Это не обзор, тем не менее, более подходящего раздела для этого поста не нашел.
По просьбе SubID поверхносно пробежался по WSO Shell Manager v8.95, он же предоставил билд и лицензию для анализа.
Tемы продукта
Подозрения SubID
Дисклэймер
Я не тестировал заложенный функционал данного софта, никаких комментариев на этот счет.
Данный обзор не является рекламой данного продукта, незабываем про то что все телодвижения связанные с применением данного софта могут закончится статьей 273 УК РФ.
Тестовая Платформа
Win10 18й build
Версия WSO
Статика
Софт написан на Delphi
Ну и в принципе тут нечего больше сказать, софт не защищен, код ничем "посторонним" не обфусцирован .
Рантайм
Cуммированная активность при старте
При старте WSO ищет wso.key, если файла не найден (в корневой директории wso) запрашиваем ключ, читаем форму ввода, сохраняем серийник в wso.key (в открытом виде) перезагружаем wso.exe. Если же файл найден, читаем ключ, конструирует POST запрос, отправляем hxxp://78.46.120.51:7776/ для подтверждение лицензии. При неудачной попытки установить соединение с 78.46.120.51, софт не загрузится. Таким образом лицензия проверяется при каждом запуске. У меня есть пара вопросов, относительно эффективности и защищенности механизма подтверждения лицензии, которые я оглашу автору лично, если он в этом заинтересован.
проверяем лицензию
wso.key
конструктор запроса проверки лицензии
POST запрос
нет связи с 78.46.120.51
После удачной проверки лицензии, wso.exe проверяет версию на наличия обновления ну и закачивает вспомогательные библиотеки openssl libeay32.dll / ssleay32.dll, searchreplacedb.php , SSH Bouncer (ELF).
Полная картина поведения при старте
aктивность на холостых (+- 1 минута)
WSO.CFG - Файл конфигурации WSO в формате MS Jet (софт полон антиквара
)
wso.exe открывает и слушает на 3х TCP портах
при запросе возвращает loopback фрэим (в предназначении этого кода я не разбирался )
Пробежавшись по wso я не нашел подтверждения подозрениям SubID. Учитывая что софт находится в стадии активной разработки данный анализ не является акстуальным по отношению к прошлым либо будущим версиям продукта. Мы все го лишь поверхностно пробежались по рантайму wso и не исключено что будем его "щупать" и в будущем (это автору на заметку ). и еще один совет автору, перейди на HTTPs (TLS) и подтверждай целостность загружаемых файлов, особенно PE.
По просьбе SubID поверхносно пробежался по WSO Shell Manager v8.95, он же предоставил билд и лицензию для анализа.
Tемы продукта
https://xss.pro/threads/25715/
Подозрения SubID
Дисклэймер
Я не тестировал заложенный функционал данного софта, никаких комментариев на этот счет.
Данный обзор не является рекламой данного продукта, незабываем про то что все телодвижения связанные с применением данного софта могут закончится статьей 273 УК РФ.
Тестовая Платформа
Win10 18й build
Версия WSO
Статика
Софт написан на Delphi
Ну и в принципе тут нечего больше сказать, софт не защищен, код ничем "посторонним" не обфусцирован .
Рантайм
Cуммированная активность при старте
При старте WSO ищет wso.key, если файла не найден (в корневой директории wso) запрашиваем ключ, читаем форму ввода, сохраняем серийник в wso.key (в открытом виде) перезагружаем wso.exe. Если же файл найден, читаем ключ, конструирует POST запрос, отправляем hxxp://78.46.120.51:7776/ для подтверждение лицензии. При неудачной попытки установить соединение с 78.46.120.51, софт не загрузится. Таким образом лицензия проверяется при каждом запуске. У меня есть пара вопросов, относительно эффективности и защищенности механизма подтверждения лицензии, которые я оглашу автору лично, если он в этом заинтересован.
проверяем лицензию
wso.key
конструктор запроса проверки лицензии
POST запрос
нет связи с 78.46.120.51
После удачной проверки лицензии, wso.exe проверяет версию на наличия обновления ну и закачивает вспомогательные библиотеки openssl libeay32.dll / ssleay32.dll, searchreplacedb.php , SSH Bouncer (ELF).
Полная картина поведения при старте
aктивность на холостых (+- 1 минута)
WSO.CFG - Файл конфигурации WSO в формате MS Jet (софт полон антиквара
)
wso.exe открывает и слушает на 3х TCP портах
при запросе возвращает loopback фрэим (в предназначении этого кода я не разбирался )
Пробежавшись по wso я не нашел подтверждения подозрениям SubID. Учитывая что софт находится в стадии активной разработки данный анализ не является акстуальным по отношению к прошлым либо будущим версиям продукта. Мы все го лишь поверхностно пробежались по рантайму wso и не исключено что будем его "щупать" и в будущем (это автору на заметку
). и еще один совет автору, перейди на HTTPs (TLS) и подтверждай целостность загружаемых файлов, особенно PE.
Последнее редактирование:
