Os domínios gerados por algoritmos (DGAs) são botnets e ameaças persistentes avançadas com objetivo de manter e ofuscar a comunicação entre bot client e evadir camadas de segurança. Os DGAs compõem uma das estratégias dos atacantes e por isso a detecção de domínios maliciosos com DNS passivo e inteligência artificial é fundamental, conforme explicou João Rafael Gregório, que conduz pesquisa sobre o tema na Unesp. Ele palestrou no encontro do GTS 38, que abriu, nesta segunda-feira (04/12), a 13ª Semana de Infraestrutura da Internet no Brasil.  Realizada pelo Núcleo de Informação e Coordenação do Ponto BR (NIC.br) e pelo Comitê Gestor da Internet no Brasil (CGI.br), a Semana é integrada pelo IX Fórum e nela há os encontros do GTER (Grupo de Trabalho de Engenharia e Operação de Redes) e do GTS (Grupo de Trabalho em Segurança de Redes). O GTS debate temas que são tendências na área de segurança na Internet e o GTER coloca em pauta temas fundamentais para o funcionamento e operação da Internet.   “Os domínios gerados por algoritmo fazem parte de ameaças muito importantes”, destacou Gregório, dando como exemplos o Sunburst, em 2020 Mira Botnet, uma botnet open source criada em  2017 para ataque de negação de serviço e que ataca dispositivos IoT até hoje; Cryptolocker e Gameover Zeus. “A gente precisa detectar os DGAs, porque fazem parte de ameaças muito importantes no dia a dia e é importante classificar os DGAs”, acrescentou o especialista.  O DGArchive aponta a existência de mais ou menos 120 famílias de DGAs, enquanto tanto o Bambenek Consulting como NetLab360 contabilizam cada um cerca de 60 famílias. Na classificação, Gregório ressaltou a importância de classificar os DGAs de acordo com os tipos — por exemplo: Superbox que é do tipo lista de palavras; Banjori do tipo domínio semente; e Mirai que é pseudo-randômico. “Estamos usando o aprendizado profundo para trabalhar com estes nomes de domínio. Os DGAs seguem um padrão que não conhecemos, então, usamos aprendizado profundo para identificá-los”, contou, falando da pesquisa em andamento na Unesp.  “O primeiro experimento mostrou que a gente poderia detectar os nomes de domínio gerados por algoritmos e aí temos o DNS passivo e dados do mundo real que podemos usar no dia a dia. O objetivo é a gente ter modelo incremental de aprendizado para as nossas redes neurais. A partir do momento que tenho um modelo treinado previamente com dados iniciais, que pode ser inclusive aquela base original que vimos os experimentos, a gente pode colocar em produção, ouvir consultas DNS — e aqui o online é bem audacioso —, receber um risk score e as predições e entregar isso para um painel de monitoramento que tem um especialista olhando. Com isso, podemos gerar novos dados para retreinar a rede neural e alimentar ela com novos dados”, detalhou João Rafael Gregório.