Manuel Statik Analiz — WannaCry (WannaCrypt) | Tehdit: KRITIK

Dosya Kimliği

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Boyut743.424 byte
String Sayisi3.352

Tarihi Kill Switch Domaini

Dünya tarihinin en önemli malware kill switch'i! MarcusHutchins bu domaini kaydederek WannaCry salgınını durdurdu.
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
-- Domain kayıtlı değilse: WannaCry şifreleme başlatır
-- Domain kayıtlıysa ve NXDOMAIN değilse: DURUR!
-- 12 Mayıs 2017: MarcusHutchins $10.69'a kaydetti ve yayılmayı durdurdu
-- 22 yaşındaki güvenlik araştırmacısı milyonlarca sistemi kurtardı
WANACRY!    -- Kill switch mutex kontrolü
Global\MsWinZonesCacheCounterMutexA  -- Yeniden enfeksiyon önleme mutex

Bitcoin Cüzdanlar

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12EAUVyWUyy4qYnqoAqdq3FLUh
12t9YDPgwueZ9NyMgw519p7
-- Toplam fidye: ~52 BTC (~130,000 USD 2017 değeriyle)
-- Fidye düşük kaldı: otomatik ödeme doğrulama yoktu

WannaCry Hakkında

WannaCry, 12 Mayıs 2017'de başlayan ve 150+ ülkede 200.000+ sistemi etkileyen küresel fidye yazılımı saldırısıdır. NSA'nın EternalBlue (MS17-010) açığını SMBv1 üzerinden kullanır. Kuzey Kore'nin Lazarus grubu tarafından gerçekleştirildi. İngiltere NHS sağlık sistemi, Telefonica, FedEx gibi kurumlar etkilendi.

IOC

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
BTC115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
StringWANACRY!

WannaCry — Malware Profile

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Malware Type
Ransomware
Programming Language
C
C2 Protocol
Target Systems
Windows
Also Known As (AKA)
WannaCrypt

Technical Details

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Capabilities & Behavior

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC List (3 indicators)

IOC — WannaCry
# DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com # MUTEX 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn # MUTEX 12EAUVyWUyy4qYnqoAqdq3FLUh
TypeValueNote
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
mutex 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn BTC cüzdanı
mutex 12EAUVyWUyy4qYnqoAqdq3FLUh BTC cüzdanı

C2 Servers (3 recorded servers for this family)

Address Type Port Protocol Status Country
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
wannacrykill-switch-domainiuqerfsodp9wanacry-stringeternalbluewannacryptms17-010btc-wallets