Manuel Statik Analiz — WannaCry Ransomware | Tehdit: KRITIK

파일 Kimliği

SHA256f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49
크기2.410.496 byte (2.4MB)
String Sayisi10.633

Kill Switch Domain

Kill Switch: WannaCry bu domain'e HTTP GET gönderir. Yanıt gelirse durur. MalwareTech bu domain'i kaydederek salgını durdurdu!
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
-- 15 Mayıs 2017: MalwareTech (Marcus Hutchins) bu domain'i 10.69 dolara kayıt etti
-- Kayıt işlemi WannaCry'ın küresel yayılmasını saatler içinde durdurdu
-- Domain hâlâ aktif sinkhole olarak izlenmektedir

Bitcoin Cüzdanları

117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd  -- WannaCry fidye BTC 1
11KVs795Y4BbKeIypCrVHOUY6Y2OtaHS9Gh  -- WannaCry fidye BTC 2
12EAUVyWUyy4q...                      -- WannaCry fidye BTC 3

EternalBlue / DoublePulsar NSA Exploit

EternalBlue  -- NSA'dan sızdırılan SMBv1 (MS17-010) açığı
DoublePulsar -- NSA kernel implant — WannaCry'ı ağda yayar
-- Mayıs 2017: 150+ ülkede 200.000+ sistem etkilendi
-- NHS, Telefonica, FedEx, Renault, Rus İçişleri Bakanlığı

WannaCry Hakkında

WannaCry, 12-15 Mayıs 2017 tarihinde küresel çapta en büyük fidye yazılımı salgınlarından birini gerçekleştirdi. EternalBlue (MS17-010 SMBv1 açığı) aracılığıyla yanal hareket ederek kendini kopyalar. Kuzey Kore'nin Lazarus Grubuna (APT38) atfedilmiştir. ABD, İngiltere ve çeşitli hükümetler resmi atıf yapmıştır.

IOC

SHA256f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
BTC 1117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd
BTC 211KVs795Y4BbKeIypCrVHOUY6Y2OtaHS9Gh
ExploitEternalBlue (MS17-010) + DoublePulsar
AtıfLazarus Group / Kuzey Kore APT38

WannaCry — 악성코드 프로필

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
WannaCrypt

기술 세부 정보

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — WannaCry
# SHA256 f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49
유형메모
sha256 f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
wannacrykillswitch-domaineternalbluedoublepulsarransomwarensa-exploitbtclazarus-group