTICK — si utilizza una wordlist da cui pescare parole in posizioni determinate dal seed temporale. Questo tipo di DGA è più difficile da rilevare perché i domini risultanti hanno un'entropia lessicale inferiore.

Il repository DGA di Johannes Bader (open source) raccoglie reimplementazioni Python di algoritmi DGA reali di decine di famiglie malware, tra cui Conficker, QakBot e Bazar. È il riferimento ideale per generare traffico fedele a campioni reali:

python dga.py -d 2024-01-15 -n 100

dove -d specifica la data seed e -n il numero di domini da generare (la sintassi specifica varia per famiglia).

Per iniettare il traffico nella rete lab, dnscat2 (open source) consente di stabilire un canale C2 su DNS. Il server si avvia con:

ruby dnscat2.rb --no-cache

mentre il client genera query DNS che simulano traffico DGA. Un approccio più semplice sfrutta nslookup in loop su Windows:

for /L %i in (1,1,500) do nslookup randomdomain%i.xyz

Questo genera una raffica di query con NXDOMAIN che testa la soglia di alerting del SOC.

Per chi opera con framework strutturati, Cobalt Strike (a pagamento) supporta malleable C2 profiles che possono essere configurati per ruotare i domini di callback simulando un comportamento DGA-like. In alternativa, Sliver (open source) offre capacità analoghe senza costi di licenza, con la possibilità di configurare domini multipli tramite il suo sistema di listener.

Sul fronte macOS, lo stesso approccio Python funziona nativamente. Su ambienti ESXi, la simulazione più efficace è generare traffico DNS dalla management network usando nslookup o dig verso domini pseudo-casuali, osservando come i syslog dell'hypervisor registrano le query.

Il cuore della detection DGA è una verità semplice: il malware che genera migliaia di domini ne troverà attivi pochissimi. Il segnale più forte non è il singolo dominio sospetto, ma il pattern di fallimenti DNS — un rapporto anomalo tra query e risposte NXDOMAIN emesse dallo stesso processo o host.

Su Windows, la log source primaria è Sysmon Event ID 22 (DNS Query), che cattura il processo originante, il dominio interrogato e il risultato. Questo è il dato fondamentale: correlare il processo con il pattern di query. Una regola efficace aggrega le query DNS per processo in finestre temporali di 5-10 minuti e genera un alert quando il tasso di fallimento supera il 30%. La soglia di entropia raccomandata per i domini è > 4.0 su scala Shannon: i domini legittimi raramente superano questo valore, mentre i DGA character-based lo fanno sistematicamente.

I Windows Security logs completano il quadro con eventi di connessione network. Tuttavia, il vero salto di qualità arriva integrando il DNS passivo a livello di rete. Strumenti come Zeek (open source) analizzano il traffico DNS in tempo reale e possono alimentare regole di correlazione nel SIEM. Una query Zeek che conta i domini unici per host sorgente in una finestra temporale breve è spesso sufficiente a isolare il comportamento DGA.

Per i DGA word-based — più difficili da individuare con la sola entropia — servono approcci basati su modelli di linguaggio o su distanza lessicale da dizionari di domini legittimi. Soluzioni come freq.py (open source, parte del toolkit SANS) calcolano la frequenza dei caratteri rispetto a un corpus di riferimento, assegnando un punteggio di anomalia.

Su Linux, la detection si basa su auditd per tracciare le syscall di rete (connect, sendto) e sui log del resolver di sistema. La soglia NXDOMAIN raccomandata per Linux è più aggressiva: > 40%. Un parametro complementare è l'età del dominio — flag per domini registrati negli ultimi 7-30 giorni attraverso feed WHOIS integrati nel SIEM.

Su macOS, i Unified Logs catturano le query DNS a livello di sistema. Il tuning chiave è escludere i domini CDN e cloud provider noti tramite whitelist di reputazione, e calibrare lo score lessicale separatamente per DGA letter-based e word-based.

Per ESXi, i syslog dell'hypervisor vanno monitorati per query DNS ad alta frequenza con basso TTL, verificando che i path del resolver corrispondano a quelli attesi e applicando una whitelist dei domini legittimi per le operazioni di gestione.

Nella mitigazione attiva, un DNS sinkhole locale è la misura più cost-effective: reindirizza i domini DGA noti verso un indirizzo controllato, interrompendo il canale C2 senza richiedere il blocco individuale di migliaia di domini. I sistemi di Network Intrusion Prevention possono inoltre impiegare firme specifiche per identificare il traffico di malware DGA-based noti, anche se il reverse engineering degli algoritmi per prevedere i domini futuri resta un'attività intensiva in termini di tempo e risorse.

L'analisi forense di un'infezione DGA-based ruota intorno a un artefatto principe: la cache DNS e i log di risoluzione. Su un sistema Windows, il primo passo è estrarre la cache DNS in memoria prima che venga persa:

Get-DnsClientCache | Export-Csv dns_cache.csv

Questo comando PowerShell cattura tutti i record ancora presenti nella cache, inclusi i tentativi falliti. La presenza di decine o centinaia di risoluzioni fallite verso domini con pattern riconoscibile — alta entropia, TLD comuni come .ru, .xyz, .net — è un indicatore forte di attività DGA.

Il secondo artefatto critico è il log Sysmon Event ID 22, che registra ogni query DNS con timestamp, processo originante e risultato. Ricostruire la sequenza temporale delle query permette di identificare il momento esatto in cui il malware ha iniziato a generare domini e, soprattutto, quale dominio ha finalmente risposto con un indirizzo IP valido — quel dominio è il C2 attivo al momento dell'infezione.

Su sistemi senza Sysmon, il file di log ETW (Event Tracing for Windows) del client DNS, abilitabile tramite wevtutil sl Microsoft-Windows-DNS-Client/Operational /e:true, offre una fonte alternativa. I log risultanti contengono le query DNS con granularità per-processo.

Per la correlazione temporale, l'analista deve incrociare le query DNS con gli eventi di connessione di rete nei log del firewall o del proxy. Il pattern tipico è: raffica di NXDOMAIN → singola risoluzione riuscita → connessione HTTP/HTTPS verso l'IP risultante → inizio del traffico C2 effettivo.

Su Linux, i log del resolver in /var/log/syslog o tramite journalctl per sistemi con systemd-resolved registrano le query DNS. I record auditd con syscall connect permettono di correlare il PID del processo con le connessioni di rete successive alla risoluzione. Il comando:

ausearch -sc connect -ts recent

filtra le connessioni recenti, evidenziando processi che hanno stabilito socket verso IP corrispondenti ai domini DGA risolti.

Le fonti esterne completano il quadro investigativo. I servizi di passive DNS — come quelli offerti da Farsight DNSDB (a pagamento) o il database di VirusTotal (freemium) — permettono di ricostruire lo storico delle risoluzioni per i domini DGA identificati, rivelando quando il dominio è stato registrato, quale IP ha servito e se altri host nella stessa campagna lo hanno contattato. I Certificate Transparency logs, consultabili tramite il servizio crt.sh (gratuito), possono rivelare certificati emessi per i domini DGA attivi, fornendo un ulteriore punto di ancoraggio nella timeline.

L'analisi del binario malware stesso, quando disponibile, è il passo finale: estrarre l'algoritmo DGA consente di generare l'intero spazio di domini per qualsiasi data, identificando potenziali C2 passati e futuri.

Il panorama DGA si articola in due grandi categorie di attori: gruppi APT con operazioni mirate e operatori di malware commodity ad ampia distribuzione. Questa distinzione è fondamentale per calibrare la risposta intelligence.

APT41 rappresenta il caso paradigmatico di utilizzo DGA in operazioni state-sponsored. Il gruppo ruota i propri server C2 su base mensile tramite DGA, un approccio che bilancia la necessità di persistenza con quella di elusione. La cadenza mensile suggerisce un'operazione disciplinata dove la finestra di registrazione domini è prevedibile — un punto di vantaggio per i difensori che riescano a reverse-engineerare l'algoritmo.

TA551, operante come initial access broker, utilizza DGA in modo diverso: i domini vengono generati direttamente dalle macro eseguite nei documenti malevoli. Questo approccio lega il DGA alla fase di delivery piuttosto che alla persistenza C2, rappresentando un pattern meno comune ma efficace per evitare il blocco dei link di download.

Tra le 20 famiglie software documentate emergono pattern strategici significativi. Il primo è l'uso di seed esterni non convenzionali: Doki basa il proprio DGA sulla blockchain Dogecoin, rendendo il seed pubblico ma imprevedibile perché dipendente da transazioni future. Questo approccio rende inefficace qualsiasi tentativo di previsione basato sulla sola data. Grandoreiro va oltre, incorporando una chiave utente-specifica che cambia quotidianamente — ogni vittima genera uno spazio di domini diverso.

Il secondo pattern è il DGA come fallback: CHOPSTICK e CCBkdr attivano il DGA solo quando il canale C2 primario fallisce, non come meccanismo principale. Questo rende la detection più difficile perché il traffico DGA appare solo in condizioni specifiche e potrebbe non essere mai osservato durante un'analisi sandbox con connettività C2 simulata.

Il terzo pattern riguarda le piattaforme abusate: MiniDuke genera URL Twitter tramite DGA per il C2, sfruttando una piattaforma legittima come canale di comunicazione. ngrok genera stringhe URL casuali che cambiano ogni 12 ore, abusando dell'infrastruttura di tunneling legittima. Entrambi i casi mostrano come il DGA si integri con tecniche di living-off-trusted-services.

Dal punto di vista geografico, la distribuzione è globale ma con concentrazioni: QakBot, Ursnif e Bazar colpiscono prevalentemente il settore finanziario occidentale; ShadowPad e Aria-body sono associati ad operazioni con focus Asia-Pacifico; Milan e Shark operano in contesti mediorientali. Per il threat intelligence officer, il tipo di DGA — character-based vs. word-based, time-based vs. seed-based — può funzionare come indicatore di attribuzione quando altri elementi non sono sufficienti.

Framework MITRE ATT&CK v16 — Tecnica T1568.002 (Domain Generation Algorithms), Tattica TA0011, Mitigazioni M1031/M1021, Detection DET0419 con analisi AN1178-AN1181. Profili gruppi G0096 (APT41), G0127 (TA551) e 20 famiglie software (S0456, S0650, S0600, S0051, S0150, S0673, S0360, S0608, S0023, S0508, S0386, S1015, S0615, S0222, S0531, S0596, S0373, S0534, S1019, S0377). Integrato con conoscenza professionale per tool e procedure operative.