Manuel Statik Analiz — WannaCry | Tehdit: 심각

파일 Kimliği

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
크기743.424 byte (726KB)
String Sayisi3.352

Base64 RSA Anahtar Blobu

ŞİFRELEME: Gömülü RSA şifreleme anahtarı!
h6agLCqPqVyXi2VSQ8O6Yb9ijBX54jY6KM+sz33NmS6TK8XlOk920s0E0aajOV+
-- Base64 kodlanmış RSA anahtar blobu
-- WannaCry dosya şifreleme sistemi:
   1. Kurban dosyaları için rastgele AES-128 anahtarı üret
   2. Her AES anahtarını bu RSA public key ile şifrele
   3. RSA private key sadece saldırganların sunucusunda
   4. Fidye ödenince private key → AES anahtarları açılıyor
-- "+sz33NmS6TK8XlOk920s0E0aajOV+" = fragmentin devamı
-- Hardcoded public key = her örnek aynı master public key kullanır

ChangeServiceConfig2A: Servis Kalıcılığı

ChangeServiceConfig2A (advapi32.dll)
-- WannaCry kendini Windows servisi olarak kurar
-- ChangeServiceConfig2A → servisin açıklamasını ve özelliklerini değiştirir
-- Sistem yeniden başlatıldığında otomatik çalışır
-- SERVICE_AUTO_START → makinayı her açıldığında çalışır + şifrelemeye devam

IOC

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
RSA Key Blobuh6agLCqPqVyXi2VSQ8O6Yb9ijBX54jY6KM+sz33NmS6TK8XlOk920s0E0aajOV+
KalıcılıkChangeServiceConfig2A (Windows servisi)

WannaCry — 악성코드 프로필

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

악성코드 유형
Ransomware
프로그래밍 언어
C
C2 프로토콜
대상 시스템
Windows
다른 이름 (AKA)
WannaCrypt

기술 세부 정보

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

기능 및 동작

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC 목록 (1 개 지표)

IOC — WannaCry
# SHA256 b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
유형메모
sha256 b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2 서버 (이 패밀리에 대해 3개의 서버 기록)

주소 유형 포트 프로토콜 상태 국가
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 주소는 KEYDAL 팀이 수동으로 검증한 악성코드 샘플에서만 제공됩니다. 상업적 사용은 금지됩니다.

태그
wannacryh6aglcqpqvyxi2vsq8-rsa-key-blobbase64-rsa-keychangeserviceconfig2a-serviceservice-persistenceeternal-blueransomware2017