隻要資料存在其價值,威脅便時刻伴随。近年來,醫療行業面臨的威脅情況愈發的嚴峻了。病例等資料其重要性不言而喻,但是相對金融行業,醫療行業對安全的投入有待進一步提升。
我們将關注在2016年第四季度中檢測到的針對全球醫療行業的五大惡意軟體、勒索軟體、移動惡意軟體、ips事件、僵屍網絡和滲透代碼工具包。籍由此,提供基于行業的威脅态勢感覺并建議多元度的安全防禦。
五大惡意軟體
檢測到的五大惡意軟體中的大多數均因充當勒索軟體攻擊的初始攻擊向量而聞名,而頂層攻擊來自基于vb腳本的dropper木馬程式(vbs/agent.lky!tr),該木馬程式可以在攻擊的第二階段下載下傳勒索軟體。排名第二的是“riskware/asparnet”,這是一種通常無意安裝的軟體類型,并在使用者不知情的情況下偷偷收集敏感資訊。
清單中的剩餘惡意軟體也被認為是droppers木馬型勒索軟體(vbs/agent.97e!tr 、js/nemucod.bqm!tr 和 js/nemucod.76cd!tr.dldr) 。js/nemucod(及其變體)是非常有名的基于javascript的惡意軟體家族,通過垃圾郵件植入目标裝置并将多餘的惡意軟體(主要是勒索軟體)下載下傳到個人電腦中。例如,一封電子郵件通過附帶加密的javascript附件的典型nemucod 垃圾郵件植入目标裝置。解密 javascript 之後,我們可以看到其試圖從黑客控制的網站下載下傳檔案到使用者臨時檔案夾。下載下傳的檔案是可執行檔案,稍後用于加密使用者的檔案。
global healthcare threat telemetry 1-惡意軟體.png
五大勒索軟體
我們觀察到的最活躍勒索軟體是 cryptowall,在所有檢測到的勒索軟體感染事件中占據90%以上份額。與大多數類型的勒索軟體一樣,cryptowall劫持受害者的資料,對檔案進行加密,然後索要贖金以解密這些檔案。惡意軟體會顯示一則資訊告知受害者:他們的檔案已經被加密,而且他們必須在限定的時間内支付贖金,否則贖金将漲價。為最大程度地隐匿自己的身份,惡意軟體的作者使用tor 網絡并且要求以比特币支付贖金,我們注意到這種趨勢越來越普遍。
排名第二的是cerber,檢測到的感染率為5%左右。cerber 具有與cryptowall 幾乎相同的勒索軟體特征。
torrentlocker、teslacrypt 和 locky 是我們檢測到的其他幾種勒索軟體,在其他行業中也很常見。
global healthcare threat telemetry 2-勒索軟體.png
五大移動惡意軟體
針對安卓系統的惡意軟體占據整個五大移動惡意軟體排行榜。這可能是因為安卓裝置通常允許使用者輕松安裝來自第三方的應用程式,而這些應用程式在下載下傳時可能會附帶基于安卓系統的惡意軟體。
global healthcare threat telemetry 3-移動惡意軟體.png
五大入侵防禦系統(ips)事件
vxworks.wdb.agent.debug.service.code.execution在檢測到的 ips 事件中排名榜首,攻擊次數将近200萬。vxworks 是一種作業系統,适用于包括醫療裝置在内的嵌入式裝置(或物聯網,因為目前物聯網衆所周知),比如ct/pet/x 射線儀器、打點滴泵、個人活動螢幕、以及其他多種裝置。該漏洞最早發現于2010年,但是我們在2016年(在更新檔已經可用的情況下)仍然能夠檢測到針對該漏洞的攻擊活動,表明威脅實施者可能正在試圖利用存在漏洞的嵌入式裝置,這些裝置具有以下特點:
· 具有較長的更新檔周期,或者
· 很少安裝更新檔,甚至
· 根本沒有安裝更新檔!
在如下所示的五大入侵防禦系統(ips)事件中,我們還注意到:某些攻擊活動旨在尋找配置錯誤的、基于unix的網頁伺服器(可能會從/etc/passwd暴露作業系統使用者名);某些攻擊活動試圖針對網頁應用程式進行sql 注入,還有一些攻擊活動則瞄準存在漏洞的 netcore/netis 路由器和多種bash漏洞(aka shellshock)。
global healthcare threat telemetry 4-ips事件.png
五大僵屍網絡事件
我們檢測到的最活躍僵屍網絡是 andromeda,這是一個子產品化僵屍程式,其包含的裝載程式可以下載下傳子產品并且從其c2伺服器進行更新。 該裝載程式具有反虛拟機和反調試特征,這也是其能夠成為廣受歡迎的僵屍網絡的原因。排在其後的是h-worm、necurs、conficker 和 pushdo。
h-worm 是一種基于 vbscript 的僵屍網絡 ,允許威脅實施者盜竊敏感資訊并發送到其c2伺服器, 而 necurs 則用于傳播與 locky 勒索軟體有關的惡意軟體。conficker 是已知的最大僵屍網絡之一,自2008年以來一直為非作歹。通常情況下,該僵屍網絡滲透存在漏洞的windows 系統,并且通過掃描和感染其他存在漏洞的系統以蠕蟲的方式蔓延。被感染的系統最終将淪落為僵屍網絡。我們在2016年仍然能檢測到 conficker攻擊活動,這表明網際網路中仍然存在感染了該惡意軟體的 windows 系統。pushdo 也是一種已經存活數年之久的僵屍網絡,因參與大規模垃圾郵件活動而聞名。
global healthcare threat telemetry 5-僵屍.png
五大滲透代碼工具包
rig 是2016年檢測到的最活躍滲透代碼工具包,檢出率為46%;與大多數滲透代碼工具包一樣,rig在滲透成功之後主要進行勒索軟體傳播。
排名第二的ck為23% ,緊随其後的是angler(16%)、 neutrino(12%)、以及其他不太流行的滲透代碼工具包(3%)。這些滲透代碼工具包中的大多數還可用于勒索軟體傳播。
global healthcare threat telemetry 6-滲透工具.png
總結
我們可以從上述威脅研究結果中發現醫療行業與規模更大的it行業面臨或多或少相同的威脅。
從惡意軟體的角度來看,大多數感染都是基于勒索軟體的,因為敏感的醫療保健資料被加密之後,成功收取贖金的機率很高。我們還注意到cryptowall 是2016年第四季度醫療保健行業最盛行的勒索軟體,而基于安卓系統的惡意軟體則占據移動惡意軟體排行榜的前五名。有趣的是,我們還發現針對已存在6年之久的vxworks 漏洞的攻擊活動在檢測到的ips事件中排名榜首,這可能表明威脅實施者在試探并滲透攻擊運作 vxworks 嵌入式系統且未安裝更新檔的醫療裝置時也是抱着碰碰運氣的心态。andromeda是已檢測到的最活躍的僵屍網絡,其複原能力很強,自2011年以來一直存活至今。最後,我們檢測到的五大滲透代碼工具包都可用于傳播勒索軟體。
如果正确規劃并執行多層次安全防護措施,還是可以緩解上述所有威脅帶來的危害的。
資料來源及關于fortiguard威脅研究與響應實驗室
該全球醫療行業威脅分析與 報告探讨了2016年第四季度全球醫療保健行業的威脅趨勢。報告所采用的威脅資料是 fortiguard labs 威脅響應與研究團隊基于全球50個國家的454家醫療保健公司的傳感器所獲得的。
fortiguard labs 及其遍布世界各地的200多位研究人員和分析師每年要進行400,000多小時的威脅研究,監控并分析200多萬個傳感器收集的威脅遙測資料。由此生成的威脅情報可有效的幫助我們準确分析目前的威脅和進一步檢測新興威脅、改進我們的檢測和預防技術、為世界各地的300,000多客戶提供近實時的可執行威脅情報。平均來說,fortiguard 每分鐘查封180,000個惡意網站,阻止220,000僵屍網絡攻擊嘗試,挫敗733,000網絡入侵企圖。迄今為止,已發現了339個零日威脅。
本文轉自d1net(轉載)
![nodejs微信開發---授權登入+擷取使用者資訊微信網頁授權[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)