研究人員揭露了一個(gè)獨(dú)特的概念證明型漏洞利用，被稱為“Project Mayhem”，該漏洞利用展示了攻擊者如何操縱企業(yè)財(cái)務(wù)會(huì)計(jì)系統(tǒng)以及竊取公司資金，而同時(shí)保持這種非法交易不被傳統(tǒng)網(wǎng)絡(luò)防御發(fā)現(xiàn)。

這個(gè)攻擊是專為微軟Dynamics Great Plains（GP）會(huì)計(jì)平臺(tái)而設(shè)計(jì)的，它主要針對幾個(gè)方面的應(yīng)用，從后端配置到用戶界面。利用該漏洞，攻擊者可以添加和刪除數(shù)據(jù)庫條目，將資金轉(zhuǎn)移到他們所選擇的賬戶，包括攻擊者為轉(zhuǎn)移資金新開的賬戶。該漏洞利用可用于攻擊中小企業(yè)使用的主要系統(tǒng)之一，但在理論上它與一些類似應(yīng)用相關(guān)。

安全供應(yīng)商SecureState公司顧問Spencer McIntyre發(fā)現(xiàn)了這個(gè)攻擊，而在其同事Tom Eston 和Brett Kimmell撰寫的白皮書“金錢為王：誰戴著你的冠冕？（Cash is King: Who’s Wearing Your Crown?）”中也描述了該漏洞利用，他們還于12月6日在阿布扎比的黑帽安全會(huì)議上展示了這個(gè)漏洞利用。

SecureState公司分析和滲透團(tuán)隊(duì)經(jīng)理Eston表示：“理論上，你可以創(chuàng)建類似的惡意軟件來針對任何會(huì)計(jì)系統(tǒng)，包括Oracle Financial或者SAP。通過我們的研究，我們發(fā)現(xiàn)目前還沒有開發(fā)出類似Mayhem的漏洞利用來針對會(huì)計(jì)系統(tǒng)進(jìn)行詐騙。”

這個(gè)攻擊通過注入惡意DLL到目標(biāo)進(jìn)程（它有代碼來替換作為已安裝的鉤子）來滲透到應(yīng)用，這些鉤子是消息處理機(jī)制，允許應(yīng)用安裝子程序和監(jiān)控操作系統(tǒng)消息來響應(yīng)請求。該漏洞使用這些鉤子來攔截來自該應(yīng)用的行動(dòng)，然后允許攻擊者通過直接發(fā)送SQL命令到數(shù)據(jù)庫來操縱數(shù)據(jù)，數(shù)據(jù)庫會(huì)將攻擊者認(rèn)為是授權(quán)用戶而作出響應(yīng)，而檢測欺詐活動(dòng)的防御功能則失去作用。

McIntyre表示：“從本質(zhì)上講，我們要做的是當(dāng)應(yīng)用做別的事情時(shí)，使用流行的惡意軟件技術(shù)來強(qiáng)制應(yīng)用做一些我們需要它做的事情。這給了我們控制該應(yīng)用的能力，但從技術(shù)方面來看，執(zhí)行非常復(fù)雜。”因?yàn)镸ayhem惡意軟件使用進(jìn)程鉤子，執(zhí)行這種攻擊的必要條件是企業(yè)在網(wǎng)絡(luò)上安裝了GP。當(dāng)用戶正常運(yùn)行GP應(yīng)用時(shí)，惡意軟件會(huì)攔截該應(yīng)用發(fā)起的進(jìn)程。

該公司開發(fā)這個(gè)Mayhem漏洞利用代碼并不是為了演示攻擊者如何獲取對受保護(hù)系統(tǒng)的訪問權(quán)限，而是為了說明已經(jīng)滲透入網(wǎng)絡(luò)的攻擊者可以在很長一段時(shí)間內(nèi)不被發(fā)現(xiàn)，同時(shí)保持活躍和執(zhí)行攻擊活動(dòng)。“我們之所以選擇這種操作方法是因?yàn)槲覀兿胍獙⒅攸c(diǎn)放在最糟糕的情況上，這不是攻擊媒介，而是攻擊者以何種方式維持其對系統(tǒng)的訪問。這也是為什么我們的概念證明型代碼并不能獲取訪問權(quán)限，”McIntyre解釋說，“目前，我們的代碼還沒有完全變成武器，我們的目標(biāo)是說明攻擊者能夠保持訪問的可能性。”

對于這種技術(shù)，目標(biāo)企業(yè)的最大風(fēng)險(xiǎn)是，攻擊者可以在很長一段時(shí)間內(nèi)通過操縱會(huì)計(jì)記錄來挪走資金，而不是砸窗戶搶劫式的攻擊，要知道，后者更容易被發(fā)現(xiàn)和追蹤。Eston表示：“這正是這種攻擊的巧妙之處，從技術(shù)的角度來看，你非常難以檢測到這種攻擊。這也是我們專注于非技術(shù)性會(huì)計(jì)控制的主要原因。你可以將這種攻擊對比過去客戶關(guān)注的銀行木馬，從用戶的角度來看，那種木馬也非常難以對付。我們已經(jīng)將這一概念引入到會(huì)計(jì)行業(yè)，主要針對以前沒有受到惡意軟件攻擊的系統(tǒng)。”

Project Mayhem研究的主要方面是，該團(tuán)隊(duì)希望揭露執(zhí)行會(huì)計(jì)欺詐所需要的技術(shù)元素，使企業(yè)有機(jī)會(huì)審查其非技術(shù)性的會(huì)計(jì)控制以抵御欺詐。研究人員指出，只有通過人工審核，才能檢測出這種類型的攻擊。Eston說：“我們展示了不同類型的欺詐行為，包括通過SQL服務(wù)器直接操縱數(shù)據(jù)庫表，或者通過使用Mayhem惡意軟件，現(xiàn)在這種欺詐活動(dòng)更容易執(zhí)行。我們希望我們的研究能夠推動(dòng)業(yè)界進(jìn)一步討論如何保護(hù)敏感的財(cái)務(wù)系統(tǒng)（例如微軟的Dynamics GP等）。”