파일 정보
| 속성 | 값 |
|---|---|
| SHA256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| MD5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| SHA1 | |
| 파일 이름 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| 크기 | 1,971,182 bytes |
| 아키텍처 | x86 |
| 컴파일 날짜 | 알 수 없음 |
| Packer | Tespit edilmedi |
| MB 최초 발견 | 2026-06-29 |
| MB 태그 | exe, WannaCry, dionaea |
위협 프로필
패밀리: WannaCry 분류: 높음 신뢰도: HIGH
Bu WannaCry örneği (ffb966fc), Dionaea honeypot tarafından aktif SMB exploit girişimi sırasında yakalanmıştır. İlk örnekten (7face3cc) biraz daha büyük (1.97 MB vs 1.72 MB) olup farklı bir dağıtım varyantı olduğunu göstermektedir. Strings analizinde "WANACRY!", "WNcry@2ol7", "c.wnry", "t.wnry" imzaları ve kill switch domain tespit edilmiştir. Bu örnek, WannaCry'ın hâlâ aktif olarak SMB scanning yaptığını ve honeypot sistemleri hedeflediğini doğrulamaktadır.
탐지된 기능
- SMB Worm (EternalBlue/CVE-2017-0144)
- 파일 Şifreleme (RSA-2048 + AES-128)
- .wnry dosya uzantısı
- Bitcoin fidye talebi
- Ağ tarama (SMB port 445)
- Kill switch domain kontrolü (sinkholed)
- mssecsvc2.0 servis kalıcılığı
Anti-Analiz Teknikleri
- Kill switch mekanizması (tersine mühendisliği zorlaştırır)
- Anti-emulation kontrolleri
Kalıcılık Mekanizmaları
mssecsvc.exeHKLM\SYSTEM\CurrentControlSet\Services\mssecsvc2.0
Enjeksiyon Teknikleri
- Tespit edilmedi (statik analizde obfuscated)
C2 Sunucuları
| Adres | Port | Protokol | Durum |
|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | 80 | HTTP | SINKHOLED |
IOC Listesi
| Tip | 값 |
|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 |
| domain | hS.Uk |
| domain | Microsoft.NET |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
WannaCry — 악성코드 프로필
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
기술 세부 정보
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
기능 및 동작
IOC 목록 (5 개 지표)
# SHA256
ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26
# MD5
388ed6c8e9e5ba54c49209337f0a71a6
# DOMAIN
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
# MUTEX
GlobalMsWinZonesCacheCounterMutexA
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | ffb966fce55f67726e7f8084a1dc21b80650e5c05373529b35d93eafcfcc7e26 | |
| md5 | 388ed6c8e9e5ba54c49209337f0a71a6 | |
| domain | www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | |
| mutex | GlobalMsWinZonesCacheCounterMutexA |
C2 서버 (이 패밀리에 대해 3개의 서버 기록)
| 주소 | 유형 | 포트 | 프로토콜 | 상태 | 국가 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.