一种针对网上银行账户的木马程序的新变种也包含了搜索受感染计算机是否安装了SAP客户端应用程序的代码,这表明攻击者将来可能会攻击SAP系统。
该恶意软件是几周前被俄罗斯反病毒公司Doctor Web发现的,该公司与SAP系统安全监控产品开发商ERPScan的研究人员分享了该软件。
ERPScan的首席技术官Alexander Polyakov说:“我们已经分析了恶意软件,它现在所做的就是检查哪些系统安装了SAP应用程序。”“然而,这可能是未来袭击的开始。”
研究人员说,当恶意软件进行这种类型的侦察,以确定是否安装了特定的软件时,攻击者要么计划将受感染电脑的访问权出售给其他对利用该软件感兴趣的网络罪犯,要么打算以后自己利用该软件。
周四在阿姆斯特丹举行的RSA欧洲安全会议上,Polyakov介绍了此类攻击和其他针对SAP系统的风险。
据他所知,这是第一个针对SAP客户端软件的恶意软件,它不是由研究人员创建的,而是由真正的网络罪犯创建的。
在工作站上运行的SAP客户端应用程序具有易于读取的配置文件,并包含它们所连接的SAP服务器的IP地址。Polyakov说,攻击者还可以连接到应用程序进程中,嗅探SAP用户密码,或者从配置文件和GUI自动化脚本中读取密码。
攻击者可以通过访问SAP服务器来做很多事情。他补充说,根据被盗凭证拥有的权限,他们可以窃取客户信息和商业秘密,或者通过设置和批准流氓付款,或者改变现有客户的银行账户,将未来的付款转到他们的账户,从而窃取公司的资金。
在一些企业环境中,根据SAP用户的职责限制其权限,但这些都是大型和复杂的项目。Polyakov说,在实践中,大多数公司允许他们的SAP用户做几乎所有的事情,甚至超过他们应该做的事情。
这位研究人员说,即使一些被盗的用户凭证没有给攻击者提供他们想要的访问权限,许多公司的开发系统中有一些公司数据快照的实例,许多公司从不更改或忘记更改默认的管理凭证。
通过访问SAP客户端软件,攻击者可以窃取敏感数据,如财务信息、公司机密、客户名单或人力资源信息,并将其出售给竞争对手。Polyakov说,他们还可能对一家公司的SAP服务器发起拒绝服务攻击,扰乱其业务运营并造成经济损失。
SAP客户通常是非常大的企业。据Polyakov称,全球有近25万家公司在使用SAP产品,其中超过80%的公司在福布斯500强榜单上。
Polyakov说,如果时机正确,一些攻击甚至会影响该公司的股票,并让攻击者在股市上获利。
Web博士检测到新的恶意软件变种是木马的一部分。Ibank家族,但这可能是一个通用的别名,他说。“我的同事说,这是一种已知的银行木马的新变体,但它不像宙斯(ZeuS)或spyye那样非常流行。”
然而,恶意软件并不是SAP客户的唯一威胁。ERPScan在SAProuter(一个充当内部SAP系统和Internet之间代理的应用程序)中发现了一个严重的未经验证的远程代码执行漏洞。
Polyakov说,针对这个漏洞的补丁在6个月前发布,但ERPScan发现,在5,000个可从互联网访问的sap路由器中,目前只有15%有这个补丁。他说,如果你访问了一家公司的SAProuter,你就进入了网络,你可以像访问SAP工作站一样做同样的事情。