Orchard v3 的域生成算法
Orchard 恶意软件使用域生成算法 (DGA),该算法既由当前日期播种,也由比特币创世块的当前余额播种。
来源:bin.re _恶意软件编辑于 2022-08-08:在这篇博文发布两周后,360 Netlab 发布了一份关于该恶意软件的详细报告,我在下面描述了该恶意软件的 DGA 版本 3。请阅读 Netlab 的帖子,了解有关该恶意软件及其使用的两个较旧的 DGA 的一般信息。我采用了他们给该恶意软件起的名字“Orchard”。
编辑于 2022-08-08 详细报告 “Orchard”XMRig 是一款用于挖掘 Monero 或比特币等加密货币的开源软件。它也经常被加密劫持恶意软件用来在受害者的计算机上挖掘加密货币。这些恶意软件比比皆是,而且大多不起眼——以至于 AV 供应商都没有给它们命名。Orchard 也不例外。然而,该示例的与众不同之处在于其域生成算法 (DGA),它使用两个不同的来源进行播种:
- 当前日期 — 当然是确定性的 比特币创世块 (比特币区块链上的第一个区块) 的余额 — 不确定
对于两个种子,使用相同的算法来生成域。前 16 个域来自当前日期,而接下来的 16 个域基于比特币区块:
我分析了以下样本: