SAP ERP帐号密码安全亮红灯 黑客盯上SAP盗取用户信息

有许多制造业者都使用SAP ERP，包括俄罗斯防毒厂商Dr. Web和一间针对SAP ERP专门资安公司ERPScan于日前发现，有一支恶意软件专门偷SAP客户端应用程序的账号密码，并伺机存取SAP ERP系统，微软也证实有此恶意软件，并命名为：TrojanSpy:Win32/Gamker.A。

SAP ERP系统贯穿企业财会及业务流程，因此许多企业内的机敏信息，都包含在SAP ERP系统中。ERPScan表示，这个恶意软件是专门偷取网络银行账号密码恶意软件Gamker的变种，更是第一款针对安装SAP应用程序的个人计算机恶意软件。

ERPScan指出，黑客透过这个恶意软件，可以存取SAP系统的IP地址以及相关的机密文件内容，甚至可以取得高权限用户的账号密码，进一步更改企业与客户之间的付款银行信息，藉此偷取企业的帐款，黑客甚至可以取得ERP中的企业客户名单，贩卖给企业的竞争对手。

恶意软件比对到saplogon.exe，会下令进行桌面截图

微软恶意软件保护中心（MMPC）的研究人员表示，这个恶意软件具有键盘侧录功能，当执行某个应用程序后，每一次的点击或输入都会以存文字的方式侧录并储存在 "%APPDATA%\"目录下。

不过，这个恶意软件除了进行键盘侧录外，如果比对到特定的应用程序，就会去搜集或记录其他包括用户名称、服务器名称或其他的机敏数据。像是该恶意软件在被骇计算机中，比对到有安装微软操作系统端SAP ERP登入的saplogon.exe执行档时，恶意软件就会下达其他的命令参数，定期对计算机画面执行10次截图，每间隔1秒钟后，分批将截图回传黑客发动攻击的C&C（命令与控制）服务器，回避企业内资安设备对可疑外传数据侦测。

当黑客取得登入SAP ERP系统的帐密后，就可以透过远程登录的方式控制受骇计算机，甚至可以直接登入SAP ERP系统，控制企业的核心系统与信息。

ERPScan表示，恶意软件不是SAP企业用户唯一的威胁，另外一个存在SAProuter中，未经身份验证的远程执行代码漏洞，对SAP系统危害更大。SAProuter是一个存在SAP系统与外部应用网络之间的连接，可以控制外部对SAP系统的存取，进而确保SAP系统的网络安全性。ERPScan指出，这个漏洞修补程序已经在6个月前释出，但5,000个SAProuter用户中，只有15％已修补该漏洞。

微软建议，除了安装防恶意软件及入侵检测防御系统，并且落实微软操作系统端的漏洞更新外，更必须严格根据使用者职务给予最低限度的访问权限；另外也可以透过采用双因素认证（OTP）提高用户系统使用的安全性。