研究人员揭露了一个独特的概念证明型漏洞利用,被称为“Project Mayhem”,该漏洞利用展示了攻击者如何操纵企业财务会计系统以及窃取公司资金,而同时保持这种非法交易不被传统网络防御发现。
这个攻击是专为微软Dynamics Great Plains(GP)会计平台而设计的,它主要针对几个方面的应用,从后端配置到用户界面。利用该漏洞,攻击者可以添加和删除数据库条目,将资金转移到他们所选择的账户,包括攻击者为转移资金新开的账户。该漏洞利用可用于攻击中小企业使用的主要系统之一,但在理论上它与一些类似应用相关。
安全供应商SecureState公司顾问Spencer McIntyre发现了这个攻击,而在其同事Tom Eston 和Brett Kimmell撰写的白皮书“金钱为王:谁戴着你的冠冕?(Cash is King: Who’s Wearing Your Crown?)”中也描述了该漏洞利用,他们还于12月6日在阿布扎比的黑帽安全会议上展示了这个漏洞利用。
SecureState公司分析和渗透团队经理Eston表示:“理论上,你可以创建类似的恶意软件来针对任何会计系统,包括Oracle Financial或者SAP。通过我们的研究,我们发现目前还没有开发出类似Mayhem的漏洞利用来针对会计系统进行诈骗。”
这个攻击通过注入恶意DLL到目标进程(它有代码来替换作为已安装的钩子)来渗透到应用,这些钩子是消息处理机制,允许应用安装子程序和监控操作系统消息来响应请求。该漏洞使用这些钩子来拦截来自该应用的行动,然后允许攻击者通过直接发送SQL命令到数据库来操纵数据,数据库会将攻击者认为是授权用户而作出响应,而检测欺诈活动的防御功能则失去作用。
McIntyre表示:“从本质上讲,我们要做的是当应用做别的事情时,使用流行的恶意软件技术来强制应用做一些我们需要它做的事情。这给了我们控制该应用的能力,但从技术方面来看,执行非常复杂。”因为Mayhem恶意软件使用进程钩子,执行这种攻击的必要条件是企业在网络上安装了GP。当用户正常运行GP应用时,恶意软件会拦截该应用发起的进程。
该公司开发这个Mayhem漏洞利用代码并不是为了演示攻击者如何获取对受保护系统的访问权限,而是为了说明已经渗透入网络的攻击者可以在很长一段时间内不被发现,同时保持活跃和执行攻击活动。“我们之所以选择这种操作方法是因为我们想要将重点放在最糟糕的情况上,这不是攻击媒介,而是攻击者以何种方式维持其对系统的访问。这也是为什么我们的概念证明型代码并不能获取访问权限,”McIntyre解释说,“目前,我们的代码还没有完全变成武器,我们的目标是说明攻击者能够保持访问的可能性。”
对于这种技术,目标企业的最大风险是,攻击者可以在很长一段时间内通过操纵会计记录来挪走资金,而不是砸窗户抢劫式的攻击,要知道,后者更容易被发现和追踪。Eston表示:“这正是这种攻击的巧妙之处,从技术的角度来看,你非常难以检测到这种攻击。这也是我们专注于非技术性会计控制的主要原因。你可以将这种攻击对比过去客户关注的银行木马,从用户的角度来看,那种木马也非常难以对付。我们已经将这一概念引入到会计行业,主要针对以前没有受到恶意软件攻击的系统。”
Project Mayhem研究的主要方面是,该团队希望揭露执行会计欺诈所需要的技术元素,使企业有机会审查其非技术性的会计控制以抵御欺诈。研究人员指出,只有通过人工审核,才能检测出这种类型的攻击。Eston说:“我们展示了不同类型的欺诈行为,包括通过SQL服务器直接操纵数据库表,或者通过使用Mayhem恶意软件,现在这种欺诈活动更容易执行。我们希望我们的研究能够推动业界进一步讨论如何保护敏感的财务系统(例如微软的Dynamics GP等)。”
