WannaCry — 딥 정적 분석 (7face3cc)

위협 요약
패밀리WannaCry
위협 수준높음
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA2567face3ccbf29cfc4294e3058cfb88713...
최초 발견2026-06-29
탐지 방법MalwareBazaar + 시그니처 일치 + Kill Switch Domain
신뢰도HIGH

파일 정보

속성
SHA2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
MD53ff29efc50e11f9d466325cc148861f5
SHA1
파일 이름7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
크기1,724,564 bytes
아키텍처x86
컴파일 날짜알 수 없음
PackerTespit edilmedi
MB 최초 발견2026-06-29
MB 태그exe, WannaCry, dionaea

위협 프로필

패밀리: WannaCry   분류: 높음   신뢰도: HIGH

WannaCry (WanaCrypt0r 2.0), Mayıs 2017'de küresel bir siber saldırıda kullanılan, EternalBlue SMB açığını (CVE-2017-0144) istismar eden worm/ransomware ailesidir. Bu örnek Dionaea honeypot tarafından yakalanmış olup aktif SMB exploit denemeleri yaptığını göstermektedir. Kill switch domain "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" strings analizinde tespit edilmiş olup bu domain bugün sinkholed durumundadır — yani modern sistemlerde WannaCry'ın şifreleme motoru çalışmayabilir. Ancak SMB tarama ve yayılma bileşeni hâlâ aktif tehdit oluşturmaktadır. 파일ları RSA-2048 (wrapper) + AES-128 (içerik) ile şifreler.

탐지된 기능

  • SMB Worm (EternalBlue/CVE-2017-0144 exploit)
  • 파일 Şifreleme (RSA-2048 + AES-128)
  • .wnry uzantısı ile dosya değiştirme
  • Bitcoin fidye talebi
  • Ağ tarama ve yayılma (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servisi kurulumu

Anti-Analiz Teknikleri

  • Kill switch (domain kontrol)
  • Sandbox ortamında kill switch aktif olabilir

Kalıcılık Mekanizmaları

  • mssecsvc.exe servis olarak kayıt
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

Tip
sha2567face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md53ff29efc50e11f9d466325cc148861f5
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — 악성코드 프로필

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
WannaCrypt

기술 세부 정보

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (5 개 지표)

IOC — WannaCry
# SHA256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7 # MD5 3ff29efc50e11f9d466325cc148861f5 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
유형메모
sha256 7face3ccbf29cfc4294e3058cfb88713afd36d49cd12ad28e5b637e212d6b4a7
md5 3ff29efc50e11f9d466325cc148861f5
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea