- 最後登錄
- 2024-4-27
- 在線時間
- 0 小時
- 註冊時間
- 2007-3-10
- 閱讀權限
- 30
- 精華
- 0
- UID
- 915595
- 帖子
- 817
- 積分
- 1120 點
- 潛水值
- 37637 米
| SAP ERP帳密安全亮紅燈,專偷網銀帳密的Gamker惡意程式變種入侵SAP ERP
| | 臺灣有許多製造業者都使用SAP ERP,包括俄羅斯防毒廠商Dr. Web和一間針對SAP ERP專門資安公司ERPScan於日前發現,有一支惡意程式專門偷SAP用戶端應用程式的帳號密碼,並伺機存取SAP ERP系統,微軟也證實有此惡意程式,並命名為:TrojanSpy:Win32/Gamker.A。
SAP ERP系統貫穿企業財會及業務流程,因此許多企業內的機敏資訊,都包含在SAP ERP系統中。ERPScan表示,這個惡意程式是專門偷取網路銀行帳號密碼惡意程式Gamker的變種,更是第一款針對安裝SAP應用程式的個人電腦惡意程式。
ERPScan指出,駭客透過這個惡意程式,可以存取SAP系統的IP位址以及相關的機密文件內容,甚至可以取得高權限使用者的帳號密碼,進一步更改企業與客戶之間的付款銀行資訊,藉此偷取企業的帳款,駭客甚至可以取得ERP中的企業客戶名單,販售給企業的競爭對手。
惡意程式比對到saplogon.exe,會下令進行桌面截圖
微軟惡意程式保護中心(MMPC)的研究人員表示,這個惡意程式具有鍵盤側錄功能,當執行某個應用程式後,每一次的點擊或輸入都會以存文字的方式側錄並儲存在 "%APPDATA%\"目錄下。
不過,這個惡意程式除了進行鍵盤側錄外,如果比對到特定的應用程式,就會去蒐集或記錄其他包括使用者名稱、伺服器名稱或其他的機敏資料。像是該惡意程式在被駭電腦中,比對到有安裝微軟作業系統端SAP ERP登入的saplogon.exe執行檔時,惡意程式就會下達其他的命令參數,定期對電腦畫面執行10次截圖,每間隔1秒鐘後,分批將截圖回傳駭客發動攻擊的C&C(命令與控制)伺服器,迴避企業內資安設備對可疑外傳資料偵測。
當駭客取得登入SAP ERP系統的帳密後,就可以透過遠端登入的方式控制受駭電腦,甚至可以直接登入SAP ERP系統,控制企業的核心系統與資訊。
ERPScan表示,惡意程式不是SAP企業用戶唯一的威脅,另外一個存在SAProuter中,未經身份驗證的遠程執行代碼漏洞,對SAP系統危害更大。SAProuter是一個存在SAP系統與外部應用網路之間的連接,可以控制外部對SAP系統的存取,進而確保SAP系統的網路安全性。ERPScan指出,這個漏洞修補程式已經在6個月前釋出,但5,000個SAProuter用戶中,只有15%已修補該漏洞。
微軟建議,除了安裝防惡意程式及入侵偵測防禦系統,並且落實微軟作業系統端的漏洞更新外,更必須嚴格根據使用者職務給予最低限度的存取權限;另外也可以透過採用雙因素認證(OTP)提高使用者系統使用的安全性。 | ... |
|