Manuel Statik Analiz — WannaCry Ransomware | Tehdit: KRITIK
文件 Kimliği
| SHA256 | f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49 |
|---|---|
| 大小 | 2.410.496 byte (2.4MB) |
| String Sayisi | 10.633 |
Kill Switch Domain
Kill Switch: WannaCry bu domain'e HTTP GET gönderir. Yanıt gelirse durur. MalwareTech bu domain'i kaydederek salgını durdurdu!
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com -- 15 Mayıs 2017: MalwareTech (Marcus Hutchins) bu domain'i 10.69 dolara kayıt etti -- Kayıt işlemi WannaCry'ın küresel yayılmasını saatler içinde durdurdu -- Domain hâlâ aktif sinkhole olarak izlenmektedir
Bitcoin Cüzdanları
117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd -- WannaCry fidye BTC 1 11KVs795Y4BbKeIypCrVHOUY6Y2OtaHS9Gh -- WannaCry fidye BTC 2 12EAUVyWUyy4q... -- WannaCry fidye BTC 3
EternalBlue / DoublePulsar NSA Exploit
EternalBlue -- NSA'dan sızdırılan SMBv1 (MS17-010) açığı DoublePulsar -- NSA kernel implant — WannaCry'ı ağda yayar -- Mayıs 2017: 150+ ülkede 200.000+ sistem etkilendi -- NHS, Telefonica, FedEx, Renault, Rus İçişleri Bakanlığı
WannaCry Hakkında
WannaCry, 12-15 Mayıs 2017 tarihinde küresel çapta en büyük fidye yazılımı salgınlarından birini gerçekleştirdi. EternalBlue (MS17-010 SMBv1 açığı) aracılığıyla yanal hareket ederek kendini kopyalar. Kuzey Kore'nin Lazarus Grubuna (APT38) atfedilmiştir. ABD, İngiltere ve çeşitli hükümetler resmi atıf yapmıştır.
IOC
| SHA256 | f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49 |
|---|---|
| Kill Switch | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com |
| BTC 1 | 117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd |
| BTC 2 | 11KVs795Y4BbKeIypCrVHOUY6Y2OtaHS9Gh |
| Exploit | EternalBlue (MS17-010) + DoublePulsar |
| Atıf | Lazarus Group / Kuzey Kore APT38 |
WannaCry — 恶意软件档案
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
恶意软件类型
Ransomware
编程语言
C
C2协议
—
目标系统
Windows
别名 (AKA)
WannaCrypt
技术细节
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (1 个指标)
IOC — WannaCry
# SHA256
f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | f34dc503d0bd569065b8ad2460bf2ccc8d56a901840cf98a93e3215abfeb3e49 |
C2服务器 (该家族共有 3 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。