Domeingeneratie-algoritmen (DGA) laten malware automatisch dagelijks of zelfs per uur nieuwe domeinen bedenken om contact te leggen met een command-and-control (C2) infrastructuur. Dit artikel beschrijft feitelijk hoe DGA’s werken, welke sporen ze achterlaten, en waar in de keten takedowns effect hebben. We linken naar verifieerbare bronnen en interne uitlegpagina’s voor context.

Wat is een DGA precies

Een domeingeneratie-algoritme is code in een malwarefamilie die op basis van invoer (zoals tijd, seeds of publieke data) deterministisch grote aantallen domeinnamen produceert. De operator registreert een klein deel van die kandidaten, waarna de malware periodiek probeert te resolven of te verbinden. Zo blijft bereik bestaan, ook wanneer oudere domeinen worden geblokkeerd of offline gehaald.

Technische bouwstenen

• Inputs en seeds: huidige datum/tijd, hardcoded zaden, of externe bronnen (bijv. trending topics, nieuwsfeeds).
• Functies en transformaties: hashing (MD5/SHA1), combinaties van woordenlijsten, of base36/hex-strings.
• Uitvoer: honderden tot tienduizenden kandidaatdomeinen per periode (dag/uur/minuut).
• Resolutiegedrag: korte TTL’s, burst-queries, en fallback naar volgende kandidaten bij NXDOMAIN.

Waar herken je DGA-gebruik aan

• DNS-patronen: hoge NXDOMAIN-ratio’s, gelijkvormige lengtes, onuitspreekbare strings, en synchrone querypieken.
• Rotatie: dagelijks of uurlijks wisselende domeinen met voorspelbare tijdslots.
• Infra-kenmerken: gedeelde nameservers, overlappende ASN’s, of terugkerende hostingblokken.
• Client-telemetrie: periodieke connecties ongeacht gebruikersactiviteit, vaak naar poorten die bij C2 horen.

Waarom DGA relevant is voor takedowns

DGA’s vergroten de overlevingskans van een campagne, maar bieden ook aanknopingspunten voor ontmanteling. Door de algoritmen (of seeds) te reverse-engineeren kunnen toekomstige domeinkandidaten worden voorspeld. Samenwerkingen met registrars en registry’s maken het mogelijk om registratie te voorkomen (preemptive), of reeds geregistreerde domeinen te deactiveren (reactive). Daarmee kan de C2-keten daadwerkelijk worden doorbroken.

Feitelijke interventiepunten

• Registratiepreventie: blocklists of policy-regels bij registrars en registry’s voor voorspelde kandidaatdomeinen.
• Hostingtakedowns: notificaties richting hostingproviders met bewijs (resolverlogboeken, pcap-uittreksels, serverresponsen).
• DNS-interventies: sinkholing door bevoegde partijen om verkeer te herleiden en slachtoffers te identificeren.
• Clientzijde: endpoint-regels op basis van bekende DGA-artefacten en connectiepatronen.

Relatie tot C2 en forensiek

DGA is een ondersteunend mechanisme voor C2-bereikbaarheid. Inzicht in DGA-patronen versnelt het vinden van actieve controlepunten. Forensische sporen (tijdstempels, resolutiegeschiedenis, certificaatkenmerken) helpen om meldingen te onderbouwen. Lees voor de achterliggende bewijsvoering onze artikelen over digitale forensiek bij takedowns en over C2-infrastructuur.

Typen DGA’s (niet uitputtend)

• Tijdgebaseerd: datum en uur vormen de seed; eenvoudig te voorspellen na reverse-engineering.
• Eventgebaseerd: externe inputs (bijv. trending woorden) maken detectie diffuus maar soms reproduceerbaar.
• Crypto-varianten: hashing en bitoperaties zorgen voor schijnbaar willekeurige strings met vaste lengte.
• Woordenlijstmix: concatenatie van woorden uit lijsten levert meer menselijk ogende domeinen op.

Beperkingen en realiteit

Niet elk DGA-domein wordt daadwerkelijk geregistreerd; brute blocklists kunnen legitieme vals-positieven veroorzaken. Ook verschillen verantwoordelijkheden en bevoegdheden per jurisdictie en registry. Takedowns vragen daarom om feitelijk bewijs en zorgvuldige afstemming met betrokken partijen. Waar mogelijk verdienen preventieve registratiestops (policy) de voorkeur boven reactieve verwijdering.

Praktische voorbeelden en interne context

• Routering via TDS: DGA-domeinen kunnen eerst naar een Traffic Distribution System (TDS) sturen voordat een payload wordt aangeboden.
• Phishingkits versus DGA: bij phishing kits zie je zelden DGA; C2/DGA zie je vooral bij malware en botnets.
• Bulletproof hosting: operators combineren DGA met bulletproof hosting om respons te vertragen.

Bronnen voor verdieping

Publieke organisaties publiceren periodiek factsheets en rapporten over DGA-detectie en botnetontmantelingen. Bekijk de ENISA Threat Landscape (overzichtsrapporten) en het NCSC voor advisering rond detectie en respons. Europol documenteert casussen van gecoördineerde ontmantelingen, vaak met nadruk op infrastructuur en internationale samenwerking.

Externe referenties

• ENISA Threat Landscape: https://www.enisa.europa.eu/topics/threats-and-trends
• NCSC onderwerpen en adviezen: https://www.ncsc.nl/onderwerpen
• Wikipedia-overzicht DGA (feitelijke basis en voorbeelden): https://nl.wikipedia.org/wiki/DGA_(malware)

Conclusie

DGA’s vergroten de weerbaarheid van C2, maar leveren tegelijk voorspelbare patronen op die via samenwerking met registrars, registry’s en hosters kunnen worden benut. Feitelijke, reproduceerbare onderbouwing blijft de sleutel voor succesvolle takedowns. Voor de vervolgstap, lees ook: C2 en digitale forensiek.