只要数据存在其价值,威胁便时刻伴随。近年来,医疗行业面临的威胁情况愈发的严峻了。病例等数据其重要性不言而喻,但是相对金融行业,医疗行业对安全的投入有待进一步提升。
我们将关注在2016年第四季度中检测到的针对全球医疗行业的五大恶意软件、勒索软件、移动恶意软件、IPS事件、僵尸网络和渗透代码工具包。籍由此,提供基于行业的威胁态势感知并建议多维度的安全防御。
五大恶意软件
检测到的五大恶意软件中的大多数均因充当勒索软件攻击的初始攻击向量而闻名,而顶层攻击来自基于VB脚本的dropper木马程序(VBS/Agent.LKY!tr),该木马程序可以在攻击的第二阶段下载勒索软件。排名第二的是“Riskware/Asparnet”,这是一种通常无意安装的软件类型,并在用户不知情的情况下偷偷收集敏感信息。
列表中的剩余恶意软件也被认为是droppers木马型勒索软件(VBS/Agent.97E!tr 、JS/Nemucod.BQM!tr 和 JS/Nemucod.76CD!tr.dldr) 。JS/Nemucod(及其变体)是非常有名的基于java script的恶意软件家族,通过垃圾邮件植入目标设备并将多余的恶意软件(主要是勒索软件)下载到个人电脑中。例如,一封电子邮件通过附带加密的java script附件的典型Nemucod 垃圾邮件植入目标设备。解密 java script 之后,我们可以看到其试图从黑客控制的网站下载文件到用户临时文件夹。下载的文件是可执行文件,稍后用于加密用户的文件。
五大勒索软件
我们观察到的最活跃勒索软件是 CryptoWall,在所有检测到的勒索软件感染事件中占据90%以上份额。与大多数类型的勒索软件一样,CryptoWall劫持受害者的数据,对文件进行加密,然后索要赎金以解密这些文件。恶意软件会显示一则信息告知受害者:他们的文件已经被加密,而且他们必须在限定的时间内支付赎金,否则赎金将涨价。为最大程度地隐匿自己的身份,恶意软件的作者使用Tor 网络并且要求以比特币支付赎金,我们注意到这种趋势越来越普遍。
排名第二的是Cerber,检测到的感染率为5%左右。Cerber 具有与CryptoWall 几乎相同的勒索软件特征。
TorrentLocker、TeslaCrypt 和 Locky 是我们检测到的其他几种勒索软件,在其他行业中也很常见。
五大移动恶意软件
针对安卓系统的恶意软件占据整个五大移动恶意软件排行榜。这可能是因为安卓设备通常允许用户轻松安装来自第三方的应用程序,而这些应用程序在下载时可能会附带基于安卓系统的恶意软件。
五大入侵防御系统(IPS)事件
VxWorks.WDB.Agent.Debug.Service.Code.Execution在检测到的 IPS 事件中排名榜首,攻击次数将近200万。VxWorks 是一种操作系统,适用于包括医疗设备在内的嵌入式设备(或物联网,因为目前物联网众所周知),比如CT/PET/X 射线仪器、输液泵、个人活动监视器、以及其他多种设备。该漏洞最早发现于2010年,但是我们在2016年(在补丁已经可用的情况下)仍然能够检测到针对该漏洞的攻击活动,表明威胁实施者可能正在试图利用存在漏洞的嵌入式设备,这些设备具有以下特点:
· 具有较长的补丁周期,或者
· 很少安装补丁,甚至
· 根本没有安装补丁!
在如下所示的五大入侵防御系统(IPS)事件中,我们还注意到:某些攻击活动旨在寻找配置错误的、基于Unix的网页服务器(可能会从/etc/passwd暴露操作系统用户名);某些攻击活动试图针对网页应用程序进行SQL 注入,还有一些攻击活动则瞄准存在漏洞的 Netcore/Netis 路由器和多种Bash漏洞(aka ShellShock)。
五大僵尸网络事件
我们检测到的最活跃僵尸网络是 Andromeda,这是一个模块化僵尸程序,其包含的装载程序可以下载模块并且从其C2服务器进行更新。 该装载程序具有反虚拟机和反调试特征,这也是其能够成为广受欢迎的僵尸网络的原因。排在其后的是H-Worm、Necurs、Conficker 和 Pushdo。
H-Worm 是一种基于 VBscript 的僵尸网络 ,允许威胁实施者盗窃敏感信息并发送到其C2服务器, 而 Necurs 则用于传播与 Locky 勒索软件有关的恶意软件。Conficker 是已知的最大僵尸网络之一,自2008年以来一直为非作歹。通常情况下,该僵尸网络渗透存在漏洞的Windows 系统,并且通过扫描和感染其他存在漏洞的系统以蠕虫的方式蔓延。被感染的系统最终将沦落为僵尸网络。我们在2016年仍然能检测到 Conficker攻击活动,这表明互联网中仍然存在感染了该恶意软件的 Windows 系统。Pushdo 也是一种已经存活数年之久的僵尸网络,因参与大规模垃圾邮件活动而闻名。
五大渗透代码工具包
RIG 是2016年检测到的最活跃渗透代码工具包,检出率为46%;与大多数渗透代码工具包一样,RIG在渗透成功之后主要进行勒索软件传播。
排名第二的CK为23% ,紧随其后的是Angler(16%)、 Neutrino(12%)、以及其他不太流行的渗透代码工具包(3%)。这些渗透代码工具包中的大多数还可用于勒索软件传播。
总结
我们可以从上述威胁研究结果中发现医疗行业与规模更大的IT行业面临或多或少相同的威胁。
从恶意软件的角度来看,大多数感染都是基于勒索软件的,因为敏感的医疗保健数据被加密之后,成功收取赎金的概率很高。我们还注意到CryptoWall 是2016年第四季度医疗保健行业最盛行的勒索软件,而基于安卓系统的恶意软件则占据移动恶意软件排行榜的前五名。有趣的是,我们还发现针对已存在6年之久的VxWorks 漏洞的攻击活动在检测到的IPS事件中排名榜首,这可能表明威胁实施者在试探并渗透攻击运行 VxWorks 嵌入式系统且未安装补丁的医疗设备时也是抱着碰碰运气的心态。Andromeda是已检测到的最活跃的僵尸网络,其复原能力很强,自2011年以来一直存活至今。最后,我们检测到的五大渗透代码工具包都可用于传播勒索软件。
如果正确规划并执行多层次安全防护措施,还是可以缓解上述所有威胁带来的危害的。