Manuel Statik Analiz — WannaCry (WannaCrypt) | Tehdit: KRITIK

Datei Kimliği

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Größe743.424 byte
String Sayisi3.352

Tarihi Kill Switch Domaini

Dünya tarihinin en önemli malware kill switch'i! MarcusHutchins bu domaini kaydederek WannaCry salgınını durdurdu.
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
-- Domain kayıtlı değilse: WannaCry şifreleme başlatır
-- Domain kayıtlıysa ve NXDOMAIN değilse: DURUR!
-- 12 Mayıs 2017: MarcusHutchins $10.69'a kaydetti ve yayılmayı durdurdu
-- 22 yaşındaki güvenlik araştırmacısı milyonlarca sistemi kurtardı
WANACRY!    -- Kill switch mutex kontrolü
Global\MsWinZonesCacheCounterMutexA  -- Yeniden enfeksiyon önleme mutex

Bitcoin Cüzdanlar

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
12EAUVyWUyy4qYnqoAqdq3FLUh
12t9YDPgwueZ9NyMgw519p7
-- Toplam fidye: ~52 BTC (~130,000 USD 2017 değeriyle)
-- Fidye düşük kaldı: otomatik ödeme doğrulama yoktu

WannaCry Hakkında

WannaCry, 12 Mayıs 2017'de başlayan ve 150+ ülkede 200.000+ sistemi etkileyen küresel fidye yazılımı saldırısıdır. NSA'nın EternalBlue (MS17-010) açığını SMBv1 üzerinden kullanır. Kuzey Kore'nin Lazarus grubu tarafından gerçekleştirildi. İngiltere NHS sağlık sistemi, Telefonica, FedEx gibi kurumlar etkilendi.

IOC

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
BTC115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
StringWANACRY!

WannaCry — Malware-Profil

WannaCry EternalBlue SMB ransomware. 2017 NSA açık. RSA public key hardcoded. ChangeServiceConfig2A servis kalıcılığı. 150+ ülke.

Malware-Typ
Ransomware
Programmiersprache
C
C2-Protokoll
Zielsysteme
Windows
Auch bekannt als (AKA)
WannaCrypt

Technische Details

EternalBlue SMB exploit (CVE-2017-0144), DoublePulsar backdoor, kill-switch domain (registrasyonla durduruldu), RSA-2048 + AES-128-CBC sifreleme, .WNCRY dosya uzantisi, Tor C2

Fähigkeiten & Verhalten

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC-Liste (3 Indikatoren)

IOC — WannaCry
# DOMAIN iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com # MUTEX 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn # MUTEX 12EAUVyWUyy4qYnqoAqdq3FLUh
TypWertBemerkung
domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
mutex 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn BTC cüzdanı
mutex 12EAUVyWUyy4qYnqoAqdq3FLUh BTC cüzdanı

C2-Server (3 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 80 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com domain 443 TCP sinkholed —
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 443 TCP sinkholed —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
wannacrykill-switch-domainiuqerfsodp9wanacry-stringeternalbluewannacryptms17-010btc-wallets