Manuel Statik Analiz — WannaCry (WannaCrypt) | Tehdit: KRITIK
文件 Kimliği
| SHA256 | b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| 大小 | 743.424 byte |
| String Sayisi | 3.352 |
Tarihi Kill Switch Domaini
Dünya tarihinin en önemli malware kill switch'i! MarcusHutchins bu domaini kaydederek WannaCry salgınını durdurdu.
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com -- Domain kayıtlı değilse: WannaCry şifreleme başlatır -- Domain kayıtlıysa ve NXDOMAIN değilse: DURUR! -- 12 Mayıs 2017: MarcusHutchins $10.69'a kaydetti ve yayılmayı durdurdu -- 22 yaşındaki güvenlik araştırmacısı milyonlarca sistemi kurtardı WANACRY! -- Kill switch mutex kontrolü Global\MsWinZonesCacheCounterMutexA -- Yeniden enfeksiyon önleme mutex
Bitcoin Cüzdanlar
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn 12EAUVyWUyy4qYnqoAqdq3FLUh 12t9YDPgwueZ9NyMgw519p7 -- Toplam fidye: ~52 BTC (~130,000 USD 2017 değeriyle) -- Fidye düşük kaldı: otomatik ödeme doğrulama yoktu
WannaCry Hakkında
WannaCry, 12 Mayıs 2017'de başlayan ve 150+ ülkede 200.000+ sistemi etkileyen küresel fidye yazılımı saldırısıdır. NSA'nın EternalBlue (MS17-010) açığını SMBv1 üzerinden kullanır. Kuzey Kore'nin Lazarus grubu tarafından gerçekleştirildi. İngiltere NHS sağlık sistemi, Telefonica, FedEx gibi kurumlar etkilendi.
IOC
| SHA256 | b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Kill Switch | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com |
| BTC | 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn |
| String | WANACRY! |
WannaCry — 恶意软件档案
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
恶意软件类型
Ransomware
编程语言
C
C2协议
—
目标系统
Windows
别名 (AKA)
WannaCrypt
技术细节
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (3 个指标)
IOC — WannaCry
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
# MUTEX
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
# MUTEX
12EAUVyWUyy4qYnqoAqdq3FLUh
| 类型 | 值 | 备注 |
|---|---|---|
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | |
| mutex | 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn | BTC cüzdanı |
| mutex | 12EAUVyWUyy4qYnqoAqdq3FLUh | BTC cüzdanı |
C2服务器 (该家族共有 3 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。