我的位置 首页  >  新闻动态  >  国内新闻

深入分析针对医疗健康行业的复杂威胁

来源:科技成果转化中心时间:2019-06-05
      

前言

目前,医疗健康行业越来越受到公众的关注,但不得不指出的是,该行业目前仍然处在一个值得关注的危急状态。尽管有许多医疗保健组织逐渐致力于完善网络安全和隐私保护,并已经取得了一些积极的进展,但从整体来看,仍然由很长的路要走。

在2018年,与其他行业相比,医疗健康行业的数据泄漏事件数量最多。该数据是根据BakerHostetler的2019年数据安全事件响应报告得出的,该报告已经连续发布了5年。

根据行业内部人士的消息,即使在今天,黑帽黑客也仍然在持续追踪患者的医疗健康数据,因此这类泄漏事件的整体趋势只会加剧。HIPAA期刊是一个致力于报道与HIPAA相关新闻的网站,该媒体在2019年1月至3月期间,至少每天发现了一起泄密事件,从而也证实了上述的结论。

那么我们不禁要问,造成日常信息泄漏的主要原因是什么呢?黑客攻击和IT事件(包括恶意软件攻击)一直位列榜首。

针对医疗健康行业的恶意软件

在医疗健康行业的实际实践中,他们无法实施许多安全措施,具体包括:未对网络进行分区域规划、依赖于传统基础架构、不遵守HIPAA安全规则和NIST CSF控制、对物联网设备没有有效的管理、医疗管理应用程序易受攻击、针对政府推荐的IT和网络安全事件方案的实施推动缓慢、缺乏电子邮件身份验证、会话加密措施的使用率较低。而上述这些问题,就是我们分析的开始。

更重要的是,医疗健康系统极易受到恶意软件的感染和劫持,因为它们几乎没有任何保护措施。当针对医疗健康领域的威胁更加先进时,所有那些落后的安全措施都会变得无法反击。

那么,针对医疗健康行业的恶意软件类型主要都有哪些?我们对产品遥测的数据进行了整理和分析,从而确定出旨在感染系统和网络、泄漏患者数据、破坏正常医疗健康工作的最常见恶意软件。我们的结果如下。

特洛伊木马和风险软件是最常见的类型

恶意文件和风险文件正困扰着全球范围内的医疗健康系统:

我们发现,在影响医疗健康系统的五种恶意软件之中,有超过四分之三(79%)是特洛伊木马。紧随其后的是风险软件(占比11%),这些软件本质上并非恶意软件,但仍然可能对安装它们的系统产生风险。其他的分别是勒索软件、间谍软件和蠕虫,这三类都占据3%左右的比例。我们将深入研究其中的每一个分类。

木马

根据我们的数据,医疗健康系统中存在大量以窃取信息为目的的特洛伊木马和下载程序,以及伪装为合法Microsoft(MS)文件的恶意文件。我们分别将它们检测为Trojan.Emotet(35%)和Trojan.FakeMS(33%)。

我们在医疗健康领域发现数量排在前六名的特洛伊木马如上图所示,其中Trojan.Emotet占据领先位置。

Emotet是一个信息窃取程序,可以定位存储在浏览器中的用户凭据,并监听网络流量。Emotet的已知新版本将充当恶意下载程序,下载并投放其他银行木马(例如:TrickBot和Qakbot)、勒索软件(例如:Ryuk)以及加密货币挖掘工具和密码窃取工具。

Emotet在渗透各个组织并进一步传播的方面取得了成功,因为它采取简单但有效的传播方法——网络钓鱼电子邮件和NSA永恒之蓝漏洞,后者能有助于网络内部的横向感染。此外,在Emotet之中还包含其自身的malspam模块,可以进行额外的网络钓鱼活动,从而继续传播。

为了增强攻击性,一旦进入网络中,就很难对Emotet进行有效的防范。

一般而言,以信息窃取为目的的攻击者在进入到医疗健康系统中后,就变得非常危险,因为他们可以访问到患者的电子健康记录(EHR)。一些威胁行为者还可以刷新和重复使用员工凭证,以获取更多的资源,从而违法使用、滥用,或高价出售给地下黑市中的最高出价者。

Emotet恶意软件广泛影响了医疗保险、医院、制药、生物技术和医疗设备行业领域。事实上,这一类威胁在过去的一年中,持续在所有的组织中不断发展,其持续性和数量都与去年同期相比增加了近650%。

紧随其后的Trojan.FakeMS,表示冒充合法Microsoft文件的恶意软件。医护人员可能已经意识到这些文件最终会出现在他们的工作系统中,也可能目前仍毫无察觉。无论是否已经知道这一威胁,他们在常规的工作流程中仍然需要利用计算机处理敏感记录,或者在关键时刻从计算机上提取患者的数据,这种实现方式并不理想。

与此同时,我们还发现一些挖矿木马的感染情况,在感染这种威胁后,主机的运行速度通常会变慢。目前,已经有17%的医疗健康系统中已经出现这种迹象。

使主机感染加密货币挖掘(挖矿)木马的幕后主使,可能是医护人员,也可能是外部的攻击者。攻击者可以从网络上手动下载这类工具,我们通常会将其检测为Trojan.BitCoinMiner,随后谨慎地将它们安装到用于记录保存医疗信息的主机上。我们在2017年9月,发现田纳西州凯迪特县总医院的一台电子病历(EMR)服务器感染了挖矿病毒,最终调查后发现,是属于内部人员的资源滥用行为。

风险软件

正如我们在前文中所提到的那样,风险软件并不属于恶意软件。但是,出于多种原因的综合考虑,我们还是将其归入针对医疗行业的威胁中的一种。其中的一大原因是,风险软件具有阻止其他程序接收并安装补丁的能力。这样一来,就使得用户的主机可能存在许多威胁,具有被攻击的风险,包括上面提到的永恒之蓝。

在几个医疗健康行业中(主要针对医疗保险行业和药品行业),我们检测到了一系列风险软件,其中,RiskWare.MicTray占比高达98%。MicTray是Conexant音频驱动程序集成的键盘记录器组件的名称。

剩下的2%,主要是Riskware.Tool.HCK,这是在某些国家违法使用的工具或应用程序的通用名称。例如,付费软件的破解版本,就可以归为此类。

勒索软件

Ransom.WannaCrypt,也称为WannaCry,曾经在2017年造成了英国国民健康服务(NHS)的崩溃。由于在感染该勒索软件后,无法再继续使用系统,需要暂时中断预约,并进行系统升级,因此这一勒索软件攻击造成了9200万英镑(约1.2亿美元)的经济损失。在发生这一事件后,也迫使医疗行业不得不严肃对待网络安全和隐私保护这一议题。

在一年多过后,WannaCry仍然在互联网中活跃,继续影响各个行业和国家的组织,扰乱了正常运营活动,并将患者的数据乃至生命置于危险之中。

Ransom.WannaCrypt的勒索提示:

我们的数据显示,WannaCry目前是影响医疗健康行业的五大恶意软件之一。这也可能意味着,目前仍然有大量系统存在着永恒之蓝漏洞,并且存在被攻击者恶意利用的风险。

间谍软件

针对医疗健康行业的间谍软件,Spyware.TrickBot和Spyware.Emotet占据了已检测恶意软件总数中的45%。Spyware.Agent占医疗健康行业中间谍软件检测总数的10%。

作为Trojan.TrickBot和Trojan.Emotet的二次感染,我们在医疗健康系统上看到TrickBot和Emotet间谍软件并不奇怪。普通用户普遍没有注意到这些信息窃取模块是如何在后台工作的,但是,网络管理员可能会发现与黑名单中域名的异常连接,这是恶意软件在尝试连接命令与控制(C2)服务器从而上传窃取后的数据。

蠕虫

我们检测到Worm.Parite蠕虫病毒,这是一个多态文件传染工具,其目标是本地和共享网络驱动器中的可执行程序(.exe文件)和屏幕保护程序(.scr文件)。该蠕虫是唯一针对生物技术和医疗领域进行传播的恶意蠕虫。

关于Parite最值得注意的一点是,它感染的系统可能不会出现明显的被感染迹象,至少在最开始时是这样。一旦用户执行受感染的文件,附加到其中的恶意代码就会开始运行,然后将控制权传递给.exe或.scr文件,以便让它正常执行。

如果用户没有解决蠕虫或病毒感染的问题,操作系统可能会受到其他恶意软件的进一步感染和利用。

无文件恶意软件

无文件恶意软件是攻击者在几年前采用的新型技术之一,并且他们持续以越来越快的速度开展此列攻击。

无文件感染意味着受影响系统上存在的实际恶意软件痕迹非常微小,以至于无法进行常规的反病毒检测,并使得抓取样本的工作成为安全分析师面临的一大挑战。

根据我们的遥测数据显示,医疗健康组织的系统中存在无文件类型的恶意软件,其中具体涉及健康行业和制药行业。

我们能够检测到标记为Rootkit.Fileless.MTGen的无文件感染。这是我们对无文件恶意软件的广泛检测类型标记,这些恶意软件使用Rootkit来隐藏这些恶意软件在受影响系统上的存在。

多年来,我们对发现的无文件恶意软件样本进行分析,具体分析内容如下:

· 无文件感染:概述

· 无文件恶意软件:如何降低风险

· 漏洞利用工具包中的无文件感染:概述

防御:立即采取行动

目前,医疗行业已经成熟。尽管他们正在努力解决网络安全和隐私方面的挑战,但与此同时,这一行业仍然在不断发展,尝试采用区块链、虚拟现实和人工智能等创新技术,同时引入新模式来更好地为患者服务。当然,添加新的技术后,保护新系统的工作可能会比保护原有系统要更加复杂。

然而,医疗健康组织要向前不断推进,仍然有两个简单的目标不容忽视:保护系统和设备原理恶意软件、0-day漏洞、硬件攻击,以及保护患者医疗数据免受窃取者和内部恶意攻击人士。

4月中旬,Ben Gurion大学的研究人员发布了他们使用深度学习AI对恶意篡改CT扫描的研究。根据他们的论文,他们成功展示了威胁参与者是如何在扫描中删除或添加医疗条件的证据。他们使用了一台中间人设备,这是另一台装有恶意软件的计算机,可以访问CT扫描,并向医疗设备提供虚假信息。如果这种技术在野外使用,患者的医疗记录和治疗计划将面临风险,危及其整体健康。

实际上,医疗健康组织需要做很多事情,来保护其免受日益复杂的网络威胁。与其他任何领域相比,这个领域的非法利益要大得多。如果网络安全遭到破坏,那么不仅仅是敏感数据被泄漏、攻击者获得收益,并且患者的生命还可能受到威胁。

为了保证上述目标,我们建议医疗健康组织阅读下面的指南,以确认其安全状况:

医生如何进行安全防护:一盎司的预防等同于一磅重的恢复

构建事件响应程序:创建框架

如何创建有意识的安全文化

谁在负责医疗管理应用程序的安全性?

如何创建成功的网络安全策略

关于网络安全和数据隐私法的指南

10种防范恶意软件感染的简单方法


文章来源:嘶吼


       (科技成果转化中心供稿)