Genel Bakış

Bu örnek, tarihin en büyük fidye yazılımı saldırılarından biri olan WannaCry'nin (WannaCrypt) kill switch domain'ini içeren, RSA+AES ile şifreli ve packed bir PE32+ DLL'dir. İçerdiği iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com adresi, Mayıs 2017'de güvenlik araştırmacısı Marcus Hutchins tarafından sinkhole yapılarak WannaCry salgınını durduran meşhur domain'dir.

WannaCry Kill Switch Analizi

Kill Switch Mekanizması

  • WannaCry her çalıştığında önce bu domain'e bağlanmayı dener
  • Domain erişilebilirse → yayılmayı durdurur (kill switch aktif)
  • Domain erişilemezse → şifreleme ve yayılmaya devam eder
  • Marcus Hutchins bu domain'i sadece 10.69$'a kaydederek 2017 küresel saldırıyı durdurdu

Kritik URL

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

Şifreleme Bileşenleri

  • Microsoft Enhanced RSA and AES Cryptographic Provider
  • CryptAcquireContextA → Windows kriptografi context başlatma
  • CryptDecrypt → payload çözme
  • Gömülü büyük RSA şifreli blok (2048-bit RSA key pair dahil)

PE Yapısı

  • Entropi: 7.496 (packed/şifreli bölümler — yüksek entropi WannaCry karakteristiği)
  • Network: InternetOpenUrlA, InternetOpenA (kill switch kontrolü)
  • Format: PE32+ DLL (console) x86-64
  • 크기: 743.424 bayt (extracted)

Tarihsel Bağlam

  • 12 Mayıs 2017: WannaCry 150+ ülkede 200.000+ sisteme bulaştı
  • Kullanılan exploit: EternalBlue (NSA'nın SMBv1 güvenlik açığı)
  • Toplam zarar: 4-8 milyar USD
  • İngiltere NHS hastaneleri, Telefónica, FedEx, Deutsche Bahn etkilendi
  • Kill switch: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com — random görünen hardcoded string

Teknik 속성ler

속성
패밀리WannaCry (WannaCrypt, Wcry)
FormatPE32+ DLL console x86-64
크기743.424 bayt
Entropi7.496 (packed)
ŞifrelemeRSA-2048 + AES-128-CBC
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
SMB ExploitEternalBlue (MS17-010)

IOC Özeti

  • Kill Switch URL: http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
  • SHA256: b3cbe2897f850313c9051016f1ef6bcc37a61c9cf86ef9a3f1ba61581ad38014

WannaCry — 악성코드 프로필

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
WannaCrypt

기술 세부 정보

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (3 개 지표)

IOC — WannaCry
# SHA256 b3cbe2897f850313c9051016f1ef6bcc37a61c9cf86ef9a3f1ba61581ad38014 # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com # URL http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
유형메모
sha256 b3cbe2897f850313c9051016f1ef6bcc37a61c9cf86ef9a3f1ba61581ad38014
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
url http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
wannacrywannacryptransomwarekillswitcheternalbluesmbms17-010rsaaespackeddll2017marcus-hutchinssinkhole