Projekt Mayhem zeigt Schwächen in Enterprise Accounting-Systeme

Das Exploit Projekt Mayhem kann die Systeme für Rechnungswesen in Unternehmen manipulieren.

Wissenschaftler haben es an den Tag gebracht: Im Rahmen einer Machbarkeitsstudie wurde mittels eines einzigartigen Exploits namens „Project Mayhem“ gezeigt, wie Hacker die Systeme für Rechnungswesen in Unternehmen manipulieren können. Es ist demnach möglich, Unternehmensmittel zu stehlen, ohne dass diese illegalen Transaktionen mittels traditioneller Abwehrmechanismen in Netzwerken erkannt werden können.

Unsere Forschung hat gezeigt, dass bislang noch nichts wie Mayhem entwickelt wurde, um Rechnungswesen-Systeme mit betrügerischen Absichten anzugreifen

Tom Eston, Manager Profiling- und Penetrationsteam, SecureState

Der Angriff war speziell auf die Accounting-Plattform Microsoft Dynamics Great Plains (GP) gerichtet, die an mehreren Fronten, von der Backend-Konfiguration bis hin zur Benutzeroberfläche, ins Visier genommen wurde. Ein Angreifer kann hier unter Ausnutzung des Exploits Datenbank-Einträge hinzufügen und löschen, um Überweisungen zu beliebigen Konten auszulösen. Zwar funktioniert dieser Exploit bislang erst auf einem der am meisten verbreiteten Systeme für kleine und mittelständische Unternehmen. Die Schwachstelle ist aber zumindest theoretisch für eine ganze Reihe ähnlicher Systeme genauso relevant.

Entwickelt wurde das Hacking-Werkzeug von Spencer McIntyre, Berater beim Sicherheitsanbieters SecureState. Im Whitepaper „Cash is King: Who’s Wearing Your Crown?”, geschrieben von seinen Kollegen Tom Eston und Brett Kimmell, wird der Exploit genauer erläutert. Eine Präsentation fand 6. Dezember in Abu Dhabi auf der Sicherheitskonferenz Black Hat statt.

„Theoretisch kann man vergleichbare Malware erstellen, um jedes beliebige Buchhaltungssystem – inklusive Oracle Financial oder auch SAP – anzugreifen. Unsere Forschung hat gezeigt, dass bislang noch nichts wie Mayhem entwickelt wurde, um Rechnungswesen-Systeme mit betrügerischen Absichten anzugreifen“, sagt Eston, Manager des Profiling- und Penetrationsteams von SecureState.

Der Angriff penetriert die Anwendung, indem eine bösartige DLL in den Zielprozess injiziert wird. Diese enthält Code, der Ersatz-Funktionen für die installierten Hooks bereitstellt. Hooks sind Mechanismen zur Verarbeitung von Meldungen. Sie erlauben Anwendungen das Installieren von Subroutinen und ein Überwachen von Betriebssystem-Meldungen im Hinblick darauf, ob die Queues antworten.

Der Exploit nutzt die Hooks zum Abfangen von Anwendungsaktionen. Dies erlaubt dem Angreifer im nächsten Schritt, Daten mithilfe von SQL-Anweisungen direkt auf Ebene der Datenbank zu manipulieren. Diese reagiert so, als würde es sich um einen autorisierten Benutzer handeln, was die Abwehr-Mechanismen des Systems zur Erkennung von Betrugsaktivitäten aushebelt.

Projekt Mayhem

Der Code des Mayhem-Exploits wurde weniger entwickelt, um aufzuzeigen, wie Angreifer einen Zugriff auf geschützte Systeme erlangen können. Eher ging es darum, zu illustrieren, wie ein Angreifer, der das Netzwerk bereits penetriert hat, dauerhaft aktiv bleiben und über einen langen Zeitraum unerkannt agieren kann.

„Grundsätzlich tun wir nichts anderes als eine populäre Malware-Technik anzuwenden. Wir zwingen die Anwendung zu etwas, das wir von ihr wollen, während sie denkt, sie täte etwas anderes. Das gibt uns enorme Macht über die betroffene Anwendung. Es ist allerdings technisch komplex, dies korrekt auszuführen“, sagte McIntyre.

Weil die Mayhem-Schadsoftware Process-Hooking anwendet, ist als Voraussetzung für den Angriff lediglich erforderlich, dass das Unternehmen GP innerhalb des Netzwerks installiert hat. Sobald ein Anwender die Anwendung ganz normal ausführt, kapert die Malware die Prozesse, die von der GP-Applikation schon initiiert wurden.

Der Code des Mayhem-Exploits wurde weniger entwickelt, um aufzuzeigen, wie Angreifer einen Zugriff auf geschützte Systeme erlangen können. Eher ging es darum, zu illustrieren, wie ein Angreifer, der das Netzwerk bereits penetriert hat, dauerhaft aktiv bleiben und über einen langen Zeitraum unerkannt agieren kann.

„Wir haben uns für diese Methode der Manipulation entschieden, weil wir uns auf ein Worst-Case-Szenario konzentrieren wollten. Dabei geht es weniger um den Angriffsvektor, sondern vielmehr um die Art und Weise, wie der Zugriff aufrecht erhalten werden kann. Deshalb ist der Code, den wir als Proof-of-Concept erstellt haben, auch nicht wirklich hilfreich, um den eigentlichen Zugriff zu erlangen“, erläutert McIntyre. „Wie es derzeit aussieht, ist unser Code jedoch im Hinblick auf sein Schadenspotenzial noch nicht ausgereizt. Unser Ziel bestand darin, das eigentliche Potenzial für den Angreifer aufzuzeigen – nämlich dauerhaften Zugriff zu behalten.“

Das größte Risiko besteht bei dieser Technik für das angegriffene Unternehmen darin, dass ein Angreifer durch Manipulation von Buchungssätzen über einen längeren Zeitraum Geld abzweigen kann. Es geht also weniger um eine Hauruck-Attacke, bei der einmalig eine große Summe erbeutet wird. Letzteres wäre wesentlich einfacher zu erkennen und lässt sich zudem nachverfolgen.

„Genau darin liegt der Reiz dieses Angriffs. Er ist aus einem technischen Blickwinkel heraus nur sehr schwer zu erkennen. Dies ist auch der wichtigste Grund, warum wir uns auf nicht-technische Kontrollmechanismen im Rechnungswesen konzentrieren. Sie können dies in etwa damit vergleichen, wie schwierig es früher war, Banking-Trojaner auf Seite des Kunden abzuwehren. Das haben wir auf die Welt des Rechnungswesens übertragen und greifen auf diese Weise nun Systeme an, die bislang von Schadsoftware verschont waren“, sagt Eston.

Ein wesentlicher Aspekt des Projekts Mayhem ist der Wunsch des Teams, die technischen Elemente offenzulegen, mit denen betrügerische Buchungen ausgeführt werden können. Die Sicherheitsforscher wollen Unternehmen die Möglichkeit geben, ihre nicht-technischen Kontroll-Mechanismen im Rechnungswesen auf den Prüfstand zu stellen. Ihr eigener Angriff sei ausschließlich durch manuelle Überprüfungen aufzuspüren.

„Wir stellen die verschiedenen Betrugsarten vor. Der Betrug kann entweder per direkter Manipulation der Datenbank-Tabellen mittels SQL Server oder durch Verwendung der Mayhem-Schadsoftware recht einfach begangen werden. Wir hoffen, dass unsere Untersuchung eine weiterführende Diskussion darüber auslöst, wie sensible Buchungssysteme wie Microsoft Dynamics GP und andere geschützt werden können“, erklärt Eston.

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close