Banken hebben het advies gekregen om tools zoals cmd, PowerShell en vssadmin te blokkeren, aangezien aanvallers hier misbruik van kunnen maken, zo stelt securitybedrijf BAE Systems. Aanleiding voor het advies is de recente hack van de Taiwanese bank Far Eastern. Door spearphishingmails te versturen die naar malware wezen wisten aanvallers het banknetwerk te compromitteren.
Vervolgens maakten de aanvallers via de banksystemen bijna 60 miljoen dollar over naar rekeningen in Sri Lanka, Cambodja en de Verenigde Staten, hoewel het grootste deel alweer terug is gehaald. Op het moment van de malafide transacties werd een variant van de Hermes-ransomware op de besmette computers uitgevoerd, om zo het bankpersoneel af te leiden. Hierbij werd onder andere de tool vssadmin.exe gebruikt om Volume Shadow Copies, een soort van back-ups, te verwijderen.
In een analyse van de aanval kijkt BAE Systems naar de gebruikte malware en doet verschillende aanbevelingen. Zo wordt geadviseerd om smb (poort 445) voor interne computers af te schermen via de firewall. Alleen systemen die echt toegang tot deze dienst nodig hebben zouden op ip-basis toegang moeten krijgen. Verder wordt applicatie-blacklisting aangeraden. Dat moet het gebruik van vssadmin.exe, cmd.exe, powershell.exe en soortgelijke tools voorkomen.
Beheerders moeten daarnaast Windows Security Event logs monitoren op aangemaakte taken, alsmede het excessief gebruik van bekende beheerdersaccounts. Bijvoorbeeld als een specifiek ip-adres in korte tijd met dezelfde inloggegevens op een groot aantal machines probeert in te loggen. Ook adviseert het securitybedrijf om accounts met hogere rechten van sterke wachtwoorden te voorzien.
Deze posting is gelocked. Reageren is niet meer mogelijk.