rootkits and trojans on your sap landscape
play

Rootkits and Trojans on your SAP Landscape Ertunga Arsal Chaos - PowerPoint PPT Presentation

Oct 23, 2023 •1.18k likes •1.69k views

Rootkits and Trojans on your SAP Landscape Ertunga Arsal Chaos Communication Congress 2010 1 Agenda Introduc.on to Enterprise Security SAP * Applica.ons in General BASIS (SAP infrastructure)

  1. Rootkits and Trojans on your SAP Landscape Ertunga Arsal Chaos Communication Congress 2010 1

  2. Agenda • Introduc.on ¡to ¡Enterprise ¡Security • SAP * ¡ Applica.ons ¡in ¡General • BASIS ¡(SAP ¡infrastructure) ¡Security • A>acks ¡to ¡ABAP ¡Programs • ABAP ¡Rootkits • The ¡Threat ¡Agents • How ¡To ¡Stay ¡Secure *SAP ¡refers ¡to ¡SAP ¡R/3 ¡and ¡Netweaver ¡applica.ons ¡throughout ¡this ¡presenta.on, ¡not ¡the ¡company. ¡ Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 2

  3. About ¡Me ¡ ¡ • Ertunga ¡Arsal – Security ¡Researcher ¡with ¡focus ¡on ¡Enterprise ¡Systems – Founder ¡of ¡ESNC ¡GmbH, ¡a ¡company ¡specialized ¡in ¡SAP ¡Security • Officially ¡acknowledged ¡for ¡the ¡following ¡Security ¡Patches ¡: • SAP ¡Note ¡1484692 ¡-­‑ ¡Protect ¡read ¡access ¡to ¡password ¡hash ¡tables ¡ • SAP ¡Note ¡1497104 ¡-­‑ ¡Protect ¡access ¡to ¡PSE ¡ • SAP ¡Note ¡1421005 ¡-­‑ ¡Secure ¡configura.on ¡of ¡the ¡message ¡server • SAP ¡Note ¡1483525 ¡-­‑ ¡New ¡security ¡center ¡in ¡SAP ¡GUI ¡7.20 • SAP ¡Note ¡1485029 ¡-­‑ ¡Protect ¡read ¡access ¡to ¡key ¡tables ¡ • SAP ¡Note ¡1488406 ¡-­‑ ¡Handling ¡the ¡generated ¡user ¡TMSADM • SAP ¡Note ¡1511107 ¡-­‑ ¡Execu.ng ¡freely ¡determined ¡code ¡using ¡transac.on ¡SE37 • SAP ¡Note ¡1510704 ¡-­‑ ¡Missing ¡Authoriza.on ¡Check ¡in ¡AFX ¡Workbench ¡report Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 3

  4. Typical ¡Enterprise • Has ¡more ¡than ¡a ¡thousand ¡of ¡employees • Is ¡a ¡circus ¡of ¡IT ¡Systems – Mixture ¡of ¡opera.ng ¡systems, ¡databases, ¡applica.ons • And ¡their ¡different ¡versions • Usually ¡implemented ¡by ¡different ¡teams • Spanning ¡to ¡a ¡lot ¡of ¡years • Decision ¡makers ¡care ¡more ¡about ¡their ¡bonus ¡than ¡ the ¡interest ¡of ¡the ¡company ¡ • Is ¡a ¡poli.cal ¡ba>lefield ¡about ¡who ¡has ¡the ¡bigger ¡ balls ¡[unisex ¡term] Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 4

  5. Typical ¡Enterprise ¡Security • Even ¡medium ¡level ¡of ¡IT ¡security ¡is ¡too ¡expensive ¡to ¡achieve ¡ – Missing ¡asset ¡management ¡(how ¡many ¡Oracle ¡DBs, ¡Windows ¡servers, ¡etc?) – Tons ¡of ¡security ¡scanning, ¡to ¡few ¡remedia.on ¡chasing – Many ¡of ¡the ¡vulnerabili.es ¡cannot ¡be ¡mi.gated • Obsessed ¡by ¡Cross ¡Site ¡Scrip.ng • IT ¡security ¡departments ¡cannot ¡influence ¡security ¡decisions ¡of ¡ business ¡applica.ons ¡much, ¡because ¡of ¡poli.cal ¡reasons ¡ • Nobody ¡cares ¡about ¡the ¡hacked ¡UNIX ¡machine, ¡SQL ¡DB, ¡or ¡others – If ¡they ¡are ¡not ¡directly ¡held ¡responsible ¡(CYAS ¡-­‑ ¡Cover ¡Your ¡Ass ¡Security) • SoX, ¡PCI-­‑DSS, ¡legal ¡requirements, ¡... • Defacements ¡and ¡similar ¡security ¡incidents ¡are ¡budget ¡approvers Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 5

  6. SAP ¡Systems • Business ¡specific – HR, ¡Finances, ¡Logis.cs… • Industry ¡solu.ons – Defense ¡& ¡Aerospace, ¡Oil ¡& ¡Gas, ¡Banking, ¡ Chemicals... • Hold ¡the ¡Crown ¡Jewels – Hence ¡“Business” • Are ¡usually ¡extensively ¡customized – SAP ¡consultants ¡on-­‑site – Long ¡running ¡implementa.on ¡projects • Less ¡exposure ¡to ¡typical ¡hackers – Who ¡would ¡learn ¡ABAP ¡for ¡hacking? ¡ – How ¡would ¡someone ¡try ¡it ¡at ¡home? ¡ Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 6

  7. Su>on’s ¡Law • Main ¡principle: ¡“When ¡diagnosing, ¡one ¡should ¡first ¡ consider ¡the ¡obvious” • Named ¡aser ¡a ¡bank ¡robber, ¡Willie ¡Su>on – Su>on ¡was ¡asked ¡why ¡he ¡robbed ¡the ¡banks – His ¡response*: ¡“Because ¡that’s ¡where ¡the ¡money ¡is” Probably ¡he ¡never ¡said ¡this • Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 7

  8. SAP ¡Security • Security ¡mostly ¡focuses ¡on ¡authoriza.ons ¡and ¡segrega.on ¡of ¡du.es – SOD’s ¡main ¡focus ¡is ¡the ¡ac.ons ¡of ¡a ¡single ¡person – Two ¡guys ¡get ¡together ¡= ¡throw ¡away ¡your ¡SOD ¡investments – Weak ¡passwords ¡(99% ¡of ¡the ¡case) ¡= ¡throw ¡away ¡your ¡SOD ¡investments ¡ • Intrusion ¡preven.on ¡is ¡s.ll ¡a ¡baby – How ¡many ¡signatures ¡does ¡your ¡expensive ¡IDP ¡have ¡for ¡business ¡apps? • Risks ¡are ¡underes.mated/general ¡IT ¡Security ¡efforts ¡are ¡typically ¡ unbalanced ¡at ¡companies – How ¡many ¡Global ¡500s ¡are ¡running ¡SAP ¡for ¡the ¡core ¡business? – How ¡many ¡people ¡from ¡their ¡IT ¡Security ¡teams ¡have ¡SAP ¡security ¡skills? • Unlike ¡e.g ¡Ac.ve ¡Directory, ¡SAP ¡systems ¡belong ¡to ¡the ¡business, ¡not ¡the ¡IT • ¡Security ¡departments ¡usually ¡fail ¡when ¡they ¡are ¡challenged – Either ¡missing ¡skills ¡or ¡“ This ¡a'ack ¡is ¡too ¡sophis-cated, ¡nobody ¡can ¡do ¡it ” ¡response ¡ Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 8

  9. SAP: ¡Simplified ¡Connec.on ¡Overview DIAG ¡Protocol: ¡GUI ¡users ¡ • TCP ¡3200-­‑3299 – RFC ¡Protocol: ¡Service ¡users ¡ • TCP ¡3300-­‑3399 – RFC ¡Protocol ¡over ¡SOAP: ¡Service ¡Users • TCP ¡8000-­‑8099 ¡(Usually) – Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 9

  10. SAP ¡Load ¡Balancer • “Message ¡Server” • If ¡not ¡properly ¡configured, ¡ an ¡a>acker ¡can ¡register ¡its ¡ own ¡servers ¡[top ¡pic ¡-­‑ ¡PoC] • Can ¡fake ¡the ¡clients, ¡MITM ¡ or ¡more – Implement ¡ms/acl_info ¡access ¡ control ¡to ¡protect ¡it! Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 10

  11. SAP ¡Applica.on ¡Server • Real ¡name ¡the ¡“Gateway” • Built-­‑in ¡remote ¡shell ¡func.onality ¡via ¡RFC – Good ¡for ¡remote ¡administra.on ¡without ¡authen.ca.on – Supports ¡all ¡opera.ng ¡systems ¡(AIX, ¡HP-­‑UX, ¡Z/OS, ¡Win...) – Can ¡be ¡restricted ¡via ¡secinfo ¡ACL ¡configura.on ¡ – Mariano ¡men.oned ¡this ¡at ¡BH ¡in ¡2007 • Secinfo/reginfo ¡can ¡be ¡bypassed ¡with ¡ease – Make ¡sure ¡you ¡apply ¡the ¡latest ¡kernel ¡security ¡patches ¡and ¡ you ¡have ¡a ¡restric.ve ¡secinfo/reginfo ¡configura.on! Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 11

  12. DEMO: ¡Remote ¡Shell IP: 5.5.5.7 our application we attack here talks RFC Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 12

Recommend

HOST Hardware Trojans I ECE 525 Hardware Trojans (HT) What is a hardware Trojan? A deliberate

HOST Hardware Trojans I ECE 525 Hardware Trojans (HT) What is a hardware Trojan? A deliberate

HOST Hardware Trojans I ECE 525 Hardware Trojans (HT) What is a hardware Trojan? A deliberate and malicious change to an IC that adds or removes functionality or reduces reliability The modifications may be designed to leak sensitive

394 views • 23 slides
Linux rootkits & TTY Hijacking Antonio Prez Prez <antonio.perez.perez@cern.ch> CERN

Linux rootkits & TTY Hijacking Antonio Prez Prez <antonio.perez.perez@cern.ch> CERN

Linux rootkits & TTY Hijacking Antonio Prez Prez <antonio.perez.perez@cern.ch> CERN Computer Security Team EGI Technical Forum 2011, Lyon, France Outline Rootkits: Introduction Linux rootkits History Detection and monitoring

423 views • 26 slides
Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Dealing with Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com Utrecht, 19 March 2016 Agenda Today 1. How do they get in 2. Why? 3. Malware types 4. In-depth: rootkits 5. Defenses 2

546 views • 35 slides
Detecting Hardware Trojans: A Tale of Two Techniques Sharad Malik sharad@princeton.edu FMCAD

Detecting Hardware Trojans: A Tale of Two Techniques Sharad Malik sharad@princeton.edu FMCAD

Detecting Hardware Trojans: A Tale of Two Techniques Sharad Malik sharad@princeton.edu FMCAD 2015 Hardware Security and Hardware Trojans User apps Each layer trusts all layers below it Kernel Hypervisor More privilege Widely

706 views • 49 slides
Demystifying Modern Windows Rootkits Bill Demirkapi Independent Security Researcher

Demystifying Modern Windows Rootkits Bill Demirkapi Independent Security Researcher

Demystifying Modern Windows Rootkits Bill Demirkapi Independent Security Researcher Demystifying Modern Windows Rootkits Black Hat USA 2020 1 Who Am I? 18 years old Sophomore at the Rochester Institute of Technology Windows

847 views • 73 slides
CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4 Viruses, Worms, Trojans, Rootkits Malware = Malicious Software can be classified into several categories, depending on propagation and concealment

472 views • 46 slides
DISTROY: Detec-ng IC Trojans with Compressive Measurements

DISTROY: Detec-ng IC Trojans with Compressive Measurements

DISTROY: Detec-ng IC Trojans with Compressive Measurements Youngjune Gwon, H. T. Kung, and Dario Vlah Harvard University August 9, 2011 Understanding

415 views • 17 slides
Mobile Malware: Why the traditional AV paradigm is doomed, and how to use physics to detect

Mobile Malware: Why the traditional AV paradigm is doomed, and how to use physics to detect

Mobile Malware: Why the traditional AV paradigm is doomed, and how to use physics to detect physics to detect undesirable routines Guy Stewart VP Engineering Fatskunk Inc. The Malware Problem The Malware Problem Trojans, Rootkits, the

454 views • 18 slides
Hardware Trojans: A Threat for CyberSecurity Julien Francq julien.francq@cassidian.com

Hardware Trojans: A Threat for CyberSecurity Julien Francq julien.francq@cassidian.com

Hardware Trojans: A Threat for CyberSecurity Julien Francq julien.francq@cassidian.com Cassidian CyberSecurity 2013, July the 8th Introduction to Hardware Trojans Hardware Trojan Taxonomy HT Detection Methods Design for Hardware Trust

1.57k views • 74 slides
-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too seriously, I fuzz the Human brain! The capitalist "pig" degrees: Economics & MBA. Worked for the evil banking system! Security

833 views • 80 slides
-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who Am I Hold two degrees nobody likes these days: Economics & MBA. Ex-hacker for .pt banking system (www.sibs.pt). Security

1.16k views • 91 slides
Malware Reading Material Ken Thompson and Trojans

Malware Reading Material Ken Thompson and Trojans

Malware Reading Material Ken Thompson and Trojans h6p://www.ece.cmu.edu/~ganger/712.fall02/ papers/p761-thompson.pdf Worm Anatomy and Model

1.65k views • 130 slides
$ Circumventing Forensic Live-acquisition Tools > Rootkits for

$ Circumventing Forensic Live-acquisition Tools > Rootkits for

$ Circumventing Forensic Live-acquisition Tools > Rootkits for dubious defensive purposes > Yonne de Bruijn (yonne.debruijn@os3.nl) Digital Forensics $ retrieve

304 views • 27 slides
Kernel Rootkits Don Porter Motivation (bad guys) Why take over a computer system? To

Kernel Rootkits Don Porter Motivation (bad guys) Why take over a computer system? To

Kernel Rootkits Don Porter Motivation (bad guys) Why take over a computer system? To get it to do (potentially illicit) work for you for free! E.g., send spam Stages of an attack Get on the system Get administrator

449 views • 16 slides
Malware: Viruses, Worms, Rootkits, Botnets Spring 2015

Malware: Viruses, Worms, Rootkits, Botnets Spring 2015

CSE 484 / CSE M 584: Computer Security and Privacy Malware: Viruses, Worms, Rootkits, Botnets Spring 2015 Franziska (Franzi) Roesner

403 views • 37 slides
How to Attack the IoT with Hardware Trojans Janet Lackey under CC license hardwear.io Den Haag,

How to Attack the IoT with Hardware Trojans Janet Lackey under CC license hardwear.io Den Haag,

How to Attack the IoT with Hardware Trojans Janet Lackey under CC license hardwear.io Den Haag, September 22, 2017 Christof Paar Ruhr Universitt Bochum & University of Massachusetts Amherst Acknowledgement Georg Becker Pawel

616 views • 40 slides
Why We Should Be Worried about Hardware Trojans Janet Lackey under CC license The Summer Research

Why We Should Be Worried about Hardware Trojans Janet Lackey under CC license The Summer Research

Why We Should Be Worried about Hardware Trojans Janet Lackey under CC license The Summer Research Institute 2018 EPFL, June 18, 2018 Christof Paar Ruhr Universitt Bochum & University of Massachusetts Amherst Acknowledgement Georg Becker

449 views • 40 slides
How to Attack the IoT with Hardware Trojans Janet Lackey under CC license CROSSING Conference

How to Attack the IoT with Hardware Trojans Janet Lackey under CC license CROSSING Conference

16.05.2017 How to Attack the IoT with Hardware Trojans Janet Lackey under CC license CROSSING Conference Darmstadt, May 16, 2017 Christof Paar Ruhr Universitt Bochum Acknowledgement Georg Becker Pawel Swierczynski Marc Fyrbiak 1

593 views • 20 slides
We know what you did this summer Android Banking Trojans Exposing Its Sins in The Cloud

We know what you did this summer Android Banking Trojans Exposing Its Sins in The Cloud

We know what you did this summer Android Banking Trojans Exposing Its Sins in The Cloud Siegfried Rasthofer (TU Darmstadt / CASED) Eric Bodden (TU Darmstadt / Fraunhofer SIT) Carlos Castillo (Intel Security) Alex Hinchliffe (Intel

510 views • 39 slides
Literature for Landscape Management Inhalt 1. Landscape analyses, landscape assessments,

Literature for Landscape Management Inhalt 1. Landscape analyses, landscape assessments,

Joint Master Programme Sustainable Development 2011, Module Land Management 22/03/2011 Literature for Landscape Management Inhalt 1. Landscape analyses, landscape assessments, and landscape changes in Europe ........ 1 2. Impacts

542 views • 7 slides
Efficient Control-Flow Subgraph Matching for Detecting Hardware Trojans in RTL Models L.

Efficient Control-Flow Subgraph Matching for Detecting Hardware Trojans in RTL Models L.

ACM/IEEE CODES + ISSS 2017, Seoul, South Korea Efficient Control-Flow Subgraph Matching for Detecting Hardware Trojans in RTL Models L. Piccolboni 1,2 , A. Menon 2 , and G. Pravadelli 2 1 Columbia University, New York, NY, USA 2 University of

840 views • 60 slides
HOST Hardware Trojans III ECE 525 Seminal Trojan Detection Method D. Agrawal, S. Baktir, D.

HOST Hardware Trojans III ECE 525 Seminal Trojan Detection Method D. Agrawal, S. Baktir, D.

HOST Hardware Trojans III ECE 525 Seminal Trojan Detection Method D. Agrawal, S. Baktir, D. Karakoyunlu, P. Rohatgi, B. Sunar, Trojan Detection using IC Fingerprinting, Symposium on Security and Privacy, 2007, pp. 296 - 310 They use noise

543 views • 37 slides
Trojans Modifying Soft-Processor Instruction Sequences Embedded in FPGA Bitstreams Ismail

Trojans Modifying Soft-Processor Instruction Sequences Embedded in FPGA Bitstreams Ismail

Trojans Modifying Soft-Processor Instruction Sequences Embedded in FPGA Bitstreams Ismail San, Nicole Fern, C etin Kaya Ko c and Kwang-Ting (Tim) Cheng University of California Santa Barbara Anadolu University FPL 2016 August 31,

72 views • 6 slides
Sources in Solar System Sources: The Moon The Sun (quiet and/or flaring) The Earth

Sources in Solar System Sources: The Moon The Sun (quiet and/or flaring) The Earth

Sources in Solar System Sources: The Moon The Sun (quiet and/or flaring) The Earth Potential Sources Asteroids in different populations: Main Asteroid Belt (MBAs) Jovian and Neptunian Trojans (Trojans) Kuiper Belt

229 views • 12 slides

More recommend