WannaCry — 딥 정적 분석 (ffb966fc)

위협 요약
패밀리WannaCry
위협 수준높음
PlatformC/C++ (Win32 API)
PackerTespit edilmedi
SHA256ffb966fce55f67726e7f8084a1dc21b8...
최초 발견2026-06-29
탐지 방법MalwareBazaar + Kill Switch Domain + WANACRY! imzası
신뢰도HIGH

파일 정보

속성
SHA256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
MD5388ed6c8e9e5ba54c49209337f0a71a6
SHA1
파일 이름ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
크기1,971,182 bytes
아키텍처x86
컴파일 날짜알 수 없음
PackerTespit edilmedi
MB 최초 발견2026-06-29
MB 태그exe, WannaCry, dionaea

위협 프로필

패밀리: WannaCry   분류: 높음   신뢰도: HIGH

Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.

탐지된 기능

  • SMB Worm (EternalBlue/CVE-2017-0144)
  • 파일 Şifreleme (RSA-2048 + AES-128)
  • .wnry dosya uzantısı
  • Bitcoin fidye talebi
  • Ağ tarama (SMB port 445)
  • Kill switch domain kontrolü (sinkholed)
  • mssecsvc2.0 servis kalıcılığı

Anti-Analiz Teknikleri

  • Kill switch mekanizması (tersine mühendisliği zorlaştırır)
  • Anti-emulation kontrolleri

Kalıcılık Mekanizmaları

  • mssecsvc.exe
  • HKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0

Enjeksiyon Teknikleri

  • Tespit edilmedi (statik analizde obfuscated)

C2 Sunucuları

AdresPortProtokolDurum
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com80HTTPSINKHOLED

IOC Listesi

Tip
sha256ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5388ed6c8e9e5ba54c49209337f0a71a6
domainhS.Uk
domainMicrosoft.NET
domainwww.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domainiuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutexGlobalMsWinZonesCacheCounterMutexA

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

WannaCry — 악성코드 프로필

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
WannaCrypt

기술 세부 정보

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (5 개 지표)

IOC — WannaCry
# SHA256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 # MD5 388ed6c8e9e5ba54c49209337f0a71a6 # DOMAIN www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com # MUTEX GlobalMsWinZonesCacheCounterMutexA
유형메모
sha256 ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
md5 388ed6c8e9e5ba54c49209337f0a71a6
domain www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
mutex GlobalMsWinZonesCacheCounterMutexA

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
wannacryransomwarewormsmbeternalbluecve-2017-0144peanalizstatikiocdionaea