Infostealer: Stille Diebe, die SAP-Anwendungen gefährden

Von:

6. August 2024

In der heutigen digitalen Welt sind unsere persönlichen Daten ein wertvolles Gut. Leider lauern im Internet böswillige Akteure, die darauf warten, diese Daten mithilfe einer Art von Malware namens „Infostealer“ zu stehlen. Diese Programme arbeiten unbemerkt im Hintergrund und entwenden sensible Informationen, ohne dass Sie es überhaupt bemerken. In diesem Artikel gehen wir auf die Gefahren von Infostealern ein, erläutern, inwiefern diese Bedrohung für SAP-Anwendungen relevant ist, und erklären, warum es entscheidend ist, sich ihrer bewusst zu sein. 

Für diejenigen unter euch, die sich mit dem Thema noch nicht so gut auskennen, fangen wir mit den Grundlagen an:

Auf welche Informationen haben es Infostealer abgesehen?

Stellen Sie sich einen digitalen Taschendieb vor – genau das ist im Grunde ein Infostealer. Er hat es auf eine Vielzahl sensibler Daten abgesehen, darunter:

  • Anmeldedaten: Benutzernamen und Passwörter für E-Mail-Konten, Social-Media-Plattformen, Online-Banking-Portale und sogar Online-Spiele sind besonders gefährdet.
  • Finanzdaten: Kreditkartennummern, Bankkontodaten und andere Finanzdaten können gestohlen werden, um betrügerische Einkäufe zu tätigen oder Ihre Konten zu plündern.
  • Persönliche Daten: Datendiebe können Ihren Namen, Ihre Adresse, Ihre Telefonnummer und sogar Ihre Sozialversicherungsnummer abgreifen, wodurch Ihre Identität dem Risiko eines Identitätsdiebstahls ausgesetzt ist.
  • Kryptowährungs-Wallets: Mit dem Aufkommen von Kryptowährungen werden auch digitale Wallets, die wertvolle Vermögenswerte enthalten, zur Zielscheibe von Datendieben.

Wie funktionieren Infostealer?

Datendiebe nutzen verschiedene technische Methoden, um Daten zu stehlen:

  • Formular-Sniffer: Diese bösartigen Skripte schleusen sich in Webformulare ein und erfassen Ihre Anmeldedaten, während Sie diese eingeben.
  • Browser-Hooks: Infostealer können sich in Ihren Browser „einklinken“, Ihre Aktivitäten überwachen und alle Anmeldedaten stehlen, die Sie auf verschiedenen Websites eingeben.
  • Credential Sniffing: Sie können Datenpakete abfangen, die zwischen Ihrem Gerät und Websites übertragen werden, und so möglicherweise unverschlüsselte Anmeldedaten erfassen.
  • Scannen lokaler Dateien: Manche Datendiebe durchsuchen Ihr Gerät nach gespeicherten Anmeldedaten, Cookies und anderen sensiblen Dateien, die wertvolle Informationen enthalten könnten.

Täuschende Zustellung: Wie sich Infostealer verbreiten

Datendiebe tarnen sich oft geschickt als legitime Software, was sie besonders gefährlich macht. Hier sind einige gängige Methoden, mit denen sie in Ihr Gerät eindringen:

  • Spiel-Cheats und Cracks: Kostenlose Hacks oder Cracks, die einen Vorteil in Online-Spielen versprechen, können Datendiebe enthalten, die deine Anmeldedaten für die platform – schlimmer noch – dein gesamtes System stehlen.
  • Phishing-E-Mails: Betrügerische E-Mails, die so gestaltet sind, dass sie den Anschein erwecken, von vertrauenswürdigen Absendern wie Banken oder Softwareunternehmen zu stammen, können Links enthalten, über die beim Anklicken Daten stehlende Programme heruntergeladen werden. Seien Sie vorsichtig bei E-Mails, in denen Sie dazu aufgefordert werden, auf verdächtige Links zu klicken oder Anhänge herunterzuladen.
  • Falsche Software-Downloads: Online beworbene kostenlose Software-Downloads, insbesondere aus nicht vertrauenswürdigen Quellen, können Datendiebe enthalten. Laden Sie Software stets von offiziellen Websites und seriösen Anbietern herunter.
  • Schädliche Werbung: Selbst scheinbar harmlose Online-Anzeigen können Datendiebe verbergen. Klicken Sie nicht auf verdächtige Anzeigen, insbesondere nicht auf solche, die übertriebene Versprechungen machen oder zu gut erscheinen, um wahr zu sein.

Praxisbeispiel: Der Fall der bösartigen Anwendung

Stellen Sie sich vor, Sie sind Entwickler und suchen nach einer Produktivitäts-App, um Ihre Leistung zu steigern. Auf einer Website eines Drittanbieters stoßen Sie auf eine kostenlose Desktop-Anwendung, die verspricht, Ihnen bei der Verwaltung Ihrer Ressourcen und der Steigerung Ihrer Produktivität zu helfen. Diese scheinbar hilfreiche App ist jedoch in Wirklichkeit ein getarnter Infostealer. Nach dem Herunterladen läuft die App unauffällig im Hintergrund und erfasst Ihre Anmeldedaten für alle Anwendungen und Konten, die Sie auf Ihrem Smartphone nutzen. Mit Ihren gestohlenen Zugangsdaten können Angreifer Ihre Konten kapern, Ihre Daten stehlen oder sogar Ihre Zugangsdaten nutzen, um auf andere Konten zuzugreifen, die mit derselben E-Mail-Adresse verknüpft sind. Dies gilt nicht nur für private Konten, sondern auch für Arbeitsumgebungen, in denen diese unsichere Aktion auf dem Arbeitscomputer oder sogar auf einem privaten Computer durchgeführt wird, der häufig zum Öffnen von Arbeitsanwendungen genutzt wird.

Warum es wichtig ist, gegen Datendiebe vorzugehen

Datendiebe stellen eine erhebliche Bedrohung dar, da kompromittierte Zugangsdaten eine Kettenreaktion von Sicherheitsproblemen auslösen können. Gestohlene Zugangsdaten können dazu verwendet werden, um:

  • Hacker kapern Ihre Konten: Angreifer können Ihre gestohlenen Zugangsdaten nutzen, um Zugriff auf Ihre E-Mail-Konten, Bankkonten, Social-Media-Profile und andere Online-Konten zu erlangen.
  • Identitätsdiebstahl begehen: Gestohlene personenbezogene Daten können dazu verwendet werden, zu betrügerischen Zwecken falsche Identitäten zu erstellen, was für das Opfer erhebliche finanzielle und rechtliche Probleme nach sich zieht.
  • Verkaufen Sie Ihre Daten im Dark Web: Die gestohlenen Daten können auf illegalen Marktplätzen verkauft werden, was weitere Cyberkriminalität begünstigt.

Die CISA hat mehrfach Warnmeldungen veröffentlicht, in denen sie darauf hinwies, wie wichtig es ist, Systeme vor InfoStealern im Allgemeinen sowie vor bestimmten Varianten wie ICONICSTEALER und LokiBot zu schützen.

Datendiebe und SAP-Anwendungen

InfoStealer stellen nicht unbedingt eine Bedrohung dar, die speziell auf SAP- oder ERP-Anwendungen abzielt, doch betreffen sie diese kritischen Ressourcen. Zugangsdaten und sensible Informationen, die von legitimen Benutzern gestohlen werden, können dazu missbraucht werden, sich unbefugten Zugriff auf geschäftskritische Anwendungen zu verschaffen. 

Wenn wir diese Situation anhand des MITRE ATT&CK-Frameworks analysieren wollen, dann nutzen Angreifer die Taktik„Credential Access“, um mehrere Anmeldedaten zu sammeln, die letztendlich für den Zugriff auf diese Anwendungen verwendet werden. Techniken wie T1555.003 (Anmeldedaten aus Passwort-Speichern: Anmeldedaten aus Webbrowsern) oder T1539 (Web-Session-Cookie stehlen) helfen böswilligen Akteuren dabei, diese Anmeldedaten und Sitzungen zu erlangen. Letztendlich werden diese Techniken von denselben oder anderen Akteuren als Teil der„Initial Access“-Taktik genutzt, um sich mittels der Technik T1078 (Gültige Konten) bei Anwendungen anzumelden, die sensible Informationen enthalten und für Finanzbetrug missbraucht werden können.

Um diese Bedrohung zu quantifizieren, Onapsis Research Labs die Onapsis Research Labs einen Datensatz Onapsis Research Labs , der von Forschern des Sicherheitsunternehmens Cinta Infinita zusammengestellt wurde. Cinta Infinita überwacht und erfasst kompromittierte Zugangsdaten, die von Infostealern gestohlen und anschließend in verschiedenen Telegram-Foren weitergegeben werden. 

Durch die Analyse der Rohdaten konnten Anmeldedaten extrahiert werden, die auf Anwendungen hinweisen, die auf SAP-Technologie basieren. Die Daten geben Aufschluss über URLs und deren Komponenten, die mit den gestohlenen Anmeldedaten in Verbindung stehen, wie im Folgenden für die entsprechenden URL-Pfade dargestellt: 

PfadBeschreibung
/ui5_ui5Anwendungen, die SAP OpenUI5 nutzen.
/webdynproAnwendungen, die die Web-Dynpro-Technologie von SAP nutzen.
/sap/bcAnwendungen, die auf SAP ABAP laufen und Teil der SAP-Basis-Komponenten im SAP ICM sind.
/irj/portalPfad zur Anwendung „SAP Enterprise Portal“
/its/webguiPfad zur SAP-WebGui-Anwendung, die über den Browser uneingeschränkten Zugriff auf SAP-ABAP-basierte Funktionen ermöglicht.

Bei der Durchsicht aller Zugangsdaten konnten etwa 1,2 Millionen Zugangsdaten extrahiert werden, die mit den zuvor aufgeführten Pfaden übereinstimmten. Das bedeutet, dass von den Zugangsdaten, die von InfoStealern erfasst und in kriminellen Foren sowie Telegram-Gruppen geteilt wurden, 1,2 Millionen zu SAP-Anwendungen gehören. Lassen Sie uns nun diese Zugangsdaten analysieren, um konkrete Fälle zu identifizieren, die aus Sicherheitssicht von besonderer Relevanz sind:

Anzahl der ZugangsdatenBeschreibung
4700+Anmeldedaten für den Zugriff auf die SAP-WebGUI, mit denen sensible Aktionen in SAP-ABAP-basierten Anwendungen durchgeführt werden könnten
450+Anmeldedaten für den Benutzer„Administrator“, der möglicherweise zu einem Benutzer mit hohen Berechtigungen in JAVA-Systemen gehört
250+Anmeldedaten, die das Wort„basis“enthalten, was möglicherweise auf Konten mit hohen Berechtigungen und/oder generische Konten hindeutet.
150+Anmeldedaten für den Zugriff auf die UmeAdminApp, die möglicherweise auf Benutzer mit hohen Berechtigungen in JAVA-Systemen hinweisen
20+Anmeldedaten für den Benutzer SAP*, der als Superuser für SAP-ABAP-basierte Anwendungen fungiert.

Darüber hinaus lassen sich die Domains und URLs aus dem Datensatz untersuchen, wobei sich folgende Zusammenhänge erkennen lassen: 

Anzahl der DomainsBeschreibung
13.000+Domains, die den Pfad /irj/portal enthalten, was auf SAP-Enterprise-Portal-Anwendungen hinweist.
6300+Domains, die den Pfad „fiorilaunchpad“ enthalten, was auf SAP-Fiori-Anwendungen hinweist.
2300+Domains, deren DNS-Name die Endung „.gov“ enthält, was darauf hindeuten könnte, dass SAP-Anwendungen von staatlichen Organisationen genutzt werden.
400+Domains, die das Wort „solman“ enthalten und möglicherweise auf Solution Manager hinweisen
25Domains, deren DNS-Name die Endung „.mil“ enthält, was möglicherweise darauf hindeutet, dass SAP-Anwendungen militärische Organisationen unterstützen.

Diese Daten deuten darauf hin, dass InfoStealer dazu genutzt werden können, um weltweit und unabhängig von der Art der Organisation Zugriff auf wichtige Benutzer und kritische Anwendungen zu erlangen.

Maßnahmen gegen die Bedrohung durch InfoStealer

Es gibt drei wichtige Strategien zur Bekämpfung der Bedrohung durch InfoStealer: 

So verhindern Sie die Ausführung von InfoStealern: Zuallererst ist es am besten, eine anfängliche Kompromittierung von vornherein zu verhindern, um jegliche Auswirkungen durch InfoStealer zu vermeiden. Dies erreichen Sie, indem Sie sich über die Bedrohung durch InfoStealer informieren und sichere Online-Gewohnheiten pflegen, da Sie so das Risiko, Opfer dieser heimlichen Diebe zu werden, erheblich verringern können. Hier sind einige Tipps, um sicher zu bleiben:

  • Seien Sie vorsichtig beim Herunterladen: Laden Sie Software nur von offiziellen Quellen und seriösen Anbietern herunter.
  • Vorsicht vor Phishing-E-Mails: Klicken Sie nicht auf verdächtige Links oder Anhänge in E-Mails, auch wenn diese scheinbar von seriösen Absendern stammen.

Verbesserung des Benutzerzugriffs: Zweitens ist es wichtig, Konten zu schützen, damit Unternehmen selbst im Falle einer Kompromittierung von Anmeldedaten verhindern können, dass diese missbraucht werden:

  • Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA): Die MFA bietet zusätzlichen Schutz für Ihre Online-Konten und erschwert es Angreifern, Zugriff zu erlangen, selbst wenn sie Ihr Passwort stehlen.
  • Verwenden Sie sichere und einzigartige Passwörter: Die Verwendung sicherer Passwörter wird grundsätzlich empfohlen, doch InfoStealer können Zugangsdaten unabhängig von deren Komplexität abgreifen. In diesem Fall ist die Verwendung einzigartiger Passwörter für verschiedene Konten eine sinnvolle Sicherheitsmaßnahme, da dadurch verhindert wird, dass sich Angreifer mithilfe desselben Passworts über verschiedene Konten hinweg weiter ausbreiten können.

Überwachung des Benutzerzugriffs: Drittens ist es wichtig, Konten zu überwachen – sowohl diejenigen, die aus Sicherheitssicht kritisch sind, als auch alle anderen Endbenutzerkonten –, um nach ungewöhnlichem Verhalten Ausschau zu halten, das auf eine Kompromittierung der Anmeldedaten hindeuten könnte.

Überwachen Sie kritische Vorgänge: SAP Applications bietet eine Vielzahl von Schnittstellen und Mechanismen zur Durchführung kritischer Aktionen. Stellen Sie sicher, dass Sie Einblick in die kritischen Aktionen haben, die im System ausgeführt werden. Änderungen an der Systemkonfiguration und den Benutzerberechtigungen sind nur ein Beispiel für solche Vorgänge.

Benutzerkonten überwachen: Implementieren Sie eine Überwachung für Benutzer, einschließlich der Benutzeranmeldung und der Benutzeraktionen. Implementieren Sie die Erkennung ungewöhnlicher Benutzeraktivitäten. Stellen Sie sicher, dass dies sowohl für Benutzer kritischer Dienste als auch für Standardkonten umgesetzt wird.

Stichworte, , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen