Python/DGA6 DGA란? DGA(Domain Generation Algorithm) 일반적으로 악성코드 중에서 파괴형 악성코드를 제외하고는 피해 PC를 감염시킨 후에 원격지에 있는 C2(Command & Control) 서버에 접속을 시도한다. 특히나, 봇 악성코드나 RAT 악성코드와 같은 부류들은 더욱이 C2 서버와의 연결이 중요하다. 상식상에서 결론적으로 어떠한 원격지와의 연결을 위해서는 IP 주소를 갖고 있거나, IP 주소와 대응하는 도메인 주소를 알고 있어야 연결이 가능하다. 그래서 악성코드 내부에 IP 주소를 하드코딩하는 경우도 있고 도메인 주소를 하드코딩하는 경우도 있지만 이런 경우에는 악성코드의 특징점으로 추출해내 안티 바이러스 제품에 녹여내면 손쉽게 악성코드를 탐지 및 차단할 수 있다. 그런것 때문에 악성코드 개발.. 2023. 7. 21. DGA분석 생각 DGA는 무작위 도메인 생성 악성 URL이랑은 살짝 다른 존재 느낌 악성 URL분석하고 알고리즘 형식으로 인식한다음 IP따고 지도 API를 접목시켜 페이지 만들고 간단하게 삽입 (IP를 분석해서 대충 어느위치에서 악성 URL이 발생한것인지 확인할수있게) DGA를 분석 DGA를 받아와서 알고리즘형식으로 인식 인공지능이 분석할수있게 1 단계 – DNS 애플리케이션 감지탐지는 DNS 요청 및 / 또는 응답 메시지를 통해 시작됩니다. DNS는 기본적인 인터넷 프로토콜이며 대부분의 방화벽에는 예약 된 포트 53에서 나가는 DNS 트래픽을 허용하는 정책이 있습니다. 그러나 해커는 포트 53을 이용하여 표준 DNS 메시지 형식을 따르지 않고 트래픽을 보낼 수 있습니다. 이 공격을 DNS 터널링이라고합니다. DNS 애.. 2023. 7. 21. 이전 1 2 다음
