研究人員揭露了一個獨特的概念證明型漏洞利用，被稱為“Project Mayhem”，該漏洞利用展示了攻擊者如何操縱企業財務會計系統以及竊取公司資金，而同時保持這種非法交易不被傳統網絡防御發現。

這個攻擊是專為微軟Dynamics Great Plains（GP）會計平臺而設計的，它主要針對幾個方面的應用，從后端配置到用戶界面。利用該漏洞，攻擊者可以添加和刪除數據庫條目，將資金轉移到他們所選擇的賬戶，包括攻擊者為轉移資金新開的賬戶。該漏洞利用可用于攻擊中小企業使用的主要系統之一，但在理論上它與一些類似應用相關。

安全供應商SecureState公司顧問Spencer McIntyre發現了這個攻擊，而在其同事Tom Eston 和Brett Kimmell撰寫的白皮書“金錢為王：誰戴著你的冠冕？（Cash is King: Who’s Wearing Your Crown?）”中也描述了該漏洞利用，他們還于12月6日在阿布扎比的黑帽安全會議上展示了這個漏洞利用。

SecureState公司分析和滲透團隊經理Eston表示：“理論上，你可以創建類似的惡意軟件來針對任何會計系統，包括Oracle Financial或者SAP。通過我們的研究，我們發現目前還沒有開發出類似Mayhem的漏洞利用來針對會計系統進行詐騙。”

這個攻擊通過注入惡意DLL到目標進程（它有代碼來替換作為已安裝的鉤子）來滲透到應用，這些鉤子是消息處理機制，允許應用安裝子程序和監控操作系統消息來響應請求。該漏洞使用這些鉤子來攔截來自該應用的行動，然后允許攻擊者通過直接發送SQL命令到數據庫來操縱數據，數據庫會將攻擊者認為是授權用戶而作出響應，而檢測欺詐活動的防御功能則失去作用。

McIntyre表示：“從本質上講，我們要做的是當應用做別的事情時，使用流行的惡意軟件技術來強制應用做一些我們需要它做的事情。這給了我們控制該應用的能力，但從技術方面來看，執行非常復雜。”因為Mayhem惡意軟件使用進程鉤子，執行這種攻擊的必要條件是企業在網絡上安裝了GP。當用戶正常運行GP應用時，惡意軟件會攔截該應用發起的進程。

該公司開發這個Mayhem漏洞利用代碼并不是為了演示攻擊者如何獲取對受保護系統的訪問權限，而是為了說明已經滲透入網絡的攻擊者可以在很長一段時間內不被發現，同時保持活躍和執行攻擊活動。“我們之所以選擇這種操作方法是因為我們想要將重點放在最糟糕的情況上，這不是攻擊媒介，而是攻擊者以何種方式維持其對系統的訪問。這也是為什么我們的概念證明型代碼并不能獲取訪問權限，”McIntyre解釋說，“目前，我們的代碼還沒有完全變成武器，我們的目標是說明攻擊者能夠保持訪問的可能性。”

對于這種技術，目標企業的最大風險是，攻擊者可以在很長一段時間內通過操縱會計記錄來挪走資金，而不是砸窗戶搶劫式的攻擊，要知道，后者更容易被發現和追蹤。Eston表示：“這正是這種攻擊的巧妙之處，從技術的角度來看，你非常難以檢測到這種攻擊。這也是我們專注于非技術性會計控制的主要原因。你可以將這種攻擊對比過去客戶關注的銀行木馬，從用戶的角度來看，那種木馬也非常難以對付。我們已經將這一概念引入到會計行業，主要針對以前沒有受到惡意軟件攻擊的系統。”

Project Mayhem研究的主要方面是，該團隊希望揭露執行會計欺詐所需要的技術元素，使企業有機會審查其非技術性的會計控制以抵御欺詐。研究人員指出，只有通過人工審核，才能檢測出這種類型的攻擊。Eston說：“我們展示了不同類型的欺詐行為，包括通過SQL服務器直接操縱數據庫表，或者通過使用Mayhem惡意軟件，現在這種欺詐活動更容易執行。我們希望我們的研究能夠推動業界進一步討論如何保護敏感的財務系統（例如微軟的Dynamics GP等）。”