2018年7月的勒索病毒事件似乎還近在眼前,2019年勒索病毒再度來襲。近日,醫療信息安全事故頻發,我國多地醫院持續檢測出勒索病毒,患者數據被加密,導致醫院信息系統整體癱瘓。
醫療行業勒索病毒總體情況
2018年9月,騰訊發佈《醫療行業勒索病毒專題報告》,報告顯示,自7月以來,在全國三甲醫院中,有247家醫院檢出了勒索病毒,廣東、湖北、江蘇等地區檢出勒索病毒最多,幾乎每個月都會發生3-4起重大醫療數據洩露事件。
病毒家族
從醫院勒索攻擊的病毒家族來看,主要是WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族。
被勒索病毒攻擊的操作系統
被勒索病毒攻擊的操作系統主要以Windows 7為主,Windows 10次之。此外還有微軟已經停止更新的Windows XP。Windows XP依舊有相當高的使用比例,這說明部分醫院沒有及時更新操作系統,而微軟官方已不再提供安全補丁,這會為醫療業務帶來極大的安全隱患。
病毒入侵方式
被勒索病毒入侵的方式上看,主要是利用系統漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式。利用系統漏洞攻擊主要依靠永恆之藍漏洞工具包傳播。一旦黑客得以入侵內網,還會利用更多攻擊工具(RDP/SMB弱口令爆破、NSA攻擊工具包等等)在局域網內橫向擴散。根據調查分析,國內各醫療機構大多都有及時修復高危漏洞的意識,但是由於資產管理不到位,導致少數機器依然存在風險,給了黑客可乘之機。
醫療領域為何屢被攻擊?
從屢次發生的勒索病毒事件來看,不管是國內還是國外,醫療行業都是黑客的主要攻擊對象,綜合來說,主要有以下幾點原因:
其一,這與醫療機構所保存數據的重要性、隱私性有關,醫院數據涉及個人隱私,患者病歷信息更可以賣出高價,加上數據的緊急性(患者數據被加密很可能導致手術延遲危及生命),自然就被黑客惦記上了;
其二,以往醫療機構大多是局域網,與互聯網物理隔離,但近些年,為了提高服務質量、改善服務體驗,醫療機構面向互聯網的應用越來越多,比如與省醫保、市醫保、農合、鐵路醫保等多處連接,不再是純粹的內網,網絡環境複雜。各個機構間使用的操作系統不統一,安全問題也隨之而來;
其三,長期以來,由於醫療機構在信息化建設方面的整體投入不足,造成醫療機構更願意把錢花在“刀刃”上,而對於網絡安全這種錦上添花的需求則沒有足夠的預算予以保證。加上安全意識薄弱,普遍存在內外網互聯和對U盤的管理不嚴,部分醫院也沒有安裝專業的殺毒軟件,導致黑客趁虛而入。
勒索病毒最容易藏身的五個地方
關鍵系統文件
高度複雜的惡意軟件可以隱藏的最危險和無害的地方之一是你的關鍵系統文件。傳統上,可以通過數字簽名的方式用於替換或修改現有關鍵系統文件,許多惡意軟件文件由在已簽名文件的屬性可認證字段(ACT)中可見的外部簽名或元數據來區分。
最近有國外的安全研究人員發現簽名不再是萬無一失的。現在,網絡犯罪分子已經發現如何在不修改ACT的情況下通過將惡意軟件隱藏在簽名文件中來完成“文件速記”。雖然高度複雜的網絡罪犯使用的文件速記技術可以繞過大多數傳統的檢測方法,但仍有一些痕跡。使用除了特徵碼改變之外還能夠檢測文件大小或內容的變化的技術,可以檢測這些負面的變化。
註冊表
一些惡意軟件會修改Windows註冊表鍵,以便在“自動運行”之間建立位置,或者確保每次啟動操作系統時都啟動惡意軟件。InfoWorld的Roger A.Grimes在2015年寫道,現在絕大多數惡意軟件修改註冊表密鑰,作為確保長期駐留於網絡中的一種模式。 手動檢查Windows註冊表項以檢測異常是一項艱鉅的任務。理論上需要將日誌文件與成千上萬的自動運行設置進行比較。雖然存在一些可能的捷徑,但是通常使用文件完整性監視解決方案最有效地確定對註冊表鍵的修改。
臨時文件夾
操作系統包含一組臨時文件夾,其範圍從Internet緩存到應用程序數據。這些文件是操作系統的固有部分,允許系統處理和壓縮信息以支持用戶體驗。本質上,這些臨時文件夾通常是缺省可寫的,以便所有用戶能夠進行互聯網瀏覽、創建Excel電子表格和其他常見活動。
由於這些臨時文件夾固有的鬆散安全性,一旦罪犯通過網絡釣魚、rootkit漏洞或其他方法進入您的系統,它就成為惡意軟件和贖金軟件的常見著陸點。隨機軟件和惡意軟件可以使用臨時文件夾作為啟動臺,以便立即執行,或通過權限提升和其他模式,在公司的網絡內建立各種其他據點。
LNK文件
也被稱為“快捷方式”,可能包含到惡意軟件或充斥贖金軟件的網站的直接路徑,或者更危險的是可執行文件。很可能,您的員工在桌面上有很多這樣的途徑,以便於訪問常訪問的Web應用程序和其他工具。 惡意軟件和贖金軟件都可以通過巧妙偽裝的.lnk文件下載後在系統中獲得支持,該文件可能類似於現有的快捷方式,甚至無害的PDF文檔。不幸的是,由於文件的LNK方面沒有明顯顯示,很多最終用戶無法區分。
Word文件
即使是比較低級的垃圾郵件過濾器也有足夠的智慧來識別.exe文件可能是惡意的。然而,很多網絡犯罪分子已經意識到了這種做法,並且正在利用MicrosoftOfficeVBA在Word文檔宏中插入贖金代碼。這種特殊風格的“鎖定贖金軟件”立即輸入臨時文件,並執行對數據和贖金軟件需求的鎖定。
“中招”後如何解決?
信息安全行業專業人士表示,一般中毒後基本無解,因為醫療機構不要病急亂投醫,盲目相信某些廠商吹噓的可破解病毒。不過,當發生勒索病毒攻擊時,以下應急措施可以採納:
1、 排查:立即組織內網檢測,查找所有開放445 等高危端口的終端和服務器,一旦發現電腦中毒,立即關閉所有網絡連接,禁用網卡。
2、切斷傳播途徑:關閉潛在終端的SMB,RDP端口等共享傳播端口。關閉異常的外聯訪問。
3、查找攻擊源:手工抓包分析供給源或藉助態勢感知類產品分析。
4、查殺病毒修復漏洞:失陷主機必須先使用安全軟件查殺病毒,以及漏洞修復等能力加固系統,確保風險消除後,再嘗試利用備份數據恢復和接入內網系統;
對於大家普遍關注的中招後的數據恢復,專家建議,可以嘗試使用數據恢復軟件找到被刪除的源文件;通過解密工具破解,解密文件;通過winhex對比歷史文件分析文件頭內容恢復,以及通過支付贖金恢復數據等方式。但目前勒索病毒的數據恢復難度較大,部分勒索病毒即便支付攻擊者贖金也未必可以解密被勒索文件,因此建議防範還是以預防為主。
勒索病毒如何防範?
應對勒索病毒主要靠防範,防範措施如下:
1、及時給系統打補丁。勒索病毒特別是GandCrab,非常喜歡通過應用漏洞層面進一步滲透,所以補丁一定要打。值得注意的是,給操作系統打補丁的同時,也不要遺漏了應用程序尤其是中間件的補丁。
2、安裝專業靠譜的殺毒軟件,並開啟主動防禦功能。雖然不要把希望都寄託在殺毒軟件上,但因此就不裝殺毒軟件更是萬萬不可的。
3、對外業務系統屏蔽遠程登錄端口以及其他高危端口,為你的系統設置複雜的強口令,有條件的部署應用防火牆或者漏洞掃描,及時發現和阻止通過漏洞進行的攻擊。
4、最後,一定要做好備份!備份!備份!而且一定要注意,備份數據不可以和原始數據放在一起,一定要離線存儲。再強調一下,對於勒索病毒,像雙機、雙活之類的高可用和實時同步技術是無法防範的,必須要有定時的備份。
安全無小事,勒索病毒“可防不可解”,需要醫信廠商和醫療機構共同加強安全防禦措施和意識。防範於未然,要記住,數據備份與災難恢復是數據安全的最後一道防線,一定要做好數據備份系統!
本文整理自“大兵說安全(微信ID:dabingshuoanquan)”、騰訊及網絡,涉及專業知識,如有不足,請專業人士留言指正。
閱讀更多 醫信邦 的文章
