【注意】SAP客户受到安全威胁 黑客盯上SAP后门盗取用户信息

据国外媒体报道一只以网络银行账号为目标的新木马程序变种,也包含了可侦测受感染计算机是否安装SAP应用的能力,显示未来可能将攻击SAP系统。

俄罗斯防毒公司Doctor Web此前曾发现这只恶意程序,并通报专门针对SAP安全监控产品的开发商ERPScan。ERPScan的CTO Alexander Polyakov并在RSA Europe安全大会上展示这只恶意程序。

如果一只恶意程序企图侦测已安装的特定软件,表示攻击者可能计划把此工具销售给其他具有意图的网络罪犯,或是日后自行使用。

SAP的工作站用户端软件的组态档很容易被找到,当中又包括连结的SAP服务器IP位址。攻击者可循此分析应用流程,或从组态档及GUI自动描述程序找出SAP的用户密码。

一旦找出密码后,SAP服务器危机重重。视黑客获得权限,他们可以窃取客户信息及商业机密,或设立不合法支付或变更现有户的银行账户付款目的地,以从中获取财富。

Polyakov表示,虽然有些企业可以根据用户角色限制SAP用户的职权,但都是庞杂艰巨的项目,通常大部分的企业对使用者权限都没有什么限制。

就算被窃的用户资料未提供攻击者想要的入侵资料,他们仍旧能拿到管理员权限,而大部份企业的某些系统也未曾或忘记更改密码,使得部份公司资料外流。

如果能入侵SAP用户端软件,攻击者就能窃取机密资料,象是财务信息、公司机密、客户名单或人资资料,并转售给竞争者。他们甚至可以对SAP服务器发动阻断攻击服务来破坏商业运作,造成财务损失,Polyakov说。如果时机抓准,有些攻击甚至能影响公司股价表现。

而这支恶意软件专门偷SAP客户端应用程序的账号密码,并存取SAP ERP系统,微软方面也证实有此恶意软件,并命名为:TrojanSpy:Win32/Gamker.A。

微软恶意软件保护中心(MMPC)的研究人员表示,这个恶意软件具有键盘侧录功能,当执行某个应用程序后,每一次的点击或输入都会以存文字的方式侧录并储存在 "%APPDATA%\"目录下。

不过,这个恶意软件除了进行键盘侧录外,如果比对到特定的应用程序,就会去搜集或记录其他包括用户名称、服务器名称或其他的机敏数据。像是该恶意软件在被骇计算机中,比对到有安装微软操作系统端SAP ERP登入的saplogon.exe执行档时,恶意软件就会下达其他的命令参数,定期对计算机画面执行10次截图,每间隔1秒钟后,分批将截图回传黑客发动攻击的C&C(命令与控制)服务器,回避企业内资安设备对可疑外传数据侦测。

当黑客取得登入SAP ERP系统的帐密后,就可以透过远程登录的方式控制受骇计算机,甚至可以直接登入SAP ERP系统,控制企业的核心系统与信息。

ERPScan表示,恶意软件不是SAP企业用户唯一的威胁,另外一个存在SAProuter中,未经身份验证的远程执行代码漏洞,对SAP系统危害更大。SAProuter是一个存在SAP系统与外部应用网络之间的连接,可以控制外部对SAP系统的存取,进而确保SAP系统的网络安全性。ERPScan指出,这个漏洞修补程序已经在6个月前释出,但5,000个SAProuter用户中,只有15%已修补该漏洞。

微软建议,除了安装防恶意软件及入侵检测防御系统,并且落实微软操作系统端的漏洞更新外,更必须严格根据使用者职务给予最低限度的访问权限;另外也可以透过采用双因素认证(OTP)提高用户系统使用的安全性。

Dr. Web侦测到这只恶意程序变种是属于Trojan.Ibank家族之一,但可能取自常见的化名。它是已知银行木马程序的变种,但又不像Zeus或SpyEye那么知名。

不过,SAP客户受到的威胁还不只于此。ERPScan还发现SAProuter有一重大未经授权的远端程序码执行弱点,可作为公司内部SAP系统与网际网络间的代理服务器。6个月前SAP已发布修补程序,但ERPScan发现网络上可连上的SAProuter高达5,000个,仅15%已安装修补程序。

SAP全球有近25万家客户,几乎都是大型企业,包括80%的500强大企业。

原文发布于微信公众号 - 人称T客(Java_simon)

原文发表时间:2014-05-28

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏西枫里博客

关于ICP备案你所不了解的那些事

原打算这篇文章是写成正常的网站备案指导步骤的,在写的过程中,我发现其实各大IDC厂商的的帮助信息都已经非常明确具体了,甚至细分到每个省区有不同的细则都标识的很清...

5693
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应付账款(158)-4 FB60过帐供应商发票

4.4 FB60过帐供应商发票 您从供应商处收到发票并在系统中进行过帐。供应商的物料发票被过帐到物料模块中,有关详细信息,请参见文档。您还可以为除物料(如下文中...

37010
来自专栏云鼎实验室的专栏

比特币勒索病毒肆虐,腾讯云安全专家给你支招

5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day ...

6189
来自专栏玄魂工作室

CTF实战22 病毒感染技术

是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件

1042
来自专栏SAP最佳业务实践

从SAP最佳业务实践看企业管理(188)-FI-160现金管理

image.png FI160现金管理 现金状态概览提供有关银行帐户当前财务状态的信息。这是现金集中的起点,其中将不同银行帐户的余额集中到一个目标帐户,考虑最小...

3495
来自专栏腾讯云安全的专栏

腾讯云发布一键封堵工具,完美规避 NSA 黑客工具影响

2287
来自专栏FreeBuf

网络悍匪劫持巴西网银长达5小时,数百万用户中招

传统的网上银行劫持和现实中的银行抢劫并没有多大的区别。匪徒闯进银行,抢走财物,再离开银行。但是,就是有这样一个黑客组织不走寻常路,他们劫持了一家巴西银行的DNS...

19710
来自专栏玄魂工作室

安全快讯合集

1.Google Tracks Android, iPhone Users Even With 'Location History' Turned Off

1041
来自专栏企鹅号快讯

2017年年度最烂密码排名

据英国《每日邮报》12月20日报道,从雅虎发生数百万用户数据泄露到近期WannaCry和BadRabbit勒索软件攻击用户电脑,2017年已发生了多起重大网络安...

2269
来自专栏安恒信息

威胁告警:大量ubnt设备被植入后门

近期,安恒安全研究团队监控到大量利用弱口令对22端口进行暴力破解的攻击。经过安全团队详细分析,我们发现网络上大量的ubnt设备的存在弱口令,并且已经被黑客使用自...

5006

扫码关注云+社区

领取腾讯云代金券