DGA(Domain Generation Algorithm)

DGA 기법: C2서버의 도메인을 무작위로 생성하는 기법이다.

---

피해 PC(봇넷)에 설치된 악성코드가 C2의 명령을 받기위해 C2서버로 접속을 해야한다.

이때 악성코드 내부(소스코드)에 C2서버의 Domain, IP 정보가 하드코딩되어야 접속을 할 수 있다.

악성코드 분석가는 이러한 점을 이용하여 악성코드를 분석하여 하드코딩 된 Domain, IP 정보를 얻어 탐지 또는 차단을 할 수 있다. ( 접속방지 기법 )

 

이로인해 C2 서버와 통신을 하지못해 명령을 못받으면 악성행위 수행이 어렵기 때문에 DGA기법을 통해 Domain을 무작위로 생성하여 이러한 방어를 우회한다.

 

DGA에서 매일 수 많은 Domain을 무작위로 생성하는데 이러한 기법을 "DNS based domain fluxing" 이라 한다. 

DGA기법은 특정 날짜에 생성될 도메인을 예측할 수 있도록 설계되어, 특정 날짜에 생성될 수 있는 도메인 주소를 미리 적합절차를 걸쳐 등록하여 사용한다.

---

봇넷: C2 서버의 명령을 받고 행동하는 주체