파일 정보
| 속성 | 값 |
|---|---|
| SHA256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| MD5 | 3ff29efc50e11f9d466325cc148861f5 |
| SHA1 | |
| 파일 이름 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| 크기 | 1,724,564 bytes |
| 아키텍처 | x86 |
| 컴파일 날짜 | 알 수 없음 |
| Packer | Tespit edilmedi |
| MB 최초 발견 | 2026-06-29 |
| MB 태그 | exe, WannaCry, dionaea |
위협 프로필
패밀리: WannaCry 분류: 높음 신뢰도: HIGH
WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. 파일ları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.
탐지된 기능
- SMB Worm (EternalBlue/CVE-2017-0144 exploit)
- 파일 Şifreleme (RSA-2048 + AES-128)
- .wnry uzantısı ile dosya değiştirme
- Bitcoin fidye talebi
- Ağ tarama ve yayılma (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servisi kurulumu
Anti-Analiz Teknikleri
- Kill switch (domain kontrol)
- Sandbox ortamında kill switch aktif olabilir
Kalıcılık Mekanizmaları
mssecsvc.exe servis olarak kayıtHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | 값 |
|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 |
| md5 | 3ff29efc50e11f9d466325cc148861f5 |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — 악성코드 프로필
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
기술 세부 정보
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
기능 및 동작
IOC 목록 (5 개 지표)
# SHA256
7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
# MD5
3ff29efc50e11f9d466325cc148861f5
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 | |
| md5 | 3ff29efc50e11f9d466325cc148861f5 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
C2 서버 (이 패밀리에 대해 3개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.