Sapforum.Biz

Разное на поговорить => Я вам скажу за SAP и не только... => Тема начата: Uukrul от Ноябрь 08, 2013, 12:54:13 am

Название: Появился новый троянец, угрожающий пользователям SAP
Отправлено: Uukrul от Ноябрь 08, 2013, 12:54:13 am
Ну на самом деле оно SAP там как-то побоку.. просто программка перехватывает так же и весь ввод выполняющийся в окне SAP GUI, в принципе сказать что это как-то угрожает именно только SAP сложно... так точно этот кейлогер угрожает любому ПО которое запущено в системе с данным трояном.

Цитировать
Компания «Доктор Веб» сообщила о распространении вредоносной программы, угрожающей пользователям комплекса программных решений для бизнеса SAP. Данное вредоносное приложение относится к представителям семейства банковских троянцев Trojan.PWS.Ibank, которые похищают вводимые пользователем пароли и другую конфиденциальную информацию.

По сравнению с другими вредоносными программами семейства, данный образец отличается видоизмененной архитектурой бота, также были внесены изменения в механизмы межпроцессорного взаимодействия, упразднена подсистема SOCKS5. Вместе с тем, практически неизменным остался используемый троянцем внутренний алгоритм шифрования, реализация полезной нагрузки в виде отдельной динамической библиотеки, а также протокол общения с командным центром злоумышленников. Троянец способен действовать как в 32-битных, так и в 64-битных версиях Microsoft Windows, используя различные способы внедрения в операционную систему. Основной модуль троянца, способен выполнять две новые команды — одна из них активирует/дезактивирует блокировку банковских клиентов, другая позволяет получить от управляющего сервера конфигурационный файл. Еще одной важной отличительной особенностью Trojan.PWS.Ibank является его способность встраиваться в различные работающие процессы, а обновленная версия получила дополнительный функционал, позволяющий проверять имена запущенных программ, в том числе клиента SAP.
Оригинал: http://www.osp.ru/news/2013/1107/13021797/
Название: Re: Появился новый троянец, угрожающий пользователям SAP
Отправлено: ysichov от Ноябрь 08, 2013, 02:12:10 pm
Идет развитие темы. Ребята как-то плагин к WireShark сделали, который дешифровал SAP TCP/IP трафик.
Загружал его, смотрел. Видны транзакции, коды управляющие, XML пакеты для общения по RFC. Может быть еще что-то. Дальше не интересно было копать.

Тут пишут, что и пароли видны :)
http://www.daniel-berlin.de/security/sap-sec/sniffing-sap-gui-passwords/ (http://www.daniel-berlin.de/security/sap-sec/sniffing-sap-gui-passwords/)
Название: Re: Появился новый троянец, угрожающий пользователям SAP
Отправлено: Uukrul от Ноябрь 08, 2013, 02:55:08 pm
You are not allowed to view links. Register or Login
Идет развитие темы. Ребята как-то плагин к WireShark сделали, который дешифровал SAP TCP/IP трафик.
Ну это похоже просто шифрование пакетов не включено вообще никакое. Просто идет перехват потока и разбор. В частной жизни конечно встречается, но это проблема даже не SAP-а
Название: Re: Появился новый троянец, угрожающий пользователям SAP
Отправлено: ysichov от Ноябрь 08, 2013, 04:34:15 pm
You are not allowed to view links. Register or Login
Ну это похоже просто шифрование пакетов не включено вообще никакое. Просто идет перехват потока и разбор. В частной жизни конечно встречается, но это проблема даже не SAP-а

Я это делал в "своей" виртуальной машине, шифрование не включал.