2013年11月4日 星期一

SAP用戶當心!新變種銀行木馬惡意程式直指SAP使用者而來

SAP用戶當心!新變種銀行木馬惡意程式直指SAP使用者而來

一隻以網路銀行帳號為目標的新木馬程式變種,亦包含了可偵測受感染電腦是否安裝SAP應用的能力,顯示未來可能將攻擊SAP系統。

2

俄羅斯防毒公司Doctor Web數週前發現這隻惡意程式,並通報專門針對SAP安全監控產品的開發商ERPScan。ERPScan技術長Alexander Polyakov並在RSA Europe安全大會上展示這隻惡意程式。

如果一隻惡意程式企圖偵測已安裝的特定軟體,表示攻擊者可能計畫把此工具銷售給其他具有意圖的網路罪犯,或是日後自行使用。

SAP的工作站用戶端軟體的組態檔很容易被找到,當中又包括連結的SAP伺服器IP位址。攻擊者可循此分析應用流程,或從組態檔及GUI自動描述程式找出SAP的用戶密碼。

一旦找出密碼後,SAP伺服器危機重重。視駭客獲得權限為何,他們可以竊取客戶資訊及商業機密,或設立不合法支付或變更現有戶的銀行帳戶付款目的地,以從中獲取財富。

Polyakov表示,雖然有些企業可以根據用戶角色限制SAP用戶的職權,但都是龐雜艱鉅的專案,通常大部分的企業對使用者權限都沒有什麼限制。

就算被竊的用戶資料未提供攻擊者想要的入侵資料,他們仍舊能拿到管理員權限,而大部份企業的某些系統也未曾或忘記更改密碼,使得部份公司資料外流。

如果能入侵SAP用戶端軟體,攻擊者就能竊取機密資料,像是財務資訊、公司機密、客戶名單或人資資料,並轉售給競爭者。他們甚至可以對SAP伺服器發動阻斷攻擊服務來破壞商業運作,造成財務損失,Polyakov說。如果時機抓準,有些攻擊甚至能影響公司股價表現。

Dr. Web偵測到這隻惡意程式變種是屬於Trojan.Ibank家族之一,但可能取自常見的化名。它是已知銀行木馬程式的變種,但又不像Zeus或SpyEye那麼知名。

不過,SAP客戶受到的威脅還不只於此。ERPScan還發現SAProuter有一重大未經授權的遠端程式碼執行弱點,可作為公司內部SAP系統與網際網路間的代理伺服器。6個月前SAP已發佈修補程式,但ERPScan發現網路上可連上的SAProuter高達5,000個,僅15%已安裝修補程式。

SAP全球有近25萬家客戶,幾乎都是大型企業,包括80%的財星500大企業。

資料來源:COMPUTERWORLD
轉載自《網路資訊雜誌》