Manuel Statik Analiz — WannaCry | Tehdit: 严重
文件 Kimliği
| SHA256 | b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| 大小 | 743.424 byte (743KB) |
| String Sayisi | 3.352 |
Kill Switch Domain Tespit
WannaCry Doğrulaması: Tarihi kill switch domain görünür!
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com -- WannaCry'ın ünlü kill switch URL'si! -- Marcus Hutchins (MalwareTech) 12 Mayıs 2017'de domain kaydetti -- Domain kayıtlıysa → WannaCry yayılmayı durdurur! -- Bu domain sinkhole altında: aktif kayıt durumu görüntüleniyor -- URL binary içinde hardcoded → orijinal WannaCry örneği
Bilinen WannaCry Mutex
Global\MsWinZonesCacheCounterMutexA -- WannaCry'ın tespiti için araştırmacılar bu mutex'i kullandı! -- 2017'den beri WannaCry imzası olarak biliniyor -- İkinci örnek → aynı mutex = aynı kaynak kod
BTC Fidye Cüzdanları
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn -- ana fidye cüzdanı 117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd -- ikinci cüzdan -- Bu adresler 2017'de 51.62 BTC (~144K dolar o zaman) topladı -- 3 Ağustos 2017'de tüm para çekildi (hâlâ kim bilinmiyor) -- Blockchain analizi yapılabilir
WannaCry/WannaCrypt Hakkında
WannaCry 12-15 Mayıs 2017'de küresel çaplı saldırı başlattı. NSA EternalBlue (MS17-010 SMB) exploit'ini kullandı. 150 ülkede 230.000+ bilgisayar enfekte oldu. NHS hastaneleri, Telefonica, FedEx, Renault dahil büyük kurumlar etkilendi. Kuzey Kore Lazarus Grubu bağlantısı tespit edildi.
IOC
| SHA256 | b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f |
|---|---|
| Kill Switch | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com |
| Mutex | Global\MsWinZonesCacheCounterMutexA |
| BTC 1 | 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn |
| BTC 2 | 117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd |
WannaCry2 — 恶意软件档案
WannaCry WannaCrypt 2017 Kuzey Kore Lazarus. EternalBlue MS17-010. Kill switch iuqerfsodp9. 150 ulke 230K sistem. NHS FedEx.
恶意软件类型
Ransomware
编程语言
C
C2协议
TCP/SMB
目标系统
Küresel
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (2 个指标)
IOC — WannaCry2
#
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
#
117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd
| 类型 | 值 | 备注 |
|---|---|---|
| 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn | ||
| 117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd |
C2服务器 (该家族共有 1 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 80 | HTTP | sinkholed | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。