姜一郎五大值得关注的针对医疗行业的勒索病毒,以及安全建议-e医疗
姜一郎
自2017年5月WannaCry爆发以来,勒索病毒一直都是各行业安全主要关注点。通过对调查中医疗机构采用的各种数据安全措施分析可见,数据灾备、数据库镜像备份、数据冷备份和数据离线存储是医院主要的数据安全措施,至少有一半医院采取了数据备份措施,使得医院遭受勒索攻击时,能及时恢复数据维持业务正常运转。
在勒索攻击方面,自7月以来,勒索病毒一直处于持续活跃传播的状态,其中8月份相对于7月勒索病毒传播有所加强。由于依然部分医院信息系统存在安全风险,受利益驱使,勒索病毒依然是医院面对的主要安全风险之一。
自7月以来,在全国三甲医院中,有247家医院检测出勒索病毒。其中以广东、湖北、江苏检出的勒索病毒最多。
被勒索病毒攻击的操作系统主要以Windows 7为主,Windows 10次之。此外还有微软已经停止更新的Windows XP。Windows XP依旧有相当高的使用比例,这说明部分医院没有及时更新操作系统,而微软官方已不再提供安全补丁,这会为医疗业务带来极大的安全隐患。
从全国医院高危漏洞修复情况上看,主要有RTF漏洞、Flash漏洞未修复。勒索病毒攻击者往往会将带有漏洞利用的Office文档通过伪造的钓鱼邮件进行传播,一旦用户点击打开,则会下载勒索病毒在内网展开攻击。
从医院勒索攻击的病毒家族来看,主要是WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族。
WannaCry勒索病毒具体通过永恒之蓝漏洞主动传播的能力,使得自身很容易在内网扩散;此外GlobeImposter、Magniber、Satan等勒索病毒主要针对服务器发起攻击。与2017年相比,勒索病毒已发生较为明显的变化:攻击行动不再是没有目的的广撒网式传播,而是针对重点高价值目标投放,以最大限度达到敲诈勒索的目的。
从医疗行业被勒索病毒入侵的方式上看,主要是利用系统漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式。利用系统漏洞攻击主要依靠永恒之蓝漏洞工具包传播。一旦黑客得以入侵内网,还会利用更多攻击工具(RDP/SMB弱口令爆破、NSA攻击工具包等等)在局域网内横向扩散。
根据调查分析,国内各医疗机构大多都有及时修复高危漏洞的意识,但是由于资产管理不到位,导致少数机器依然存在风险,给了黑客可乘之机。
WannaCry
WannaCry可以通过永恒之蓝漏洞主动呈蠕虫式传播。因此一旦WannaCry入侵到了医疗机构内网,便能迅速在内网扩散,使得WannaCry成为了勒索病毒检出的榜首。
自7月以来,全国三甲医院中有213家医院,有发现被永恒之蓝漏洞攻击,其中广东省医院被永恒之蓝漏洞攻击最为严重,而针对永恒之蓝漏洞微软官方发布漏洞补丁已经超过1年时间。
从永恒之蓝漏洞的攻击源来看,91%都是内网攻击,从而也印证了WannaCry检出量如此高的原因。
GlobeImposter
从年初湖南省两家省级医院被GlobeImposter攻击后,GlobeImposter在2018年一直是针对服务器攻击最猛烈的勒索病毒。GlobeImposter主要通过RDP弱口令爆破,远程登录医疗机构的Web服务器进行传播。一旦黑客入侵成功,取得服务器的完全控制权,即使服务器上装有安全软件,也会被黑客手动退出或卸载,安全措施便形如虚设。
黑客控制服务器之后,会以此为跳板,在内网继续扩大战果,攻击更多可以入侵的服务器或终端设备。
从7、8月3389端口爆破趋势上看,进入8月中下旬之后,利用RDP弱口令爆破的入侵无明显增长。
GandCrab
GandCrab在2018年1月发现后,便成为传播最为广泛的勒索病毒之一,近期更新也颇为频繁,版本已经升级到4.3。
GandCrab勒索病毒4.0之后的版本首先将加密算法修改为salsa20;此外在传播方式上,由原来的广撒网式传播,例如水坑攻击、邮件攻击,开始向精确攻击服务器攻击转变。近期已先后发现GandCrab通过RDP弱口令爆破、Tomcat弱口令爆破的方式进行传播。
Magniber
Magniber勒索病毒相对比较陌生,该勒索病毒原主要针对韩国攻击,但现在开始在亚太地区范围内扩散,国内开始不断发现有该勒索病毒的攻击。
Magniber借助Magnitude漏洞利用工具包传播,Magnitude漏洞利用工具包主要是针对浏览器利用。从近期的检测中发现目前Magniber勒索病毒主要利用新IE漏洞CVE-2018-8174传播。
Satan
Satan勒索病毒最初通过永恒之蓝漏洞传播,但在6月初发现Satan勒索病毒在传播方式上使用了“组合拳”,添加了多个新漏洞利用:JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞(CVE-2017-10271)。通过对新漏洞工具的使用,令撒旦(Satan)病毒的感染扩散能力、影响范围得以显著增强,成为了企业安全的重大威胁之一。
但是Satan勒索病毒是可解密的。在6月初,腾讯智慧安全团队接到湖北某医院反馈,其内部多台服务器遭遇勒索病毒攻击,所有数据类文件都被加密,加密后文件名被修改成“[dbger@protonmail.com]+原始文件名+.dbger”。
经过腾讯智慧安全团队分析发现,入侵该医院服务器的是撒旦(Satan)勒索病毒的最新变种并且可以解密。于是提供解密工具协助医院恢复数据,避免了损失。
勒索病毒趋势分析
勒索病毒与安全软件的对抗加剧
随着安全软件对勒索病毒的解决方案日趋成熟完善,勒索病毒更加难以成功入侵用户电脑,但是病毒传播者会不断升级对抗技术方案,例如黑客加强代码混淆加密,使得安全软件无法及时报毒。
监测发现勒索病毒还会使用正规的数字签名,以此逃避安全软件的检测。白+黑的利用方式(利用正常软件调用勒索病毒模块)也早已流行。
勒索病毒攻击针对企业用户
勒索病毒的攻击日益精准,主要针对高价值目标定点投放,甚至人工投放。在病毒传播者看来,医疗机构的业务系统如同金矿一般宝贵。一旦医疗机构的业务系统被勒索病毒加密,黑客勒索得手的概率远高于攻击普通用户电脑。GandCrab持续了半年多的撒网式传播,已开始转向针对高价值目标。
勒索病毒传播场景多样化
传统的勒索病毒传播更多的依赖于水坑攻击、钓鱼邮件攻击、或利用Office安全漏洞构造攻击文档,诱骗安全意识不足的目标用户运行或打开文件后中毒。
根据监测到的数据发现,越来越多的攻击者会首先从医疗机构连接外网的Web服务器入手,利用服务器的安全漏洞或弱口令入侵,一旦成功,便会利用更多攻击工具在内网继续攻击扩散。如果医疗机构的业务系统存在安全漏洞,又迟迟未能修补,便会给黑客留下可趁之机。
勒索病毒更新迭代加快
以GandCrab为例,在7月初发现第四代之后,短短2个月,又发现了4个更新版本。在安全软件不断的更新完善勒索病毒解决方案时,勒索病毒也在不断的更新寻找攻击突破口。一次次的勒索得手,刺激病毒作者不断升级版本,继续作恶。
安全建议
1. 终端电脑接入网络需要严格按照标准流程执行,比如存在漏洞的系统、未安装安全软件的系统不得接入内网;
2. 及时修复全网存在的高危漏洞,特别是医疗机构对外提供Web服务的业务系统。如果存在管理员使用弱密码登录系统,建议修改为复杂密码,并配置相应的安全策略,避免弱口令爆破攻击;
3. 尽量关闭业务系统暂不使用的端口,如:445,139等;
4. 企业内部部署可集中管理的安全软件,并且保持安全软件处于打开状态;
5. 加强企业资产信息管理,发现入侵及时隔离,禁止员工随意使用移动设备(硬盘、U盘、存储卡等)接入业务系统。智能手机连接到业务系统也需要严格管控;
6. 增加各机器日志、流量的监控记录,发现异常行为及时告警跟进;
7. 定期备份重要数据,并确保备份系统可以离线存储,有相当多的勒索病毒事件是攻击者把备份数据都一起加密了。
当发生勒索病毒攻击时,可采取如下处理措施:
1.立即组织内网检测,查找所有开放445 等高危端口的终端和服务器,一旦发现电脑中毒立即断网隔离。
2.建议提前部署流量检测设备,实时监控异常攻击型流量,快速定位失陷主机并隔离;
3.失陷主机必须先使用安全软件查杀病毒,以及漏洞修复等能力加固系统,确保风险消除后,再尝试利用备份数据恢复和接入内网系统;
4.分析安全事件中完整攻击链,制定全局性改进方案,并且落实到责任人按计划时间节点持续推进。
-END-
推荐阅读
产品趋同,医技信息化能否走得更远?
关于最新发布的三份“互联网+医疗健康”文件,执政者的设计思路是什么?
权威解读:国家健康医疗大数据标准、安全和服务管理办法
“数据共享+影像云”双平台设计,为区域影像建设中的不同角色提供服务
国家卫健委“三定”方案出炉,新增内设机构凸显大健康理念
孙立峰谈健康服务三步曲(二):服务是核心
衡反修:临床决策支持系统的既往和将来
朱杰:再谈区块链——何当金络脑 快走踏轻秋
暨大附一院吴庆斌:从诺兰模型看医院信息化建设当下二三事
到2020年电子病历要建到什么程度?医政医管局提出具体要求!
深化医改下半年重点任务发布,医疗信息化攻坚战将从七方面展开!
国家卫健委首次批复7个科技体制改革试点项目,提升科技资源开放共享力
医学影像行业的深入变革,需要从更深层次的数字化开始
詹松华:医学影像与AI之间依旧隔着一道“玻璃门”
梁长虹:具有医学人文和社会学意义的人工智能才是终极
转型中的博弈:医学影像人工智能落地基层为何这么难?
更细化的建设意见来了!国家卫健委发布分级诊疗制度建设重点工作通知
解放军总医院血管外科主任郭伟谈人工智能:应用制式和程序化手段规范临床行为
北医三院CIO计虹:如何建设有信息化特色的服务体系?
?以上文章来源
腾讯御见威胁情报中心