研究人員揭露了一個獨特的概念證明型漏洞利用，被稱為“Project Mayhem”，該漏洞利用展示了攻擊者如何操縱企業(yè)財務(wù)會計系統(tǒng)以及竊取公司資金，而同時保持這種非法交易不被傳統(tǒng)網(wǎng)絡(luò)防御發(fā)現(xiàn)。

這個攻擊是專為微軟Dynamics Great Plains（GP）會計平臺而設(shè)計的，它主要針對幾個方面的應(yīng)用，從后端配置到用戶界面。利用該漏洞，攻擊者可以添加和刪除數(shù)據(jù)庫條目，將資金轉(zhuǎn)移到他們所選擇的賬戶，包括攻擊者為轉(zhuǎn)移資金新開的賬戶。該漏洞利用可用于攻擊中小企業(yè)使用的主要系統(tǒng)之一，但在理論上它與一些類似應(yīng)用相關(guān)。

安全供應(yīng)商SecureState公司顧問Spencer McIntyre發(fā)現(xiàn)了這個攻擊，而在其同事Tom Eston 和Brett Kimmell撰寫的白皮書“金錢為王：誰戴著你的冠冕？（Cash is King: Who’s Wearing Your Crown?）”中也描述了該漏洞利用，他們還于12月6日在阿布扎比的黑帽安全會議上展示了這個漏洞利用。

SecureState公司分析和滲透團隊經(jīng)理Eston表示：“理論上，你可以創(chuàng)建類似的惡意軟件來針對任何會計系統(tǒng)，包括Oracle Financial或者SAP。通過我們的研究，我們發(fā)現(xiàn)目前還沒有開發(fā)出類似Mayhem的漏洞利用來針對會計系統(tǒng)進行詐騙。”

這個攻擊通過注入惡意DLL到目標進程（它有代碼來替換作為已安裝的鉤子）來滲透到應(yīng)用，這些鉤子是消息處理機制，允許應(yīng)用安裝子程序和監(jiān)控操作系統(tǒng)消息來響應(yīng)請求。該漏洞使用這些鉤子來攔截來自該應(yīng)用的行動，然后允許攻擊者通過直接發(fā)送SQL命令到數(shù)據(jù)庫來操縱數(shù)據(jù)，數(shù)據(jù)庫會將攻擊者認為是授權(quán)用戶而作出響應(yīng)，而檢測欺詐活動的防御功能則失去作用。

McIntyre表示：“從本質(zhì)上講，我們要做的是當(dāng)應(yīng)用做別的事情時，使用流行的惡意軟件技術(shù)來強制應(yīng)用做一些我們需要它做的事情。這給了我們控制該應(yīng)用的能力，但從技術(shù)方面來看，執(zhí)行非常復(fù)雜。”因為Mayhem惡意軟件使用進程鉤子，執(zhí)行這種攻擊的必要條件是企業(yè)在網(wǎng)絡(luò)上安裝了GP。當(dāng)用戶正常運行GP應(yīng)用時，惡意軟件會攔截該應(yīng)用發(fā)起的進程。

該公司開發(fā)這個Mayhem漏洞利用代碼并不是為了演示攻擊者如何獲取對受保護系統(tǒng)的訪問權(quán)限，而是為了說明已經(jīng)滲透入網(wǎng)絡(luò)的攻擊者可以在很長一段時間內(nèi)不被發(fā)現(xiàn)，同時保持活躍和執(zhí)行攻擊活動。“我們之所以選擇這種操作方法是因為我們想要將重點放在最糟糕的情況上，這不是攻擊媒介，而是攻擊者以何種方式維持其對系統(tǒng)的訪問。這也是為什么我們的概念證明型代碼并不能獲取訪問權(quán)限，”McIntyre解釋說，“目前，我們的代碼還沒有完全變成武器，我們的目標是說明攻擊者能夠保持訪問的可能性。”

對于這種技術(shù)，目標企業(yè)的最大風(fēng)險是，攻擊者可以在很長一段時間內(nèi)通過操縱會計記錄來挪走資金，而不是砸窗戶搶劫式的攻擊，要知道，后者更容易被發(fā)現(xiàn)和追蹤。Eston表示：“這正是這種攻擊的巧妙之處，從技術(shù)的角度來看，你非常難以檢測到這種攻擊。這也是我們專注于非技術(shù)性會計控制的主要原因。你可以將這種攻擊對比過去客戶關(guān)注的銀行木馬，從用戶的角度來看，那種木馬也非常難以對付。我們已經(jīng)將這一概念引入到會計行業(yè)，主要針對以前沒有受到惡意軟件攻擊的系統(tǒng)。”

Project Mayhem研究的主要方面是，該團隊希望揭露執(zhí)行會計欺詐所需要的技術(shù)元素，使企業(yè)有機會審查其非技術(shù)性的會計控制以抵御欺詐。研究人員指出，只有通過人工審核，才能檢測出這種類型的攻擊。Eston說：“我們展示了不同類型的欺詐行為，包括通過SQL服務(wù)器直接操縱數(shù)據(jù)庫表，或者通過使用Mayhem惡意軟件，現(xiàn)在這種欺詐活動更容易執(zhí)行。我們希望我們的研究能夠推動業(yè)界進一步討論如何保護敏感的財務(wù)系統(tǒng)（例如微軟的Dynamics GP等）。”