Domain Generation Algorithm

Was ist ein Domain Generation Algorithm?

Ein Domain Generation Algorithm (DGA) ist ein von Malware-Autoren eingesetzter Mechanismus, um automatisch wechselnde Domainnamen zu erzeugen, die von Schadsoftware genutzt werden, um mit einem Command-and-Control-Server (C&C) zu kommunizieren. Anstatt fest codierte Domains zu verwenden, die leicht blockierbar sind, generieren DGAs täglich oder sogar stündlich neue Domainnamen, die es deutlich erschweren, den Traffic zu unterbinden oder den Kommunikationskanal dauerhaft abzuschneiden.

Die durch DGAs erzeugten Domains wirken oft zufällig (z. B. „asdkfj234.com“) und folgen einem deterministischen, algorithmusbasierten Schema. Diese Technik erhöht die Widerstandsfähigkeit von Malware gegenüber Domain-Blacklists und erschwert die Rückverfolgung durch Sicherheitsteams erheblich.

Technischer Aufbau & Varianten

Mechanismen der Domain-Generierung:

• Zeitbasierte Seeds: z. B. Datum + Uhrzeit

• Pseudozufallsgeneratoren (PRNGs)

• Kombinationen aus Wörterbüchern und zufälligen Zeichenfolgen

Typische Malware, die DGAs nutzt:

• Conficker

• Zeus

• Necurs

• Corebot

• Emotet

Gängige DGA-Typen:

• Algorithmische DGAs: Mathematische Funktionen zur Generierung

• Wörterbuchbasierte DGAs: Zusammensetzung realer Begriffe

• Hybride DGAs: Kombination mehrerer Methoden

Erkennungstechniken:

• DNS-Analyse (z. B. NXDomain-Raten)

• Machine Learning zur Erkennung von Entropie und Zeichenverteilungen

• Vergleich mit Whitelist bekannter legitimer Domains

Relevanz in der Praxis

DGAs machen Malware-Kommunikation resilient gegen IP-/Domain-Blockaden. Selbst wenn Sicherheitsforscher eine C&C-Domain identifizieren, nutzt der DGA-betriebene Bot bereits die nächste. Das bedeutet:

• Erhöhte Komplexität bei Incident Response

• Schwierige Attribution zu Botnet-Infrastrukturen

• Riskanter Zeitverzug bei der Erkennung

Security-Operations-Teams implementieren deshalb DNS Sinkholing, Threat Intelligence Feeds und automatisierte Mustererkennung, um DGA-Domains frühzeitig zu isolieren.

Standards & regulatorische Anforderungen

• MITRE ATT&CK: T1568 – Dynamic Resolution

• ISO/IEC 27035 – Incident Response auf DNS-Ebene

• BSI IT-Grundschutz – OPS.1.1.4 (Netzwerksicherheit)

Verwandte Begriffe

• Malware

• Command-and-Control (C&C)

• DNS

• Data Exfiltration

• Threat Intelligence

Beispiel aus der Praxis

Das Botnet „Necurs“ nutzte einen komplexen DGA, um täglich bis zu 50.000 neue Domains zu generieren.
Während Sicherheitsanbieter versuchten, einzelne Domains zu blockieren, blieb die Malware durch permanente Neuverbindungen aktiv.
Erst ein Reverse Engineering des DGA-Algorithmus ermöglichte es, zukünftige Domains vorherzusagen und über DNS-Sinkholes zu kontrollieren.