【注意】SAP客户受到安全威胁 黑客盯上SAP后门盗取用户信息

据国外媒体报道一只以网络银行账号为目标的新木马程序变种，也包含了可侦测受感染计算机是否安装SAP应用的能力，显示未来可能将攻击SAP系统。

俄罗斯防毒公司Doctor Web此前曾发现这只恶意程序，并通报专门针对SAP安全监控产品的开发商ERPScan。ERPScan的CTO Alexander Polyakov并在RSA Europe安全大会上展示这只恶意程序。

如果一只恶意程序企图侦测已安装的特定软件，表示攻击者可能计划把此工具销售给其他具有意图的网络罪犯，或是日后自行使用。

SAP的工作站用户端软件的组态档很容易被找到，当中又包括连结的SAP服务器IP位址。攻击者可循此分析应用流程，或从组态档及GUI自动描述程序找出SAP的用户密码。

一旦找出密码后，SAP服务器危机重重。视黑客获得权限，他们可以窃取客户信息及商业机密，或设立不合法支付或变更现有户的银行账户付款目的地，以从中获取财富。

Polyakov表示，虽然有些企业可以根据用户角色限制SAP用户的职权，但都是庞杂艰巨的项目，通常大部分的企业对使用者权限都没有什么限制。

就算被窃的用户资料未提供攻击者想要的入侵资料，他们仍旧能拿到管理员权限，而大部份企业的某些系统也未曾或忘记更改密码，使得部份公司资料外流。

如果能入侵SAP用户端软件，攻击者就能窃取机密资料，象是财务信息、公司机密、客户名单或人资资料，并转售给竞争者。他们甚至可以对SAP服务器发动阻断攻击服务来破坏商业运作，造成财务损失，Polyakov说。如果时机抓准，有些攻击甚至能影响公司股价表现。

而这支恶意软件专门偷SAP客户端应用程序的账号密码，并存取SAP ERP系统，微软方面也证实有此恶意软件，并命名为：TrojanSpy:Win32/Gamker.A。

微软恶意软件保护中心（MMPC）的研究人员表示，这个恶意软件具有键盘侧录功能，当执行某个应用程序后，每一次的点击或输入都会以存文字的方式侧录并储存在 "%APPDATA%\"目录下。

不过，这个恶意软件除了进行键盘侧录外，如果比对到特定的应用程序，就会去搜集或记录其他包括用户名称、服务器名称或其他的机敏数据。像是该恶意软件在被骇计算机中，比对到有安装微软操作系统端SAP ERP登入的saplogon.exe执行档时，恶意软件就会下达其他的命令参数，定期对计算机画面执行10次截图，每间隔1秒钟后，分批将截图回传黑客发动攻击的C&C（命令与控制）服务器，回避企业内资安设备对可疑外传数据侦测。

当黑客取得登入SAP ERP系统的帐密后，就可以透过远程登录的方式控制受骇计算机，甚至可以直接登入SAP ERP系统，控制企业的核心系统与信息。

ERPScan表示，恶意软件不是SAP企业用户唯一的威胁，另外一个存在SAProuter中，未经身份验证的远程执行代码漏洞，对SAP系统危害更大。SAProuter是一个存在SAP系统与外部应用网络之间的连接，可以控制外部对SAP系统的存取，进而确保SAP系统的网络安全性。ERPScan指出，这个漏洞修补程序已经在6个月前释出，但5,000个SAProuter用户中，只有15％已修补该漏洞。

微软建议，除了安装防恶意软件及入侵检测防御系统，并且落实微软操作系统端的漏洞更新外，更必须严格根据使用者职务给予最低限度的访问权限；另外也可以透过采用双因素认证（OTP）提高用户系统使用的安全性。

Dr. Web侦测到这只恶意程序变种是属于Trojan.Ibank家族之一，但可能取自常见的化名。它是已知银行木马程序的变种，但又不像Zeus或SpyEye那么知名。

不过，SAP客户受到的威胁还不只于此。ERPScan还发现SAProuter有一重大未经授权的远端程序码执行弱点，可作为公司内部SAP系统与网际网络间的代理服务器。6个月前SAP已发布修补程序，但ERPScan发现网络上可连上的SAProuter高达5,000个，仅15%已安装修补程序。

SAP全球有近25万家客户，几乎都是大型企业，包括80%的500强大企业。