rootkits and trojans on your sap landscape
play

Rootkits and Trojans on your SAP Landscape Ertunga Arsal Chaos - PowerPoint PPT Presentation

Oct 23, 2023 •1.18k likes •1.69k views

Rootkits and Trojans on your SAP Landscape Ertunga Arsal Chaos Communication Congress 2010 1 Agenda Introduc.on to Enterprise Security SAP * Applica.ons in General BASIS (SAP infrastructure)

  1. Rootkits and Trojans on your SAP Landscape Ertunga Arsal Chaos Communication Congress 2010 1

  2. Agenda • Introduc.on ¡to ¡Enterprise ¡Security • SAP * ¡ Applica.ons ¡in ¡General • BASIS ¡(SAP ¡infrastructure) ¡Security • A>acks ¡to ¡ABAP ¡Programs • ABAP ¡Rootkits • The ¡Threat ¡Agents • How ¡To ¡Stay ¡Secure *SAP ¡refers ¡to ¡SAP ¡R/3 ¡and ¡Netweaver ¡applica.ons ¡throughout ¡this ¡presenta.on, ¡not ¡the ¡company. ¡ Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 2

  3. About ¡Me ¡ ¡ • Ertunga ¡Arsal – Security ¡Researcher ¡with ¡focus ¡on ¡Enterprise ¡Systems – Founder ¡of ¡ESNC ¡GmbH, ¡a ¡company ¡specialized ¡in ¡SAP ¡Security • Officially ¡acknowledged ¡for ¡the ¡following ¡Security ¡Patches ¡: • SAP ¡Note ¡1484692 ¡-­‑ ¡Protect ¡read ¡access ¡to ¡password ¡hash ¡tables ¡ • SAP ¡Note ¡1497104 ¡-­‑ ¡Protect ¡access ¡to ¡PSE ¡ • SAP ¡Note ¡1421005 ¡-­‑ ¡Secure ¡configura.on ¡of ¡the ¡message ¡server • SAP ¡Note ¡1483525 ¡-­‑ ¡New ¡security ¡center ¡in ¡SAP ¡GUI ¡7.20 • SAP ¡Note ¡1485029 ¡-­‑ ¡Protect ¡read ¡access ¡to ¡key ¡tables ¡ • SAP ¡Note ¡1488406 ¡-­‑ ¡Handling ¡the ¡generated ¡user ¡TMSADM • SAP ¡Note ¡1511107 ¡-­‑ ¡Execu.ng ¡freely ¡determined ¡code ¡using ¡transac.on ¡SE37 • SAP ¡Note ¡1510704 ¡-­‑ ¡Missing ¡Authoriza.on ¡Check ¡in ¡AFX ¡Workbench ¡report Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 3

  4. Typical ¡Enterprise • Has ¡more ¡than ¡a ¡thousand ¡of ¡employees • Is ¡a ¡circus ¡of ¡IT ¡Systems – Mixture ¡of ¡opera.ng ¡systems, ¡databases, ¡applica.ons • And ¡their ¡different ¡versions • Usually ¡implemented ¡by ¡different ¡teams • Spanning ¡to ¡a ¡lot ¡of ¡years • Decision ¡makers ¡care ¡more ¡about ¡their ¡bonus ¡than ¡ the ¡interest ¡of ¡the ¡company ¡ • Is ¡a ¡poli.cal ¡ba>lefield ¡about ¡who ¡has ¡the ¡bigger ¡ balls ¡[unisex ¡term] Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 4

  5. Typical ¡Enterprise ¡Security • Even ¡medium ¡level ¡of ¡IT ¡security ¡is ¡too ¡expensive ¡to ¡achieve ¡ – Missing ¡asset ¡management ¡(how ¡many ¡Oracle ¡DBs, ¡Windows ¡servers, ¡etc?) – Tons ¡of ¡security ¡scanning, ¡to ¡few ¡remedia.on ¡chasing – Many ¡of ¡the ¡vulnerabili.es ¡cannot ¡be ¡mi.gated • Obsessed ¡by ¡Cross ¡Site ¡Scrip.ng • IT ¡security ¡departments ¡cannot ¡influence ¡security ¡decisions ¡of ¡ business ¡applica.ons ¡much, ¡because ¡of ¡poli.cal ¡reasons ¡ • Nobody ¡cares ¡about ¡the ¡hacked ¡UNIX ¡machine, ¡SQL ¡DB, ¡or ¡others – If ¡they ¡are ¡not ¡directly ¡held ¡responsible ¡(CYAS ¡-­‑ ¡Cover ¡Your ¡Ass ¡Security) • SoX, ¡PCI-­‑DSS, ¡legal ¡requirements, ¡... • Defacements ¡and ¡similar ¡security ¡incidents ¡are ¡budget ¡approvers Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 5

  6. SAP ¡Systems • Business ¡specific – HR, ¡Finances, ¡Logis.cs… • Industry ¡solu.ons – Defense ¡& ¡Aerospace, ¡Oil ¡& ¡Gas, ¡Banking, ¡ Chemicals... • Hold ¡the ¡Crown ¡Jewels – Hence ¡“Business” • Are ¡usually ¡extensively ¡customized – SAP ¡consultants ¡on-­‑site – Long ¡running ¡implementa.on ¡projects • Less ¡exposure ¡to ¡typical ¡hackers – Who ¡would ¡learn ¡ABAP ¡for ¡hacking? ¡ – How ¡would ¡someone ¡try ¡it ¡at ¡home? ¡ Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 6

  7. Su>on’s ¡Law • Main ¡principle: ¡“When ¡diagnosing, ¡one ¡should ¡first ¡ consider ¡the ¡obvious” • Named ¡aser ¡a ¡bank ¡robber, ¡Willie ¡Su>on – Su>on ¡was ¡asked ¡why ¡he ¡robbed ¡the ¡banks – His ¡response*: ¡“Because ¡that’s ¡where ¡the ¡money ¡is” Probably ¡he ¡never ¡said ¡this • Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 7

  8. SAP ¡Security • Security ¡mostly ¡focuses ¡on ¡authoriza.ons ¡and ¡segrega.on ¡of ¡du.es – SOD’s ¡main ¡focus ¡is ¡the ¡ac.ons ¡of ¡a ¡single ¡person – Two ¡guys ¡get ¡together ¡= ¡throw ¡away ¡your ¡SOD ¡investments – Weak ¡passwords ¡(99% ¡of ¡the ¡case) ¡= ¡throw ¡away ¡your ¡SOD ¡investments ¡ • Intrusion ¡preven.on ¡is ¡s.ll ¡a ¡baby – How ¡many ¡signatures ¡does ¡your ¡expensive ¡IDP ¡have ¡for ¡business ¡apps? • Risks ¡are ¡underes.mated/general ¡IT ¡Security ¡efforts ¡are ¡typically ¡ unbalanced ¡at ¡companies – How ¡many ¡Global ¡500s ¡are ¡running ¡SAP ¡for ¡the ¡core ¡business? – How ¡many ¡people ¡from ¡their ¡IT ¡Security ¡teams ¡have ¡SAP ¡security ¡skills? • Unlike ¡e.g ¡Ac.ve ¡Directory, ¡SAP ¡systems ¡belong ¡to ¡the ¡business, ¡not ¡the ¡IT • ¡Security ¡departments ¡usually ¡fail ¡when ¡they ¡are ¡challenged – Either ¡missing ¡skills ¡or ¡“ This ¡a'ack ¡is ¡too ¡sophis-cated, ¡nobody ¡can ¡do ¡it ” ¡response ¡ Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 8

  9. SAP: ¡Simplified ¡Connec.on ¡Overview DIAG ¡Protocol: ¡GUI ¡users ¡ • TCP ¡3200-­‑3299 – RFC ¡Protocol: ¡Service ¡users ¡ • TCP ¡3300-­‑3399 – RFC ¡Protocol ¡over ¡SOAP: ¡Service ¡Users • TCP ¡8000-­‑8099 ¡(Usually) – Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 9

  10. SAP ¡Load ¡Balancer • “Message ¡Server” • If ¡not ¡properly ¡configured, ¡ an ¡a>acker ¡can ¡register ¡its ¡ own ¡servers ¡[top ¡pic ¡-­‑ ¡PoC] • Can ¡fake ¡the ¡clients, ¡MITM ¡ or ¡more – Implement ¡ms/acl_info ¡access ¡ control ¡to ¡protect ¡it! Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 10

  11. SAP ¡Applica.on ¡Server • Real ¡name ¡the ¡“Gateway” • Built-­‑in ¡remote ¡shell ¡func.onality ¡via ¡RFC – Good ¡for ¡remote ¡administra.on ¡without ¡authen.ca.on – Supports ¡all ¡opera.ng ¡systems ¡(AIX, ¡HP-­‑UX, ¡Z/OS, ¡Win...) – Can ¡be ¡restricted ¡via ¡secinfo ¡ACL ¡configura.on ¡ – Mariano ¡men.oned ¡this ¡at ¡BH ¡in ¡2007 • Secinfo/reginfo ¡can ¡be ¡bypassed ¡with ¡ease – Make ¡sure ¡you ¡apply ¡the ¡latest ¡kernel ¡security ¡patches ¡and ¡ you ¡have ¡a ¡restric.ve ¡secinfo/reginfo ¡configura.on! Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 11

  12. DEMO: ¡Remote ¡Shell IP: 5.5.5.7 our application we attack here talks RFC Ertunga ¡Arsal ¡-­‑ ¡Rootkits ¡and ¡Trojans ¡on ¡your ¡SAP ¡Landscape ¡ 12

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

HOST Hardware Trojans I ECE 525 Hardware Trojans (HT) What is a hardware Trojan? A deliberate

HOST Hardware Trojans I ECE 525 Hardware Trojans (HT) What is a hardware Trojan? A deliberate

HOST Hardware Trojans I ECE 525 Hardware Trojans (HT) What is a hardware Trojan? A deliberate and malicious change to an IC that adds or removes functionality or reduces reliability The modifications may be designed to leak sensitive

394 views • 23 slides
Linux rootkits & TTY Hijacking Antonio Prez Prez <antonio.perez.perez@cern.ch> CERN

Linux rootkits & TTY Hijacking Antonio Prez Prez <antonio.perez.perez@cern.ch> CERN

Linux rootkits & TTY Hijacking Antonio Prez Prez <antonio.perez.perez@cern.ch> CERN Computer Security Team EGI Technical Forum 2011, Lyon, France Outline Rootkits: Introduction Linux rootkits History Detection and monitoring

423 views • 26 slides
Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Dealing with Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com Utrecht, 19 March 2016 Agenda Today 1. How do they get in 2. Why? 3. Malware types 4. In-depth: rootkits 5. Defenses 2

546 views • 35 slides
Detecting Hardware Trojans: A Tale of Two Techniques Sharad Malik sharad@princeton.edu FMCAD

Detecting Hardware Trojans: A Tale of Two Techniques Sharad Malik sharad@princeton.edu FMCAD

Detecting Hardware Trojans: A Tale of Two Techniques Sharad Malik sharad@princeton.edu FMCAD 2015 Hardware Security and Hardware Trojans User apps Each layer trusts all layers below it Kernel Hypervisor More privilege Widely

706 views • 49 slides
Demystifying Modern Windows Rootkits Bill Demirkapi Independent Security Researcher

Demystifying Modern Windows Rootkits Bill Demirkapi Independent Security Researcher

Demystifying Modern Windows Rootkits Bill Demirkapi Independent Security Researcher Demystifying Modern Windows Rootkits Black Hat USA 2020 1 Who Am I? 18 years old Sophomore at the Rochester Institute of Technology Windows

847 views • 73 slides
CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4 Viruses, Worms, Trojans, Rootkits Malware = Malicious Software can be classified into several categories, depending on propagation and concealment

472 views • 46 slides
DISTROY: Detec-ng IC Trojans with Compressive Measurements

DISTROY: Detec-ng IC Trojans with Compressive Measurements

DISTROY: Detec-ng IC Trojans with Compressive Measurements Youngjune Gwon, H. T. Kung, and Dario Vlah Harvard University August 9, 2011 Understanding

415 views • 17 slides
Mobile Malware: Why the traditional AV paradigm is doomed, and how to use physics to detect

Mobile Malware: Why the traditional AV paradigm is doomed, and how to use physics to detect

Mobile Malware: Why the traditional AV paradigm is doomed, and how to use physics to detect physics to detect undesirable routines Guy Stewart VP Engineering Fatskunk Inc. The Malware Problem The Malware Problem Trojans, Rootkits, the

454 views • 18 slides
Hardware Trojans: A Threat for CyberSecurity Julien Francq julien.francq@cassidian.com

Hardware Trojans: A Threat for CyberSecurity Julien Francq julien.francq@cassidian.com

Hardware Trojans: A Threat for CyberSecurity Julien Francq julien.francq@cassidian.com Cassidian CyberSecurity 2013, July the 8th Introduction to Hardware Trojans Hardware Trojan Taxonomy HT Detection Methods Design for Hardware Trust

1.57k views • 74 slides
-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too seriously, I fuzz the Human brain! The capitalist "pig" degrees: Economics & MBA. Worked for the evil banking system! Security

833 views • 80 slides
-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who Am I Hold two degrees nobody likes these days: Economics & MBA. Ex-hacker for .pt banking system (www.sibs.pt). Security

1.16k views • 91 slides
Malware Reading Material Ken Thompson and Trojans

Malware Reading Material Ken Thompson and Trojans

Malware Reading Material Ken Thompson and Trojans h6p://www.ece.cmu.edu/~ganger/712.fall02/ papers/p761-thompson.pdf Worm Anatomy and Model

1.65k views • 130 slides
$ Circumventing Forensic Live-acquisition Tools > Rootkits for

$ Circumventing Forensic Live-acquisition Tools > Rootkits for

$ Circumventing Forensic Live-acquisition Tools > Rootkits for dubious defensive purposes > Yonne de Bruijn (yonne.debruijn@os3.nl) Digital Forensics $ retrieve

304 views • 27 slides
Kernel Rootkits Don Porter Motivation (bad guys) Why take over a computer system? To

Kernel Rootkits Don Porter Motivation (bad guys) Why take over a computer system? To

Kernel Rootkits Don Porter Motivation (bad guys) Why take over a computer system? To get it to do (potentially illicit) work for you for free! E.g., send spam Stages of an attack Get on the system Get administrator

449 views • 16 slides
Malware: Viruses, Worms, Rootkits, Botnets Spring 2015

Malware: Viruses, Worms, Rootkits, Botnets Spring 2015

CSE 484 / CSE M 584: Computer Security and Privacy Malware: Viruses, Worms, Rootkits, Botnets Spring 2015 Franziska (Franzi) Roesner

403 views • 37 slides
How to Attack the IoT with Hardware Trojans Janet Lackey under CC license hardwear.io Den Haag,

How to Attack the IoT with Hardware Trojans Janet Lackey under CC license hardwear.io Den Haag,

How to Attack the IoT with Hardware Trojans Janet Lackey under CC license hardwear.io Den Haag, September 22, 2017 Christof Paar Ruhr Universitt Bochum & University of Massachusetts Amherst Acknowledgement Georg Becker Pawel

616 views • 40 slides
Baumgartner, POLI 203 Spring 2016 RJA 1: the 2009 Law Reading: RJA 2009, 11, 15 March 7,

Baumgartner, POLI 203 Spring 2016 RJA 1: the 2009 Law Reading: RJA 2009, 11, 15 March 7,

Baumgartner, POLI 203 Spring 2016 RJA 1: the 2009 Law Reading: RJA 2009, 11, 15 March 7, 2016 Catching Up Last few slides we did not get to from last Wed. Talk this evening: see class web page for 20 minute radio interview with

619 views • 22 slides
London Borough of Sutton Pension Fund Page 11 Actuarial valuation as at 31 March 2019 Agenda

London Borough of Sutton Pension Fund Page 11 Actuarial valuation as at 31 March 2019 Agenda

London Borough of Sutton Pension Fund Page 11 Actuarial valuation as at 31 March 2019 Agenda Item 5 Melanie Durrant, Associate & Actuary Julie Baillie, Actuary 4 June 2019 Agenda Item 5 Agenda Actuarial valuations background

649 views • 30 slides
MAY 2020 RUP - TSXV CAUTIONARY RY STATEMENT Cautionary Note Regarding Forward-Looking

MAY 2020 RUP - TSXV CAUTIONARY RY STATEMENT Cautionary Note Regarding Forward-Looking

Tar argetin ing multi-milli llion ou ounce gol old dis iscoverie ies in in clo close proximity to o a a 10 100% 0% owned permitted mill ill in in Northern Fin Finla land MAY 2020 RUP - TSXV CAUTIONARY RY STATEMENT Cautionary

456 views • 18 slides
Reinforcement Learning: A Tutorial Satinder Singh Computer Science & Engineering University

Reinforcement Learning: A Tutorial Satinder Singh Computer Science & Engineering University

Reinforcement Learning: A Tutorial Satinder Singh Computer Science & Engineering University of Michigan, Ann Arbor with special thanks to Rich Sutton , Michael Kearns, Andy Barto, Michael Littman, Doina Precup, Peter Stone, Andrew Ng,...

2.15k views • 197 slides
The 10,000 Hours Rule Learning Proficiency to Play Games with AI Shane M. Conway @statalgo,

The 10,000 Hours Rule Learning Proficiency to Play Games with AI Shane M. Conway @statalgo,

The 10,000 Hours Rule Learning Proficiency to Play Games with AI Shane M. Conway @statalgo, smc77@columbia.edu I think we should be very careful about artificial intelligence. If I had to guess at what our biggest existential threat is,

840 views • 68 slides
Encoding and decoding neural information Encoding : building functional models of neurons/neural

Encoding and decoding neural information Encoding : building functional models of neurons/neural

CSE/NB 528 Final Lecture: All Good Things Must CSE/NB 528: Final Lecture 1 Course Summary Where have we been? Course Highlights Where do we go from here? Challenges and Open Problems Further Reading CSE/NB 528: Final

423 views • 18 slides
Reinforcement Learning Algorithms A. LAZARIC ( SequeL Team @INRIA-Lille ) ENS Cachan - Master 2

Reinforcement Learning Algorithms A. LAZARIC ( SequeL Team @INRIA-Lille ) ENS Cachan - Master 2

Reinforcement Learning Algorithms A. LAZARIC ( SequeL Team @INRIA-Lille ) ENS Cachan - Master 2 MVA SequeL INRIA Lille MVA-RL Course In This Lecture How do we solve an MDP online? RL Algorithms A. LAZARIC Reinforcement Learning

1.09k views • 76 slides
Manufactured Housing Communities This is a trailer park Trailer Park by Sutton, Berens

Manufactured Housing Communities This is a trailer park Trailer Park by Sutton, Berens

Strategies for Preserving and Strengthening Manufactured Housing Communities This is a trailer park Trailer Park by Sutton, Berens and Culler, toured urban neighborhoods in the Summer of 2003. 2 This is multi-family housing!

681 views • 10 slides

More recommend