域名生成算法

对手可能会使用域名生成算法（DGA）来动态识别命令和控制流量的目标域，而不是依赖于静态 IP 地址或域名列表。这具有使防御者更难阻止、跟踪或接管命令和控制通道的优势，因为恶意软件可能会检查成千上万个域名以获取指令。(引用: Cybereason Dissecting DGAs)(引用: Cisco Umbrella DGA)(引用: Unit 42 DGA Feb 2019) DGA 可以采用生成每个字母时看似随机或“无意义”的字符串（例如：istgmxdejdnxuyla.ru）的形式。或者，一些 DGA 使用整个单词作为单位，通过将单词连接在一起而不是字母（例如：cityjulydish.net）。许多 DGA 是基于时间的，为每个时间段（每小时、每天、每月等）生成不同的域名。其他 DGA 还结合种子值，使防御者更难预测未来的域名。(引用: Cybereason Dissecting DGAs)(引用: Cisco Umbrella DGA)(引用: Talos CCleanup 2017)(引用: Akamai DGA Mitigation) 对手可能会使用 DGA 作为备用通道的目的。当与主命令和控制服务器失去联系时，恶意软件可能会使用 DGA 作为重新建立命令和控制的一种手段。(引用: Talos CCleanup 2017)(引用: FireEye POSHSPY April 2017)(引用: ESET Sednit 2017 Activity)