Проверяем WSO [ на вшывость ]

pixe1

HDD-drive
Пользователь
Регистрация
30.08.2014
Сообщения
30
Оценка реакций
36
Баллы
26
Это не обзор, тем не менее, более подходящего раздела для этого поста не нашел.

По просьбе SubID поверхносно пробежался по WSO Shell Manager v8.95, он же предоставил билд и лицензию для анализа.

Tемы продукта


Подозрения SubID

Был куплен софт через сайт.
После обновления запуска нет.

UPD:

Опытным путем выяснилось софт требует запуска с диска C:
Требуются права Администратора.
При КАЖДОМ запуске ломится в сеть.
Прописывается в Автозапуск.
Софт работает.

Дисклэймер

Я не тестировал заложенный функционал данного софта, никаких комментариев на этот счет.

Данный обзор не является рекламой данного продукта, незабываем про то что все телодвижения связанные с применением данного софта могут закончится статьей 273 УК РФ.

Тестовая Платформа

Win10 18й build

Версия WSO

3082

Статика

Софт написан на Delphi

3085

3083

3084

Ну и в принципе тут нечего больше сказать, софт не защищен, код ничем "посторонним" не обфусцирован .

Рантайм

Cуммированная активность при старте

При старте WSO ищет wso.key, если файла не найден (в корневой директории wso) запрашиваем ключ, читаем форму ввода, сохраняем серийник в wso.key (в открытом виде) перезагружаем wso.exe. Если же файл найден, читаем ключ, конструирует POST запрос, отправляем hxxp://78.46.120.51:7776/ для подтверждение лицензии. При неудачной попытки установить соединение с 78.46.120.51, софт не загрузится. Таким образом лицензия проверяется при каждом запуске. У меня есть пара вопросов, относительно эффективности и защищенности механизма подтверждения лицензии, которые я оглашу автору лично, если он в этом заинтересован.

проверяем лицензию

3086

wso.key

3089

конструктор запроса проверки лицензии

3087

POST запрос

3088

нет связи с 78.46.120.51

3091

После удачной проверки лицензии, wso.exe проверяет версию на наличия обновления ну и закачивает вспомогательные библиотеки openssl libeay32.dll / ssleay32.dll, searchreplacedb.php , SSH Bouncer (ELF).

3092

3094

3102

Полная картина поведения при старте

3095

aктивность на холостых (+- 1 минута)

3103

WSO.CFG - Файл конфигурации WSO в формате MS Jet (софт полон антиквара :) )

3097

3099

wso.exe открывает и слушает на 3х TCP портах

3100

при запросе возвращает loopback фрэим (в предназначении этого кода я не разбирался )

3101

Пробежавшись по wso я не нашел подтверждения подозрениям SubID. Учитывая что софт находится в стадии активной разработки данный анализ не является акстуальным по отношению к прошлым либо будущим версиям продукта. Мы все го лишь поверхностно пробежались по рантайму wso и не исключено что будем его "щупать" и в будущем (это автору на заметку :) ). и еще один совет автору, перейди на HTTPs (TLS) и подтверждай целостность загружаемых файлов, особенно PE.
 
Последнее редактирование:

SUB_ID

Премиум
Premium
Регистрация
09.01.2016
Сообщения
62
Оценка реакций
61
Баллы
26
Пожалуйста, обратите внимание, что пользователь заблокирован
pixe1, спасибо за обзор, хорошо что мои подозрения не подтвердились.
 
Верх