Manuel Statik Analiz — WannaCry | Tehdit: KRİTİK

Dosya Kimliği

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Boyut743.424 byte (743KB)
String Sayisi3.352

Kill Switch Domain Tespit

WannaCry Doğrulaması: Tarihi kill switch domain görünür!
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
-- WannaCry'ın ünlü kill switch URL'si!
-- Marcus Hutchins (MalwareTech) 12 Mayıs 2017'de domain kaydetti
-- Domain kayıtlıysa → WannaCry yayılmayı durdurur!
-- Bu domain sinkhole altında: aktif kayıt durumu görüntüleniyor
-- URL binary içinde hardcoded → orijinal WannaCry örneği

Bilinen WannaCry Mutex

Global\MsWinZonesCacheCounterMutexA
-- WannaCry'ın tespiti için araştırmacılar bu mutex'i kullandı!
-- 2017'den beri WannaCry imzası olarak biliniyor
-- İkinci örnek → aynı mutex = aynı kaynak kod

BTC Fidye Cüzdanları

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn  -- ana fidye cüzdanı
117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd -- ikinci cüzdan
-- Bu adresler 2017'de 51.62 BTC (~144K dolar o zaman) topladı
-- 3 Ağustos 2017'de tüm para çekildi (hâlâ kim bilinmiyor)
-- Blockchain analizi yapılabilir

WannaCry/WannaCrypt Hakkında

WannaCry 12-15 Mayıs 2017'de küresel çaplı saldırı başlattı. NSA EternalBlue (MS17-010 SMB) exploit'ini kullandı. 150 ülkede 230.000+ bilgisayar enfekte oldu. NHS hastaneleri, Telefonica, FedEx, Renault dahil büyük kurumlar etkilendi. Kuzey Kore Lazarus Grubu bağlantısı tespit edildi.

IOC

SHA256b3cbe2897f850313743424b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Kill Switchiuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com
MutexGlobal\MsWinZonesCacheCounterMutexA
BTC 1115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
BTC 2117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd

WannaCry2 — Malware Profili

WannaCry WannaCrypt 2017 Kuzey Kore Lazarus. EternalBlue MS17-010. Kill switch iuqerfsodp9. 150 ulke 230K sistem. NHS FedEx.

Malware Tipi
Ransomware
Programlama Dili
C
C2 Protokolü
TCP/SMB
Hedef Sistemler
Küresel

Yetenekler ve Davranış

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOC Listesi (2 gösterge)

IOC — WannaCry2
# 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn # 117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd
TürDeğerNot
115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
117oSxucY8LkL6kjuxNdUwYJwuBESmeb3Fd

C2 Sunucuları (Bu aile için 1 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com domain 80 HTTP sinkholed —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
wannacryiuqerfsodp9-kill-switchwannacry-kill-switch-domainmswinzonescachecountermutex115p7umm-bitcoinwormable-ransomwareeternalblue