image

Banken geadviseerd om cmd en PowerShell te blacklisten

dinsdag 17 oktober 2017, 12:30 door Redactie, 21 reacties

Banken hebben het advies gekregen om tools zoals cmd, PowerShell en vssadmin te blokkeren, aangezien aanvallers hier misbruik van kunnen maken, zo stelt securitybedrijf BAE Systems. Aanleiding voor het advies is de recente hack van de Taiwanese bank Far Eastern. Door spearphishingmails te versturen die naar malware wezen wisten aanvallers het banknetwerk te compromitteren.

Vervolgens maakten de aanvallers via de banksystemen bijna 60 miljoen dollar over naar rekeningen in Sri Lanka, Cambodja en de Verenigde Staten, hoewel het grootste deel alweer terug is gehaald. Op het moment van de malafide transacties werd een variant van de Hermes-ransomware op de besmette computers uitgevoerd, om zo het bankpersoneel af te leiden. Hierbij werd onder andere de tool vssadmin.exe gebruikt om Volume Shadow Copies, een soort van back-ups, te verwijderen.

In een analyse van de aanval kijkt BAE Systems naar de gebruikte malware en doet verschillende aanbevelingen. Zo wordt geadviseerd om smb (poort 445) voor interne computers af te schermen via de firewall. Alleen systemen die echt toegang tot deze dienst nodig hebben zouden op ip-basis toegang moeten krijgen. Verder wordt applicatie-blacklisting aangeraden. Dat moet het gebruik van vssadmin.exe, cmd.exe, powershell.exe en soortgelijke tools voorkomen.

Beheerders moeten daarnaast Windows Security Event logs monitoren op aangemaakte taken, alsmede het excessief gebruik van bekende beheerdersaccounts. Bijvoorbeeld als een specifiek ip-adres in korte tijd met dezelfde inloggegevens op een groot aantal machines probeert in te loggen. Ook adviseert het securitybedrijf om accounts met hogere rechten van sterke wachtwoorden te voorzien.

Reacties (21)
17-10-2017, 12:32 door Anoniem
Onbekende beheerdersaccounts maken niet uit :D
17-10-2017, 13:53 door Anoniem
goh, en wat te denken van hardening van alles wat je kunt bedenken....
17-10-2017, 13:56 door Anoniem
Als de banken hier zelf niet op kunnen komen dan hebben ze een groter probleem... Wel goed nieuws voor alle consultancy clubs om op binnen te lopen na de cloud en mobility hype.
17-10-2017, 14:13 door Anoniem
Verder wordt applicatie-blacklisting aangeraden.

Je moet juist aan applicatie-whitelisting doen: Alleen die programma's die door de software-distributeur, beheerder of gebruiker expliciet als vertrouwd zijn aangemerkt mogen worden uitgevoerd. De rest niet.

Alle UNIX/Linux systemen hebben dit al sinds het begin, onder andere via de execute bit(s) in het file system.

In Windows daarentegen is elk bestand dat je download in principe meteen uitvoerbaar, als de aanvaller maar een van de juiste extensies gebruikt. Windows helpt de aanvaller dan ook nog eens door de extensies standaard te verbergen.
Zo was er rond het jaar 00 het "loveletter.txt.vbs" virus. Nu zou precies dezelfde truc waarschijnlijk nog steeds werken.

Overigens valt er aan 'security' en 'anti'-virus applicaties voor een opzettelijk onveilig besturingssysteem veel meer te verdienen dan aan een veiliger en vrij te gebruiken systeeem. Dus ik verwacht geen verbetering...
17-10-2017, 15:26 door Anoniem
Door Anoniem: Als de banken hier zelf niet op kunnen komen dan hebben ze een groter probleem... Wel goed nieuws voor alle consultancy clubs om op binnen te lopen na de cloud en mobility hype.
Alleen een beetje jammer dat het niets gaat helpen.

Vergelijk luchthavens: "PEDOCRIMINELE TERORRISTEN! DUS IEDEREEN Z'N SCHOENEN UIT!!!!!1!" want daar wordt je veiliger van zeg maar. Naakt in je vliegtuigstoel is het nieuwe veilig. Ze waren er zelfs bang dat water kon branden.

Hier is het "CYBERHACKERS! MET HACKS! IN DE CYBER! ZE CYBERHACKEN! DUS IEDEREEN ZIJN COMMAND LINE WEGDOEN!!!!1!"

Het helpt niet want als je remote code kan uitvoeren dan kan je ook, zeg, muiskliks injecteren en is wat meer werk maar werkt ook heel aardig. Maar als beheerder heb je jezelf hele handige gereedschappen ontzegd. Dit is dus gewoon weer schijnbeveiliging van keizerlijke kledingmakers. Daar hebben we er toch al niet te weinig van in de security.

Het is je proberen in te dekken tegen een boeman door zelf maar onder je bed te gaan slapen. Het werkt niet en het ligt ook niet lekker.
17-10-2017, 17:02 door Anoniem
Je moet juist aan applicatie-whitelisting doen
Applicatie whitelisting is OS-onafhankelijk, dit werkt ook prima op Windows is mijn ervaring, hetzij met third-party tooling versus de standaard tools in UNIX/Linux.
17-10-2017, 17:18 door Anoniem
gniffel, en daadelijk adviseren ze geen IE te gebruiken, en MS Word / Excel maar niet te gebruiken wat ja daar komen ook veel fishing problemen door...
17-10-2017, 18:27 door karma4 - Bijgewerkt: 17-10-2017, 18:28
Banken is ook geadviseerd om een gedegen beveiligingsbeleid te voeren. Zoiets is er sinds de jaren 90 met bs7799 nu iso27k reeks netjes vastgelegd. Onder andere bij de dnb en ncsc kun je de verwijzingen vinden. Niet dat ze (banken) echt iets aan de invulling bij het realiseren gedaan hebben. Een eigen verklaring van "alles goed" volstaat. Er moet een goed eigen persoonlijk verdienmodel zijn.
17-10-2017, 20:24 door [Account Verwijderd]
Door Anoniem:
Je moet juist aan applicatie-whitelisting doen
Applicatie whitelisting is OS-onafhankelijk, dit werkt ook prima op Windows is mijn ervaring, hetzij met third-party tooling versus de standaard tools in UNIX/Linux.

Zoals Res. En dan steunen ze ook nog eens een Nederlands product. Met Res heb ik diverse malen infecties weten te voorkomen waar spamfilters etc niet genoeg werkten.
18-10-2017, 09:04 door Anoniem
Door Anoniem:
Verder wordt applicatie-blacklisting aangeraden.

Je moet juist aan applicatie-whitelisting doen: Alleen die programma's die door de software-distributeur, beheerder of gebruiker expliciet als vertrouwd zijn aangemerkt mogen worden uitgevoerd. De rest niet.
Het leuke van cmd.exe en powershell.exe is echter dat wel (vooral, veel) gebruikt worden door beheerders. Helemaal de laatste is vaak nogal organisch gegroeid van 'oh handig tooltje om even een exportje te maken' tot een redelijk volwaardige tool voor DevOps. Nadeel van 'organisch gegroeid' is dat security wel eens te wensen overlaat.

Die ExecutionPolicy? Lekker op Unrestricted. Waarom zou ik scripts signen, dat kost alleen maar moeite. Scripts lekker aftrappen vanaf elk willekeurige systeem naar elke willekeurige systeem. Natuurlijk is het wij van Symantec hebben een prachtig product, maar dit document is best het lezen waard. "https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/increased-use-of-powershell-in-attacks-16-en.pdf"
18-10-2017, 09:20 door Anoniem
Door karma4: Banken is ook geadviseerd om een gedegen beveiligingsbeleid te voeren. Zoiets is er sinds de jaren 90 met bs7799 nu iso27k reeks netjes vastgelegd. Onder andere bij de dnb en ncsc kun je de verwijzingen vinden. Niet dat ze (banken) echt iets aan de invulling bij het realiseren gedaan hebben. Een eigen verklaring van "alles goed" volstaat. Er moet een goed eigen persoonlijk verdienmodel zijn.

daar is de papieren tijger isoxxx theoreet weer. de praktijk is dus weer weerbastiger ook hier weer. je lijkt wel een don quichotte!
18-10-2017, 09:32 door [Account Verwijderd] - Bijgewerkt: 18-10-2017, 09:35
[Verwijderd]
18-10-2017, 09:34 door [Account Verwijderd]
[Verwijderd]
18-10-2017, 10:29 door Anoniem
Door NedFox:
Door Anoniem:
Je moet juist aan applicatie-whitelisting doen
Applicatie whitelisting is OS-onafhankelijk, dit werkt ook prima op Windows is mijn ervaring, hetzij met third-party tooling versus de standaard tools in UNIX/Linux.

Zoals Res. En dan steunen ze ook nog eens een Nederlands product. Met Res heb ik diverse malen infecties weten te voorkomen waar spamfilters etc niet genoeg werkten.

RES was een echt Nederlands product maar is overgenomen door Ivanti:
https://www.ivanti.com/company/press-releases/2017/ivanti-acquires-res
18-10-2017, 12:32 door Anoniem
hahaha. Bedrijven moeten mensen blacklisten. Dat is in 99% van de gevallen de oorzaak van de hack. Al dan niet geslaagd. Of is het de hamer zijn schuld als jij op je duim slaat...
<einde>
18-10-2017, 14:07 door Anoniem
Banken hebben het advies gekregen om tools zoals cmd, PowerShell en vssadmin te blokkeren, aangezien aanvallers hier misbruik van kunnen maken, zo stelt securitybedrijf BAE Systems

Bedoelen ze niet whitelisting ? Of vinden ze het best indien je cmd.exe uitvoert, wanneer je deze hernoemt naar whatever.exe (en evt de code zo aanpast dat de hash niet meer gelijk is) ?
19-10-2017, 13:18 door Anoniem
Door Anoniem: Of vinden ze het best indien je cmd.exe uitvoert, wanneer je deze hernoemt naar whatever.exe (en evt de code zo aanpast dat de hash niet meer gelijk is) ?
Best kans dat ze daar nog helemaal niet aan gedacht hebben.
19-10-2017, 14:10 door Anoniem
Die ExecutionPolicy? Lekker op Unrestricted. Waarom zou ik scripts signen, dat kost alleen maar moeite.

Is het erg indien het beveiligen van systemen bij banken enige moeite kost ? Ik hoop niet dat jij IT beveiliger bent ;))
19-10-2017, 17:40 door karma4 - Bijgewerkt: 19-10-2017, 17:42
Door Neb Poorten:
Een 'eigen persoonlijk verdienmodel' Heerlijk! Je moet betalen om die iso27k reeks zelf maar te kunnen inzien! Dat is pas een goed verdienmodel. En het geeft het gezegde 'papieren tijger' een heel nieuw gezicht ;-)
Een paar honderd euro betalen waar de organisatie er achter mee verder kan zou een probleem zijn? Een beetje bedrijf koopt dat af voor al zijn medewerkers.

Dat scgamele bedrag daar krijg je niet eens een externe adviseur voor op bezoek. Met salarissen van een miljoen per jaar voor betrokken managers is dat iets van een heel andere orde.
Lees je wat beter in wat er werkelijk speelt en wie welke belangen heeft. Je toont wereldvreemdheid.

Dacht je dat met gratis en voor niets er iets van de grond kan komen? Vergeet die fantasie maar.
De reactie dat het maar papieren gedoe is geeft trouwens exact aan hoe vanuit eigenwijze os nerds de boel gefrustreerd wordt.
20-10-2017, 12:59 door [Account Verwijderd]
[Verwijderd]
21-10-2017, 12:04 door Anoniem
"Nee, het zijn de digibete, technisch debiele papieren tijgers die steevast de boel verkloten!"

zonder dat ze het weten en met de volle overtuiging dat ze 'goed' doen. dit gehele land is inmiddels kappot gemanaged door middelmatige dasjes en de profesional op de werkvloer is met emmers burauctratie bezig om de domme midde laag van kansloze irrelevante cijfertjes in excel sheets te voorzien om daarna mooiweer te spelen naar aan laagje hoger. het gevolg in security is dat alles op papier ok lijkt conform een of andere iso std is (waar je ook nog voor betalen moet om in te zien) maar in de praktijk is dat dus een fictive wereld die los is gekomen van de werkelijkheid waar mensen in werken en leven. uiteraard gaat er dan eens iets mis en dan beginnen die bonen tellers weer te wapperen met hun iso ditum iso datum en regeltje zus en regeltje zo, maar als push comes to shove, niet op hun PC al dat gedoe wat we moeten excel sheets managen . overhead!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.