꿈 꾸는 사람

- 프로그램의 상태를 알아보기 위해 어느 한 순간 주기억 장치나 하드웨어 레지스터, 상태 표시기 등의 

  모든 내용을 포함한 메모리의 현재 상태를 저장

Win7Elevate은 2009년 Leo Davidson이 공개한 Proof of Concept Demo 코드로서 

북한 사이버 전사들이 윈도우 7 이상에서 악성 파일 동작을 시키기 위해 자주 사용되는 소스라고 한다.

UAC(User Account Control) 우회를 위한 목적으로 주요 사용된다.

This is windows bypass UAC source code

Win7Elevate can be used by other programs to bypass UAC on Windows 7

http://www.sophos.com/en-us/threat-center/threat-analyses/adware-and-puas/Win7Elevate/detailed-analysis.aspx

A defining characteristic of a bot is its ability to be remote-controlled by way of command and control (C&C).
Typically, a bot receives commands from its master, performs tasks and reports back on the execution results.
All communication between a C&C server and a bot is performed using a specific C&C protocol over a certain C&C channel.
Consequently, in order to instruct and control their bots, bot masters - knowingly or not - have to define and use a certain command and control protocol.

특정 bot의 정의된 특징은 C&C와 원격 통신할 수 있는 능력이다. 전형적으로 bot은 마스터로부터 명령을 전달 받고, 명령에 대한 작업을 수행 후에 수행 결과를 회신한다. (reports back)
C&C와 bot의 모든 Communication은 특정  C&C 채널 상의 C&C Protocol을 이용해 수행된다.
결과적으로 Master들은 그들의 bot들을 수행하고, 제어하기 위해 특정 Command and Control Protocol을 정의하고 사용해야만 한다.

To evade payload-based detection,
botnets have evolved and often employ C&C protocols with obfuscated or encrypted messages
as is the case with Waledac, Zeus, Hlux, TDSS/Alureon, Palevo, Renos, Virut and Feederbot, to name but a few.

payload 기반의 탐지를 피하기 위해 botnet 들은 난독화/암호화 메시지를 이용한 C&C Protocol들을 종종 사용하는 형태로까지 진화됐다.
Waledac, Zeus, Hlux, TDSS/Alureon, Palevo, Renos, Virut과 Feederbot과 같이 말이다.

In fact, pretty much all recent botnets employ some kind of encryption in their C&C protocol.
The following two images show an encrypted Virut C&C message and its decrypted plaintext.
This reveals that the underlying carrier protocol is still IRC, or IRC-like.
The encryption is basically a four-byte XOR with a random bot-chosen key.

실제로 가장 최근의 모든 botents들은 그들의 C&C Protocol 안에 몇가지 종류의 암호를 사용한다.
밑에 2개의 그림은 암호화된 Virut C&C 메시지와 복호화된 평문 (Plaintext)를 보여준다.
복호화된 것을 보면 여전히 IRC나 IRC와 비슷한

 - how to prevent communication between cnc server and bots