SAP客户受到安全威胁 黑客盯上SAP后门盗取用户信息据国外媒体报道一只以网络银行账号为目标的新木马程序变种,也包含了可侦测受感染计算机是否安装SAP应用的能力,显示未来可能将攻击sap系统。 俄罗斯防毒公司Doctor Web此前曾发现这只恶意程序,并通报专门针对SAP安全监控产品的开发商ERPScan。ERPScan的CTO Alexander Polyakov并在RSA Europe安全大会上展示这只恶意程序。 如果一只恶意程序企图侦测已安装的特定软件,表示攻击者可能计划把此工具销售给其他具有意图的网络罪犯,或是日后自行使用。 SAP的工作站用户端软件的组态档很容易被找到,当中又包括连结的SAP服务器IP位址。攻击者可循此分析应用流程,或从组态档及GUI自动描述程序找出SAP的用户密码。 一旦找出密码后,SAP服务器危机重重。视黑客获得权限,他们可以窃取客户信息及商业机密,或设立不合法支付或变更现有户的银行账户付款目的地,以从中获取财富。 Polyakov表示,虽然有些企业可以根据用户角色限制SAP用户的职权,但都是庞杂艰巨的项目,通常大部分的企业对使用者权限都没有什么限制。 就算被窃的用户资料未提供攻击者想要的入侵资料,他们仍旧能拿到管理员权限,而大部份企业的某些系统也未曾或忘记更改密码,使得部份公司资料外流。 如果能入侵SAP用户端软件,攻击者就能窃取机密资料,象是财务信息、公司机密、客户名单或人资资料,并转售给竞争者。他们甚至可以对SAP服务器发动阻断攻击服务来破坏商业运作,造成财务损失,Polyakov说。如果时机抓准,有些攻击甚至能影响公司股价表现。 而这支恶意软件专门偷SAP客户端应用程序的账号密码,并存取SAP ERP系统,微软方面也证实有此恶意软件,并命名为:TrojanSpy:Win32/Gamker.A。 微软恶意软件保护中心(MMPC)的研究人员表示,这个恶意软件具有键盘侧录功能,当执行某个应用程序后,每一次的点击或输入都会以存文字的方式侧录并储存在 "%AppDATA%\"目录下。 不过,这个恶意软件除了进行键盘侧录外,如果比对到特定的应用程序,就会去搜集或记录其他包括用户名称、服务器名称或其他的机敏数据。像是该恶意软件在被骇计算机中,比对到有安装微软操作系统端SAP ERP登入的saplogon.exe执行档时,恶意软件就会下达其他的命令参数,定期对计算机画面执行10次截图,每间隔1秒钟后,分批将截图回传黑客发动攻击的C&C(命令与控制)服务器,回避企业内资安设备对可疑外传数据侦测。 当黑客取得登入SAP ERP系统的帐密后,就可以透过远程登录的方式控制受骇计算机,甚至可以直接登入SAP ERP系统,控制企业的核心系统与信息。 ERPScan表示,恶意软件不是SAP企业用户唯一的威胁,另外一个存在SAProuter中,未经身份验证的远程执行代码漏洞,对SAP系统危害更大。SAProuter是一个存在SAP系统与外部应用网络之间的连接,可以控制外部对SAP系统的存取,进而确保SAP系统的网络安全性。ERPScan指出,这个漏洞修补程序已经在6个月前释出,但5,000个SAProuter用户中,只有15%已修补该漏洞。 微软建议,除了安装防恶意软件及入侵检测防御系统,并且落实微软操作系统端的漏洞更新外,更必须严格根据使用者职务给予最低限度的访问权限;另外也可以透过采用双因素认证(OTP)提高用户系统使用的安全性。 Dr. Web侦测到这只恶意程序变种是属于Trojan.Ibank家族之一,但可能取自常见的化名。它是已知银行木马程序的变种,但又不像Zeus或SpyEye那么知名。 不过,SAP客户受到的威胁还不只于此。ERPScan还发现SAProuter有一重大未经授权的远端程序码执行弱点,可作为公司内部SAP系统与网际网络间的代理服务器。6个月前SAP已发布修补程序,但ERPScan发现网络上可连上的SAProuter高达5,000个,仅15%已安装修补程序。 SAP全球有近25万家客户,几乎都是大型企业,包括80%的500强大企业。 责编:李玉琴  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|
|
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc