Genel Bakış
Bu örnek, tarihin en büyük fidye yazılımı saldırılarından biri olan WannaCry'nin (WannaCrypt) kill switch domain'ini içeren, RSA+AES ile şifreli ve packed bir PE32+ DLL'dir. İçerdiği iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com adresi, Mayıs 2017'de güvenlik araştırmacısı Marcus Hutchins tarafından sinkhole yapılarak WannaCry salgınını durduran meşhur domain'dir.
WannaCry Kill Switch Analizi
Kill Switch Mekanizması
- WannaCry her çalıştığında önce bu domain'e bağlanmayı dener
- Domain erişilebilirse → yayılmayı durdurur (kill switch aktif)
- Domain erişilemezse → şifreleme ve yayılmaya devam eder
- Marcus Hutchins bu domain'i sadece 10.69$'a kaydederek 2017 küresel saldırıyı durdurdu
Kritik URL
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
Şifreleme Bileşenleri
Microsoft Enhanced RSA and AES Cryptographic ProviderCryptAcquireContextA→ Windows kriptografi context başlatmaCryptDecrypt→ payload çözme- Gömülü büyük RSA şifreli blok (2048-bit RSA key pair dahil)
PE Yapısı
- Entropi: 7.496 (packed/şifreli bölümler — yüksek entropi WannaCry karakteristiği)
- Network:
InternetOpenUrlA,InternetOpenA(kill switch kontrolü) - Format: PE32+ DLL (console) x86-64
- 大小: 743.424 bayt (extracted)
Tarihsel Bağlam
- 12 Mayıs 2017: WannaCry 150+ ülkede 200.000+ sisteme bulaştı
- Kullanılan exploit: EternalBlue (NSA'nın SMBv1 güvenlik açığı)
- Toplam zarar: 4-8 milyar USD
- İngiltere NHS hastaneleri, Telefónica, FedEx, Deutsche Bahn etkilendi
- Kill switch:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com— random görünen hardcoded string
Teknik 属性ler
| 属性 | 值 |
|---|---|
| 家族 | WannaCry (WannaCrypt, Wcry) |
| Format | PE32+ DLL console x86-64 |
| 大小 | 743.424 bayt |
| Entropi | 7.496 (packed) |
| Şifreleme | RSA-2048 + AES-128-CBC |
| Kill Switch | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com |
| SMB Exploit | EternalBlue (MS17-010) |
IOC Özeti
- Kill Switch URL:
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com - SHA256:
b3cbe2897f850313c9051016f1ef6bcc37a61c9cf86ef9a3f1ba61581ad38014
WannaCry — 恶意软件档案
WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.
技术细节
EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2
能力与行为
IOC列表 (3 个指标)
# SHA256
b3cbe2897f850313c9051016f1ef6bcc37a61c9cf86ef9a3f1ba61581ad38014
# DOMAIN
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
# URL
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | b3cbe2897f850313c9051016f1ef6bcc37a61c9cf86ef9a3f1ba61581ad38014 | |
| domain | iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | |
| url | http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com |
C2服务器 (该家族共有 3 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 80 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com | domain | 443 | TCP | sinkholed | — |
| www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com | domain | 443 | TCP | sinkholed | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。