​ DGAs (Domain Generation Algorithm, DGA) เป็นกัลกอลิทึ่มหลากหลายแบบที่ผู้สร้างโปรแกรมมัลแวร์ (malware) ใช้ในการสุ่มสร้างโดเมนจำนวนมากขึ้นมาโดยอัตโนมัติ เพื่อหลบหลีกการตรวจจับและบล็อกของระบบรักษาความปลอดภัย เช่น ระบบป้องกัน DNS หรือ Firewall มัลแวร์จะใช้โดเมนที่สร้างขึ้นเหล่านี้สำหรับการติดต่อกับ เซิร์ฟเวอร์ควบคุม (Command and Control Server, C2) เพื่อส่งคำสั่งใหม่หรือขโมยข้อมูลกลับไป

การทำงานของ DGA

  1. การสร้างชื่อโดเมนใหม่ตามเวลา:

DGA มักใช้ เวลาเป็นปัจจัยในการสร้างโดเมน เช่น วัน, เดือน, ปี หรือแม้แต่เลขสุ่ม เพื่อให้มัลแวร์และ C2 Server ใช้โดเมนเดียวกันในช่วงเวลาหนึ่ง

  1. การหลบหลีกการตรวจจับ:

เนื่องจากระบบรักษาความปลอดภัยมักบล็อกโดเมนที่ทราบว่าเป็นอันตราย หากมัลแวร์ใช้โดเมนเพียงไม่กี่วันและเปลี่ยนโดเมนใหม่เรื่อยๆ จะทำให้ยากต่อการตามบล็อกทั้งหมด

ตัวอย่างมัลแวร์ที่ใช้ DGA

- Conficker: หนึ่งในมัลแวร์ที่ใช้ DGA สร้างโดเมนใหม่ทุกวันเพื่อติดต่อกับเซิร์ฟเวอร์ควบคุม

- Cryptolocker: แรนซัมแวร์ที่ใช้ DGA ในการหาที่อยู่ C2 เพื่อรับคีย์ถอดรหัส

- Zeus: มัลแวร์ขโมยข้อมูลการเงินที่ใช้ DGA ในการติดต่อกับเซิร์ฟเวอร์ควบคุม

วิธีป้องกัน DGA

  1. DNS Sinkhole: วิธีดักจับโดเมนที่ต้องสงสัยโดยบังคับให้ไปที่ IP ที่ควบคุมโดยฝ่ายรักษาความปลอดภัยแทน
  2. Machine Learning และ Threat Intelligence: ใช้การวิเคราะห์พฤติกรรมการสร้างโดเมนที่ผิดปกติเพื่อคาดการณ์และบล็อกโดเมนที่อาจเป็นของมัลแวร์
  3. อัปเดตระบบรักษาความปลอดภัยอย่างสม่ำเสมอ: เพื่อบล็อกโดเมนและมัลแวร์ที่รู้จัก

​ สรุปแล้ว DGA เป็นหนึ่งในเทคนิคที่มัลแวร์ใช้เพื่อลดโอกาสที่เซิร์ฟเวอร์ควบคุมจะถูกบล็อก ช่วยให้มัลแวร์คงการสื่อสารกับผู้โจมตีได้อย่างต่อเนื่อง ดังนั้น การตรวจจับและป้องกัน DGA เป็นเรื่องสำคัญสำหรับองค์กรที่ต้องการป้องกันการโจมตีทางไซเบอร์