DGAs→RDGAs

DGAは、Domain generation algorithmです。
ドメイン名を生成するアルゴリズムということです。
ドメイン名はリソースに名前を付けて利用しやすくするために使用されます。
そのドメイン名を生成して何がうれしいのでしょうか。

• DGA
  DGAは脅威活動に利用されます。
  脅威活動を行う中で、ワイパー型マルウェアのような単なる破壊活動の場合は別として、多くの場合なんらかの外部からの操作や情報の持ち出しなどの用途でマルウェアと脅威アクターが通信する必要が出てきます。
  マルウェアが常にインターネット側から到達可能だと限定しないほうが脅威の活動の範囲を広げることができますので、通常の通信方向はマルウェアからC2（Command and Control Server）へとなります。
  このとき、C2の宛先を固定的にマルウェアの中に記述する方式が古くは使用されていました。
  この場合、文字列の難読化による隠ぺいなどはある程度できる可能性がありますが、研究者に解析されると接続先を把握されて対策されてしまいます。
  では、固定的なC2のドメインをマルウェアに記述するのをやめればいいじゃないか、というのがDGAでした。
  脅威アクターはあらかじめDGAを用意し、その生成結果のいくつかのドメインをC2として利用できるように登録してサーバを構築して待ち構えます。
  その後脅威アクターは同じDGA機構を搭載したマルウェアを配布して脅威活動を開始します。
  配布されたマルウェアは現地で計算処理を行い、生成されたドメイン名を片っ端からC2であると想定して接続を試みます。
  基本的に接続行為は失敗しますが、そのうち脅威アクターが用意したドメインにたどりつき、マルウェアの悪用環境が整う、という流れになっています。
  これはマルウェアに直接C2のドメインを固定的に記述するということを回避できたという意味では一定の効果がありました。
  しかし、マルウェアの活動の過程で大量の名前解決失敗が発生することになります。
  この方式の特徴を理解することにより、セキュリティベンダーは効果的にDGAによる脅威活動の存在を検出することができるようになってきています。
• RDGA
  RDGAはRのDGAです。
  RはRegisteredです。
  登録されたDGAということになります。
  DGAでは大量に計算で生成されるドメインのうちのいくつかのみを実際に利用できる状態にドメイン登録し、それをC2などの用途に利用するというものでした。
  RDGAでは生成されるドメインは全部登録された状態で利用されます。
  つまりRDGAを使用する活動においては大量の名前解決失敗は発生しないということになります。
  従来のDGAの場合にDGAであるかの判定にはDNSのレスポンスコードを重要な付加情報として利用することができましたが、RDGAの検出においてはレスポンスコードは役に立ちそうにありません。

ここ数年をみてみると、新たなDGAの台頭は見られなくなってきています。
新しいDGAが生まれてくる速度が鈍化しているようです。
それと相反して増えてきているものがあります。
それがRDGAです。
徐々にRDGAは増えてきています。
こういった最近活動の観測されているRDGAを使う脅威アクターの一つの例がRevolver Rabbitです。
このアクターは、.bond TLDだけで50万ものドメインを登録しています。
これは一つの例で、他にもいくつもの脅威アクターがRDGAの活動を開始しています。

強力な脅威となるマルウェアが次々に生まれてきています。
そういった新しいマルウェアの活動を強力なものとしている要素の一つがRDGAであるといえます。
防御側の仕組みの見直しが必要ということに思えます。

Revolver Rabbit’s Million-Dollar Masquerade: Infoblox Uncovers The Hidden World of RDGAs
https://www.infoblox.com/company/news-events/press-releases/revolver-rabbits-million-dollar-masquerade-infoblox-uncovers-the-hidden-world-of-rdgas/