ESETs Anton Cherepanov gewinnt Pwnie Award in der Kategorie Best Backdoor
Anton Cherepanov ist Malware Researcher bei ESET. In diesem Jahr gewann er den Pwnie Award in der Kategorie „Best Backdoor“ bei der diesjährigen Zeremonie der Black Hat USA 2017 in Las Vegas.
Er erhält die Auszeichnung für die Entdeckung, was Cherepanov am Anfang diesen Monat als gut versteckte und listige Hintertür bezeichnete. Die Backdoor erlaubt den Cyber-Kriminellen die Malware Diskcoder.C via M.E.Doc zu installieren und zu verbreiten.
ESET's @cherepanov74 won the @PwnieAwards for Best Backdoor in #BHUSA. He seems to be way too distracted by something ... pic.twitter.com/7u7oHOsDTy
— ESET (@esetglobal) 28. Juli 2017
Die Organisatoren erklärten in ihrem Nominierungstext (englisches Original): „To prepare their taxes, folks the world over install janky software developed for a captive market of their nation's tax laws. In Ukraine, accountants who installed M.E.Doc received a backdoor in the gig and a half of their full installation.“
Nach Cherepanovs Analyse der Telebot Backdoor muss man davon ausgehen, dass die Hintertür in eines der M.E.Doc-Module durch die Angreifer platziert wurde.
Interessant ist die Tatsache, dass diese Platzierung nicht möglich gewesen wäre, ohne Zugang zum M.E.Doc Quellcode gehabt zu haben.
In seiner Experten-Analyse erklärt Cherepanov: "Das Backdoor-Modul trägt den Dateinamen ZvitPublishedObjects.dll".
"Es wurde mit .NET-Framework geschrieben und ist eine 5MB-Datei, die eine Menge legitimen Code enthält. Dieser Teil wird auch durchaus von anderen Komponenten aufgerufen, einschließlich von der übergeordneten M.E.Doc-Executable ezvit.exe."
Die Analyse der ESET-Forscher kommt zu dem Ergebnis, dass der Malware-Angriff sehr anspruchsvoll, technisch aufwendig und gut durchdacht war.