DGA (Domain Generation Algorithm)

DGA (Domain Generation Algorithm)

봇넷의 C2 서버 도메인을 알고리즘으로 자동 생성하여 도메인 차단을 회피하는 기법

동작원리: 시드값(날짜/상수) 기반으로 수백~수만 개의 의사랜덤 도메인을 주기적으로 생성 → 공격자는 일부만 등록 → 봇이 순차 접속 시도

목적: C2 인프라 은닉, 도메인 블랙리스트 회피, 싱크홀 회피, C2 복원력 향상

탐지 방법

• •DGA 분류기: ML/DL 기반 도메인 이름 패턴 분석 (엔트로피, n-gram, 길이)
• •DNS 분석: 높은 NXDOMAIN 비율, 비정상적 질의 패턴
• •위협 인텔리전스: 알려진 DGA 시드/알고리즘 역공학 → 도메인 사전 예측

대응: DNS 싱크홀(DGA 도메인을 제어 서버로 리다이렉트), RPZ(Response Policy Zone), NDR 모니터링

사례: Conficker(시간 기반 DGA), Necurs, Mirai 변종

비교: DGA(알고리즘 자동 생성/다수 도메인) vs Fast Flux(IP 빠른 변경) vs Domain Fronting(합법 도메인 은닉)

연관: 봇넷, C2, DNS 보안, 위협 인텔리전스, 악성코드