尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
自2017年5月WannaCry爆發以來,勒索病毒一直都是各行業安全主要關注點。通過對調查中醫療機構採用的各種數據安全措施分析可見,數據災備、數據庫鏡像備份、數據冷備份和數據離線存儲是醫院主要的數據安全措施,至少有一半醫院採取了數據備份措施,使得醫院遭受勒索攻擊時,能及時恢復數據維持業務正常運轉。
在勒索攻擊方面,自7月以來,勒索病毒一直處於持續活躍傳播的狀態,其中8月份相對於7月勒索病毒傳播有所加強。由於依然部分醫院信息系統存在安全風險,受利益驅使,勒索病毒依然是醫院面對的主要安全風險之一。
自7月以來,在全國三甲醫院中,有247家醫院檢測出勒索病毒。其中以廣東、湖北、江蘇檢出的勒索病毒最多。
被勒索病毒攻擊的操作系統主要以Windows 7為主,Windows 10次之。此外還有微軟已經停止更新的Windows XP。Windows XP依舊有相當高的使用比例,這說明部分醫院沒有及時更新操作系統,而微軟官方已不再提供安全補丁,這會為醫療業務帶來極大的安全隱患。
從全國醫院高危漏洞修復情況上看,主要有RTF漏洞、Flash漏洞未修復。勒索病毒攻擊者往往會將帶有漏洞利用的Office文檔通過偽造的釣魚郵件進行傳播,一旦用戶點擊打開,則會下載勒索病毒在內網展開攻擊。
從醫院勒索攻擊的病毒家族來看,主要是WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族。
WannaCry勒索病毒具體通過永恒之藍漏洞主動傳播的能力,使得自身很容易在內網擴散;此外GlobeImposter、Magniber、Satan等勒索病毒主要針對服務器發起攻擊。與2017年相比,勒索病毒已發生較為明顯的變化:攻擊行動不再是沒有目的的廣撒網式傳播,而是針對重點高價值目標投放,以最大限度達到敲詐勒索的目的。
從醫療行業被勒索病毒入侵的方式上看,主要是利用系統漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式。利用系統漏洞攻擊主要依靠永恒之藍漏洞工具包傳播。一旦黑客得以入侵內網,還會利用更多攻擊工具(RDP/SMB弱口令爆破、NSA攻擊工具包等等)在局域網內橫向擴散。
根據調查分析,國內各醫療機構大多都有及時修復高危漏洞的意識,但是由於資產管理不到位,導致少數機器依然存在風險,給了黑客可乘之機。
WannaCry
WannaCry可以通過永恒之藍漏洞主動呈蠕蟲式傳播。因此一旦WannaCry入侵到了醫療機構內網,便能迅速在內網擴散,使得WannaCry成為了勒索病毒檢出的榜首。
自7月以來,全國三甲醫院中有213家醫院,有發現被永恒之藍漏洞攻擊,其中廣東省醫院被永恒之藍漏洞攻擊最為嚴重,而針對永恒之藍漏洞微軟官方發布漏洞補丁已經超過1年時間。
從永恒之藍漏洞的攻擊源來看,91%都是內網攻擊,從而也印證了WannaCry檢出量如此高的原因。
GlobeImposter
從年初湖南省兩家省級醫院被GlobeImposter攻擊後,GlobeImposter在2018年一直是針對服務器攻擊最猛烈的勒索病毒。GlobeImposter主要通過RDP弱口令爆破,遠程登錄醫療機構的Web服務器進行傳播。一旦黑客入侵成功,取得服務器的完全控制權,即使服務器上裝有安全軟件,也會被黑客手動退出或卸載,安全措施便形如虛設。
黑客控制服務器之後,會以此為跳板,在內網繼續擴大戰果,攻擊更多可以入侵的服務器或終端設備。
從7、8月3389端口爆破趨勢上看,進入8月中下旬之後,利用RDP弱口令爆破的入侵無明顯增長。
GandCrab
GandCrab在2018年1月發現後,便成為傳播最為廣泛的勒索病毒之一,近期更新也頗為頻繁,版本已經升級到4.3。
GandCrab勒索病毒4.0之後的版本首先將加密算法修改為salsa20;此外在傳播方式上,由原來的廣撒網式傳播,例如水坑攻擊、郵件攻擊,開始向精確攻擊服務器攻擊轉變。近期已先後發現GandCrab通過RDP弱口令爆破、Tomcat弱口令爆破的方式進行傳播。
Magniber
Magniber勒索病毒相對比較陌生,該勒索病毒原主要針對韓國攻擊,但現在開始在亞太地區範圍內擴散,國內開始不斷發現有該勒索病毒的攻擊。
Magniber借助Magnitude漏洞利用工具包傳播,Magnitude漏洞利用工具包主要是針對瀏覽器利用。從近期的檢測中發現目前Magniber勒索病毒主要利用新IE漏洞CVE-2018-8174傳播。
Satan
Satan勒索病毒最初通過永恒之藍漏洞傳播,但在6月初發現Satan勒索病毒在傳播方式上使用了「組合拳」,添加了多個新漏洞利用:JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat web管理後台弱口令爆破、Weblogic WLS 組件漏洞(CVE-2017-10271)。通過對新漏洞工具的使用,令撒旦(Satan)病毒的感染擴散能力、影響範圍得以顯著增強,成為了企業安全的重大威脅之一。
但是Satan勒索病毒是可解密的。在6月初,騰訊智慧安全團隊接到湖北某醫院反饋,其內部多台服務器遭遇勒索病毒攻擊,所有數據類文件都被加密,加密後文件名被修改成「[[email protected]]+原始文件名+.dbger」。
經過騰訊智慧安全團隊分析發現,入侵該醫院服務器的是撒旦(Satan)勒索病毒的最新變種並且可以解密。於是提供解密工具協助醫院恢復數據,避免了損失。
勒索病毒趨勢分析
勒索病毒與安全軟件的對抗加劇
隨著安全軟件對勒索病毒的解決方案日趨成熟完善,勒索病毒更加難以成功入侵用戶電腦,但是病毒傳播者會不斷升級對抗技術方案,例如黑客加強代碼混淆加密,使得安全軟件無法及時報毒。
監測發現勒索病毒還會使用正規的數字簽名,以此逃避安全軟件的檢測。白+黑的利用方式(利用正常軟件調用勒索病毒模塊)也早已流行。
勒索病毒攻擊針對企業用戶
勒索病毒的攻擊日益精準,主要針對高價值目標定點投放,甚至人工投放。在病毒傳播者看來,醫療機構的業務系統如同金礦一般寶貴。一旦醫療機構的業務系統被勒索病毒加密,黑客勒索得手的概率遠高於攻擊普通用戶電腦。GandCrab持續了半年多的撒網式傳播,已開始轉向針對高價值目標。
勒索病毒傳播場景多樣化
傳統的勒索病毒傳播更多的依賴於水坑攻擊、釣魚郵件攻擊、或利用Office安全漏洞構造攻擊文檔,誘騙安全意識不足的目標用戶運行或打開文件後中毒。
根據監測到的數據發現,越來越多的攻擊者會首先從醫療機構連接外網的Web服務器入手,利用服務器的安全漏洞或弱口令入侵,一旦成功,便會利用更多攻擊工具在內網繼續攻擊擴散。如果醫療機構的業務系統存在安全漏洞,又遲遲未能修補,便會給黑客留下可趁之機。
勒索病毒更新迭代加快
以GandCrab為例,在7月初發現第四代之後,短短2個月,又發現了4個更新版本。在安全軟件不斷的更新完善勒索病毒解決方案時,勒索病毒也在不斷的更新尋找攻擊突破口。一次次的勒索得手,刺激病毒作者不斷升級版本,繼續作惡。
安全建議
1. 終端電腦接入網路需要嚴格按照標準流程執行,比如存在漏洞的系統、未安裝安全軟件的系統不得接入內網;
2. 及時修復全網存在的高危漏洞,特別是醫療機構對外提供Web服務的業務系統。如果存在管理員使用弱密碼登錄系統,建議修改為複雜密碼,並配置相應的安全策略,避免弱口令爆破攻擊;
3. 盡量關閉業務系統暫不使用的端口,如:445,139等;
4. 企業內部部署可集中管理的安全軟件,並且保持安全軟件處於打開狀態;
5. 加強企業資產信息管理,發現入侵及時隔離,禁止員工隨意使用移動設備(硬碟、隨身碟、存儲卡等)接入業務系統。智慧型手機連接到業務系統也需要嚴格管控;
6. 增加各機器日志、流量的監控記錄,發現異常行為及時告警跟進;
7. 定期備份重要數據,並確保備份系統可以離線存儲,有相當多的勒索病毒事件是攻擊者把備份數據都一起加密了。
當發生勒索病毒攻擊時,可採取如下處理措施:
1.立即組織內網檢測,查找所有開放445 等高危端口的終端和服務器,一旦發現電腦中毒立即斷網隔離。
2.建議提前部署流量檢測設備,實時監控異常攻擊型流量,快速定位失陷主機並隔離;
3.失陷主機必須先使用安全軟件查殺病毒,以及漏洞修復等能力加固系統,確保風險消除後,再嘗試利用備份數據恢復和接入內網系統;
4.分析安全事件中完整攻擊鏈,制定全局性改進方案,並且落實到責任人按計劃時間節點持續推進。
-END-
推薦閱讀
產品趨同,醫技信息化能否走得更遠?
關於最 新髮布的三份「互聯網+醫療健康」文件,執政者的設計思路是什麼?
權威解讀:國家健康醫療大數據標準、安全和服務管理辦法
「數據共享+影像雲」雙平台設計,為區域影像建設中的不同角色提供服務
國家衛健委「三定」方案出爐,新增內設機構凸顯大健康理念
孫立峰談健康服務三步曲(二):服務是核心
衡反修:臨床決策支持系統的既往和將來
朱傑:再談區塊鏈——何當金絡腦 快走踏輕秋
暨大附一院吳慶斌:從諾蘭模型看醫院信息化建設當下二三事
到2020年電子病歷要建到什麼程度?醫政醫管局提出具體要求!
深化醫改下半年重點任務發布,醫療信息化攻堅戰將從七方面展開!
國家衛健委首次批復7個科技體制改革試點項目,提升科技資源開放共享力
醫學影像行業的深入變革,需要從更深層次的數字化開始
詹松華:醫學影像與AI之間依舊隔著一道「玻璃門」
梁長虹:具有醫學人文和社會學意義的人工智能才是終極
轉型中的博弈:醫學影像人工智能落地基層為何這麼難?
更細化的建設意見來了!國家衛健委發布分級診療制度建設重點工作通知
解放軍總醫院血管外科主任郭偉談人工智能:應用制式和程序化手段規範臨床行為
北醫三院CIO計虹:如何建設有信息化特色的服務體系?
©以上文章來源
騰訊禦見威脅情報中心
