Stavo controllando sandbox e informazioni sul link killswitch ma WannaCry non fa una query DNS. Come si chiama?
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com
Stavo controllando sandbox e informazioni sul link killswitch ma WannaCry non fa una query DNS. Come si chiama?
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea [.] Com
Suppongo sia meglio che risponda per primo alla domanda. Poi dopo, elaborerò un po '. Domanda: come si chiama? Risposta: Chiama usando il DNS, come sospetti. Il ransomware WannaCry esegue effettivamente più richieste DNS durante tutto il suo ciclo di vita. Nella funzione WinMAIN del suo codice, tenta di connettersi al sito web con l'url di iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Il motivo per cui la richiesta DNS è sospettata di essere un "kill switch" per l'autore da utilizzare in un ambiente di test sandbox o, eventualmente, un collegamento ai CCS (Command and Control Servers).
Le altre richieste DNS sono fatte per accedere alla rete ToR (ovvero Dark Web) in modo che possa scaricare in modo anonimo il programma di crittografia e accedere a un portafoglio bitcoin per pagare il pagamento di $ 300.
FONTI CITATE : ANALISI DEL CODICE WANNACRY - link
ANALISI DI ATTACCO WANNACRY - link