医疗行业勒索病毒专题报告

2018-09-17 16:54:00
自2017年5月WannaCry爆发以来,勒索病毒一直都是各行业安全主要关注点。通过对调查中医疗机构采用的各种数据安全措施分析可见,数据灾备、数据库镜像备份、数据冷备份和数据离线存储是医院主要的数据安全措施,至少有一半医院采取了数据备份措施,使得医院遭受勒索攻击时,能及时恢复数据维持业务正常运转。

1、概述

20175WannaCry爆发以来,勒索病毒一直都是各行业安全主要关注点。通过调查中医疗机构采用的各种数据安全措施分析可见,数据灾备、数据库镜像备份、数据冷备份和数据离线存储是医院主要的数据安全措施,至少有一半医院采取了数据备份措施,使得医院遭受勒索攻击时,能及时恢复数据维持业务正常运转。


1

在勒索攻击方面,自7月以来,勒索病毒一直处于持续活跃传播的状态,其中8月份相对于7月勒索病毒传播有所加强。由于依然部分医院信息系统存在安全风险,受利益驱使,勒索病毒依然是医院面对的主要安全风险之一。


2

2、针对医疗行业的勒索病毒攻击

7月以来,在全国三甲医院中,有247家医院检测出勒索病毒。其中以广东、湖北、江苏检出的勒索病毒最多。


3

被勒索病毒攻击的操作系统主要以Windows 7为主,Windows 10次之。此外还有微软已经停止更新的Windows XPWindows XP依旧有相当高的使用比例,这说明部分医院没有及时更新操作系统,而微软官方已不再提供安全补丁,这会为医疗业务带来极大的安全隐患。


4

从全国医院高危漏洞修复情况上看,主要有RTF漏洞、Flash漏洞未修复。勒索病毒攻击者往往会将带有漏洞利用的Office文档通过伪造的钓鱼邮件进行传播,一旦用户点击打开,则会下载勒索病毒在内网展开攻击。


5

从医院勒索攻击的病毒家族来看,主要是WannaCryGlobeImposterMagniberSatan等勒索病毒家族

WannaCry勒索病毒具体通过永恒之蓝漏洞主动传播的能力,使得自身很容易在内网扩散;此外GlobeImposterMagniberSatan等勒索病毒主要针对服务器发起攻击。与2017年相比,勒索病毒已发生较为明显的变化:攻击行动不再是没有目的的广撒网式传播,而是针对重点高价值目标投放,以最大限度达到敲诈勒索的目的。


6

从医疗行业被勒索病毒入侵的方式上看,主要是利用系统漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式。利用系统漏洞攻击主要依靠永恒之蓝漏洞工具包传播。一旦黑客得以入侵内网,还会利用更多攻击工具(RDP/SMB弱口令爆破、NSA攻击工具包等等)在局域网内横向扩散。根据调查分析,国内各医疗机构大多都有及时修复高危漏洞的意识,但是由于资产管理不到位,导致少数机器依然存在风险,给了黑客可乘之机。


7

WannaCry

WannaCry可以通过永恒之蓝漏洞主动呈蠕虫式传播。因此一旦WannaCry入侵到了医疗机构内网,便能迅速在内网扩散,使得WannaCry成为了勒索病毒检出的榜首。


8

7月以来,全国三甲医院中有213家医院,有发现被永恒之蓝漏洞攻击,其中广东省医院被永恒之蓝漏洞攻击最为严重,而针对永恒之蓝漏洞微软官方发布漏洞补丁已经超过1年时间。


9

从永恒之蓝漏洞的攻击源来看,91%都是内网攻击,从而也印证了WannaCry检出量如此高的原因。


10

GlobeImposter

从年初湖南省两家省级医院被GlobeImposter攻击后,GlobeImposter2018年一直是针对服务器攻击最猛烈的勒索病毒。GlobeImposter主要通过RDP弱口令爆破,远程登录医疗机构的Web服务器进行传播。一旦黑客入侵成功,取得服务器的完全控制权,即使服务器上装有安全软件,也会被黑客手动退出或卸载,安全措施便形如虚设。

黑客控制服务器之后,会以此为跳板,在内网继续扩大战果,攻击更多可以入侵的服务器或终端设备。

783389端口爆破趋势上看,进入8月中下旬之后,利用RDP弱口令爆破的入侵吴明显增长。


11

GandCrab

GandCrab20181月发现后,便成为传播最为广泛的勒索病毒之一,近期更新也颇为频繁,版本已经升级到4.3


12

GandCrab勒索病毒4.0之后的版本首先将加密算法修改为salsa20;此外在传播方式上,由原来的广撒网式传播,例如水坑攻击、邮件攻击,开始向精确攻击服务器攻击转变。近期已先后发现GandCrab通过RDP弱口令爆破、Tomcat弱口令爆破的方式进行传播。


13

Magniber

Magniber勒索病毒相对比较陌生,该勒索病毒原主要针对韩国攻击,但现在开始在亚太地区范围内扩散,国内开始不断发现有该勒索病毒的攻击。


14

Magniber借助Magnitude漏洞利用工具包传播,Magnitude漏洞利用工具包主要是针对浏览器利用。从近期的检测中发现目前Magniber勒索病毒主要利用新IE漏洞CVE-2018-8174传播。

Satan

Satan勒索病毒最初通过永恒之蓝漏洞传播,但在6月初发现Satan勒索病毒在传播方式上使用了组合拳,添加了多个新漏洞利用:JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞(CVE-2017-10271)。通过对新漏洞工具的使用,令撒旦(Satan)病毒的感染扩散能力、影响范围得以显著增强,成为了企业安全的重大威胁之一。


15

但是Satan勒索病毒是可解密的。在6月初,腾讯智慧安全团队接到湖北某医院反馈,其内部多台服务器遭遇勒索病毒攻击,所有数据类文件都被加密,加密后文件名被修改成“[dbger@protonmail.com]+原始文件名+.dbger”。经过腾讯智慧安全团队分析发现,入侵该医院服务器的是撒旦(Satan)勒索病毒的最新变种并且可以解密。于是提供解密工具协助医院恢复数据,避免了损失。

3、勒索病毒趋势分析

勒索病毒与安全软件的对抗加剧

随着安全软件对勒索病毒的解决方案日趋成熟完善,勒索病毒更加难以成功入侵用户电脑,但是病毒传播者会不断升级对抗技术方案,例如黑客加强代码混淆加密,使得安全软件无法及时报毒。

监测发现勒索病毒还会使用正规的数字签名,以此逃避安全软件的检测。白+黑的利用方式(利用正常软件调用勒索病毒模块)也早已流行。

勒索病毒攻击针对企业用户

勒索病毒的攻击日益精准,主要针对高价值目标定点投放,甚至人工投放。在病毒传播者看来,医疗机构的业务系统如同金矿一般宝贵。一旦医疗机构的业务系统被勒索病毒加密,黑客勒索得手的概率远高于攻击普通用户电脑。GandCrab持续了半年多的撒网式传播,已开始转向针对高价值目标。

勒索病毒传播场景多样化

传统的勒索病毒传播更多的依赖于水坑攻击、钓鱼邮件攻击、或利用Office安全漏洞构造攻击文档,诱骗安全意识不足的目标用户运行或打开文件后中毒。

根据监测到的数据发现,越来越多的攻击者会首先从医疗机构连接外网的Web服务器入手,利用服务器的安全漏洞或弱口令入侵,一旦成功,便会利用更多攻击工具在内网继续攻击扩散。如果医疗机构的业务系统存在安全漏洞,又迟迟未能修补,便会给黑客留下可趁之机。

勒索病毒更新迭代加快

GandCrab为例,在7月初发现第四代之后,短短2个月,又发现了4个更新版本。在安全软件不断的更新完善勒索病毒解决方案时,勒索病毒也在不断的更新寻找攻击突破口。一次次的勒索得手,刺激病毒作者不断升级版本,继续作恶。

4、安全建议

1、 终端电脑接入网络需要严格按照标准流程执行,比如存在漏洞的系统、未安装安全软件的系统不得接入内网;

2、 及时修复全网存在的高危漏洞,特别是医疗机构对外提供Web服务的业务系统。如果存在管理员使用弱密码登录系统,建议修改为复杂密码,并配置相应的安全策略,避免弱口令爆破攻击;

3、 尽量关闭业务系统暂不使用的端口,如:445139等;

4、企业内部建议全网安装腾讯御点终端安全管理系统
御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。


5、 加强企业资产信息管理,发现入侵及时隔离,禁止员工随意使用移动设备(硬盘、U盘、存储卡等)接入业务系统。智能手机连接到业务系统也需要严格管控;

6、 增加各机器日志、流量的监控记录,发现异常行为及时告警跟进;

7、 定期备份重要数据,并确保备份系统可以离线存储,有相当多的勒索病毒事件是攻击者把备份数据都一起加密了。

当发生勒索病毒攻击时,可采取如下处理措施:

1) 立即组织内网检测,查找所有开放445 等高危端口的终端和服务器,一旦发现电脑中毒立即断网隔离。

2 建议提前部署流量检测设备,实时监控异常攻击型流量,快速定位失陷主机并隔离;

3 失陷主机必须先使用安全软件查杀病毒,以及漏洞修复等能力加固系统,确保风险消除后,再尝试利用备份数据恢复和接入内网系统;

4 分析安全事件中完整攻击链,制定全局性改进方案,并且落实到责任人按计划时间节点持续推进。

最新资讯