Alcuni malware usano DGA (Domain Generation Algorithm) per generare casualmente domini in modo che gli zombi possano comunicare in modo resiliente con la C & C;
Per quanto ne so, non c'è modo di acquisire un dominio TLD ma di pagare.
Quando leggo su Wikipedia che, ad esempio, Conficker genererebbe 50000 domini / giorno , immagino a malapena che quei domini sono stati regolarmente acquistati. Probabilmente mi manca qualcosa.
Qualcuno sa come vengono acquisiti questi domini?
Suppongo che tu stia citando l'articolo questo Wikipedia per le tue informazioni. Fondamentalmente, il malware non registra i nomi di dominio, ma genera solo un elenco di possibili nomi di dominio. L'utente malintenzionato registra i nomi di dominio che sono "possibili" output del DGA.
Ad esempio, se la DGA è qualcosa del tipo:
x = rand(10)
domain = "xyz" + x + ".com"
contact(domain)
Ora l'hacker registra xyz2.com, il bot ha una probabilità del 10% di generare il nome di dominio corretto per il check-in. Nel giro di poche settimane, è molto probabile che, ad un certo punto, la macchina infetta generare xyz2.com e contattare il C2.
Il punto qui è che il DGA genera solo nomi di dominio "potenziali", uno dei quali sarà probabilmente connesso (ad un certo punto) agli attaccanti C2.
Conficker ha davvero bisogno di 50000 domini di lavorazione per contattare il server C & C? Certamente no, una manciata è sufficiente. Conficker proverà 50000 domini sapendo che, da qualche parte in questa lista, troverà un server C & C reattivo.
Dall'altro lato, le autorità possono acquistare 50000 domini al giorno per bloccare Conficker? Certamente no, qui sarebbe troppo costoso.
Le autorità possono bloccare 50000 domini al giorno? Anche in questo caso questa non è un'opzione in quanto in questo elenco potrebbero esserci nomi già utilizzati per scopi legittimi.
50000 è solo un valore progettato per creare un'asimmetria nello sforzo richiesto dagli attaccanti e dai difensori a favore dell'attaccante:
Leggi altre domande sui tag malware ransomware botnet