Manuel Statik Analiz — WhisperGate Wiper | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| 크기 | 544.256 byte |
| String Sayisi | 2.488 |
.NET Namespace Tersine Çevirme Obfuskasyonu
Teknik: .NET assembly namespace'leri tersine çevrilerek string analizi engelleniyor!
gnidaerhT.me = "Threading" → tersine + .me TLD (gizleme) eroC.me = "Core" → tersine + .me emitnuR.me = "Runtime" → tersine + .me cruoseR.me = "Resource" → tersine + .me cruoseR.se = "Resource" → tersine + .se -- .me/.se gibi meşru TLD eklenerek domain gibi görünür -- Statik analistler meşru domain sanıp geçebilir!
WhisperGate Hakkında
WhisperGate, Ocak 2022'de Ukrayna hükümeti sistemlerine yönelik yıkıcı siber saldırıda kullanılan wiper (silici) kötü amaçlı yazılımdır. MBR'yi (Master Boot Record) bozan bir bileşeni ve dosya şifreleyen/silen bir bileşeni vardır. Rusya'ya atfedilmiş ve Ukrayna-Rusya savaşının siber boyutunun önemli bir parçasıdır. Fidye yazılımı görüntüsü vermesine rağmen gerçek amacı veri imhası ve sistem çöküşüdür.
IOC
| SHA256 | 85d1707c3b54c31f08d560194620da9a15b4a43f562f7e4c8d3b2a1e9f0c5b4 |
|---|---|
| Obfuskas | Tersine .NET namespace (.me/.se TLD) |
| Hedef | Ukrayna hükümeti sistemleri (2022) |
WhisperGate — 악성코드 프로필
WhisperGate Ukrayna 2022 siber saldırısı. Ters .NET namespace obfuscation. MBR silme. Rusya APT.
악성코드 유형
Wiper
프로그래밍 언어
C#
C2 프로토콜
—
대상 시스템
Windows
기능 및 동작
Zararlı Yazılım Aktivitesi
Kalıcılık Mekanizması
C2 İletişimi
Anti-Analiz
IOC 목록 (4 개 지표)
IOC — WhisperGate
# DOMAIN
gnidaerht.me
# DOMAIN
eroc.me
# DOMAIN
emitnur.me
# DOMAIN
cruoser.me
| 유형 | 값 | 메모 |
|---|---|---|
| domain | gnidaerht.me | |
| domain | eroc.me | |
| domain | emitnur.me | |
| domain | cruoser.me |