該“全球醫(yī)療行業(yè)威脅分析與報(bào)告”探討了2016年第四季度全球醫(yī)療保健行業(yè)的威脅趨勢(shì)。所采用的威脅數(shù)據(jù)是 FortiGuardLabs威脅研究與響應(yīng)團(tuán)隊(duì)基于全球50個(gè)國(guó)家的454家醫(yī)療保健公司的傳感器所獲得的。
FortiGuard Labs 及其遍布世界各地的200多位研究人員和分析師每年要進(jìn)行400,000多小時(shí)的威脅研究,監(jiān)控并分析200多萬(wàn)個(gè)傳感器收集的威脅遙測(cè)數(shù)據(jù)。由此生成的威脅情報(bào)可有效的幫助我們準(zhǔn)確分析當(dāng)前的威脅和進(jìn)一步檢測(cè)新興威脅、改進(jìn)我們的檢測(cè)和預(yù)防技術(shù)、為世界各地的300,000多客戶提供近實(shí)時(shí)的可執(zhí)行威脅情報(bào)。平均來(lái)說,我們每分鐘查封180,000個(gè)惡意網(wǎng)站,阻止220,000僵尸網(wǎng)絡(luò)攻擊嘗試,挫敗733,000網(wǎng)絡(luò)入侵企圖。迄今為止,已發(fā)現(xiàn)了339個(gè)零日威脅,這已經(jīng)成為行業(yè)紀(jì)錄。
在下面的報(bào)告中,我們將關(guān)注 FortiGuard Labs 在2016年第四季度中檢測(cè)到的針對(duì)全球醫(yī)療行業(yè)的五大惡意軟件、勒索軟件、移動(dòng)惡意軟件、IPS事件、僵尸網(wǎng)絡(luò)和滲透代碼工具包。
五大惡意軟件
全球醫(yī)療行業(yè) —2016年第四季度檢測(cè)到的五大惡意軟件檢測(cè)到的五大惡意軟件中的大多數(shù)均因充當(dāng)勒索軟件攻擊的初始攻擊向量而聞名,而頂層攻擊來(lái)自基于VB腳本的dropper木馬程序(VBS/Agent.LKY!tr),該木馬程序可以在攻擊的第二階段下載勒索軟件。排名第二的是“Riskware/Asparnet”,這是一種通常無(wú)意安裝的軟件類型,并在用戶不知情的情況下偷偷收集敏感信息。
列表中的剩余惡意軟件也被認(rèn)為是droppers木馬型勒索軟件(VBS/Agent.97E!tr、JS/Nemucod.BQM!tr 和 JS/Nemucod.76CD!tr.dldr)。JS/Nemucod(及其變體)是非常有名的基于JavaScript的惡意軟件家族,通過垃圾郵件植入目標(biāo)設(shè)備并將多余的惡意軟件(主要是勒索軟件)下載到個(gè)人電腦中。例如,一封電子郵件通過附帶加密的JavaScript附件的典型 Nemucod 垃圾郵件植入目標(biāo)設(shè)備。解密 JavaScript 之后,我們可以看到其試圖從黑客控制的網(wǎng)站下載文件到用戶臨時(shí)文件夾。下載的文件是可執(zhí)行文件,稍后用于加密用戶的文件。
五大勒索軟件
全球醫(yī)療行業(yè) —2016年第四季度檢測(cè)到的五大勒索軟件我們觀察到的最活躍勒索軟件是 CryptoWall,在所有檢測(cè)到的勒索軟件感染事件中占據(jù)90%以上份額。與大多數(shù)類型的勒索軟件一樣,CryptoWall 劫持受害者的數(shù)據(jù),對(duì)文件進(jìn)行加密,然后索要贖金以解密這些文件。惡意軟件會(huì)顯示一則信息告知受害者:他們的文件已經(jīng)被加密,而且他們必須在限定的時(shí)間內(nèi)支付贖金,否則贖金將漲價(jià)。為最大程度地隱匿自己的身份,惡意軟件的作者使用 Tor 網(wǎng)絡(luò)并且要求以比特幣支付贖金,我們注意到這種趨勢(shì)越來(lái)越普遍。
排名第二的是Cerber,檢測(cè)到的感染率為5%左右。Cerber 具有與 CryptoWall 幾乎相同的勒索軟件特征。
TorrentLocker、TeslaCrypt 和 Locky 是我們檢測(cè)到的其他幾種勒索軟件,在其他行業(yè)中也很常見。
五大移動(dòng)惡意軟件
全球醫(yī)療行業(yè) —2016年第四季度檢測(cè)到的五大移動(dòng)惡意軟件針對(duì)安卓系統(tǒng)的惡意軟件占據(jù)整個(gè)五大移動(dòng)惡意軟件排行榜。這可能是因?yàn)榘沧吭O(shè)備通常允許用戶輕松安裝來(lái)自第三方的應(yīng)用程序,而這些應(yīng)用程序在下載時(shí)可能會(huì)附帶基于安卓系統(tǒng)的惡意軟件。
五大入侵防御系統(tǒng)(IPS)事件
全球醫(yī)療行業(yè) —2016年第四季度檢測(cè)到的五大入侵防御系統(tǒng)(IPS)事件VxWorks.WDB.Agent.Debug.Service.Code.Execution 在檢測(cè)到的 IPS 事件中排名榜首,攻擊次數(shù)將近200萬(wàn)。VxWorks 是一種操作系統(tǒng),適用于包括醫(yī)療設(shè)備在內(nèi)的嵌入式設(shè)備(或物聯(lián)網(wǎng),因?yàn)槟壳拔锫?lián)網(wǎng)眾所周知),比如 CT/PET/X 射線儀器、輸液泵、個(gè)人活動(dòng)監(jiān)視器、以及其他多種設(shè)備。該漏洞最早發(fā)現(xiàn)于2010年,但是我們?cè)?016年(在補(bǔ)丁已經(jīng)可用的情況下)仍然能夠檢測(cè)到針對(duì)該漏洞的攻擊活動(dòng),表明威脅實(shí)施者可能正在試圖利用存在漏洞的嵌入式設(shè)備,這些設(shè)備具有以下特點(diǎn):
具有較長(zhǎng)的補(bǔ)丁周期,或者
很少安裝補(bǔ)丁,甚至
根本沒有安裝補(bǔ)丁!
在如上所示的五大入侵防御系統(tǒng)(IPS)事件中,我們還注意到:某些攻擊活動(dòng)旨在尋找配置錯(cuò)誤的、基于Unix的網(wǎng)頁(yè)服務(wù)器(可能會(huì)從/etc/passwd暴露操作系統(tǒng)用戶名);某些攻擊活動(dòng)試圖針對(duì)網(wǎng)頁(yè)應(yīng)用程序進(jìn)行 SQL 注入,還有一些攻擊活動(dòng)則瞄準(zhǔn)存在漏洞的 Netcore/Netis 路由器和多種Bash漏洞(aka ShellShock)。
五大僵尸網(wǎng)絡(luò)事件
全球醫(yī)療行業(yè) —2016年第四季度檢測(cè)到的五大僵尸網(wǎng)絡(luò)我們檢測(cè)到的最活躍僵尸網(wǎng)絡(luò)是 Andromeda,這是一個(gè)模塊化僵尸程序,其包含的裝載程序可以下載模塊并且從其C2服務(wù)器進(jìn)行更新。該裝載程序具有反虛擬機(jī)和反調(diào)試特征,這也是其能夠成為廣受歡迎的僵尸網(wǎng)絡(luò)的原因。排在其后的是 H-Worm、Necurs、Conficker 和 Pushdo。
H-Worm 是一種基于 VBscript 的僵尸網(wǎng)絡(luò),允許威脅實(shí)施者盜竊敏感信息并發(fā)送到其C2服務(wù)器,而 Necurs 則用于傳播與 Locky 勒索軟件有關(guān)的惡意軟件。Conficker 是已知的最大僵尸網(wǎng)絡(luò)之一,自2008年以來(lái)一直為非作歹。通常情況下,該僵尸網(wǎng)絡(luò)滲透存在漏洞的 Windows 系統(tǒng),并且通過掃描和感染其他存在漏洞的系統(tǒng)以蠕蟲的方式蔓延。被感染的系統(tǒng)最終將淪落為僵尸網(wǎng)絡(luò)。我們?cè)?016年仍然能檢測(cè)到 Conficker 攻擊活動(dòng),這表明互聯(lián)網(wǎng)中仍然存在感染了該惡意軟件的 Windows 系統(tǒng)。Pushdo 也是一種已經(jīng)存活數(shù)年之久的僵尸網(wǎng)絡(luò),因?yàn)閰⑴c大規(guī)模垃圾郵件活動(dòng)而聞名。
五大滲透代碼工具包
全球醫(yī)療行業(yè) —2016年第四季度檢測(cè)到的五大滲透代碼工具包其他 3%RIG 是2016年檢測(cè)到的最活躍滲透代碼工具包,檢出率為46%;與大多數(shù)滲透代碼工具包一樣,RIG 在滲透成功之后主要進(jìn)行勒索軟件傳播。
排名第二的CK為23%,緊隨其后的是Angler(16%)、Neutrino(12%)、以及其他不太流行的滲透代碼工具包(3%)。這些滲透代碼工具包中的大多數(shù)還可用于勒索軟件傳播。
總結(jié)
我們可以從上述威脅研究結(jié)果中發(fā)現(xiàn)醫(yī)療保健行業(yè)與規(guī)模更大的IT行業(yè)面臨或多或少相同的威脅。從惡意軟件的角度來(lái)看,大多數(shù)感染都是基于勒索軟件的,因?yàn)槊舾械尼t(yī)療保健數(shù)據(jù)被加密之后,成功收取贖金的概率很高。我們還注意到 CryptoWall 是2016年第四季度醫(yī)療保健行業(yè)最盛行的勒索軟件,而基于安卓系統(tǒng)的惡意軟件則占據(jù)移動(dòng)惡意軟件排行榜的前五名。有趣的是,我們還發(fā)現(xiàn)針對(duì)已存在6年之久的 VxWorks 漏洞的攻擊活動(dòng)在檢測(cè)到的IPS事件中排名榜首,這可能表明威脅實(shí)施者在試探并滲透攻擊運(yùn)行 VxWorks 嵌入式系統(tǒng)且未安裝補(bǔ)丁的醫(yī)療設(shè)備時(shí)也是抱著碰碰運(yùn)氣的心態(tài)。Andromeda是已檢測(cè)到的最活躍的僵尸網(wǎng)絡(luò),其復(fù)原能力很強(qiáng),自2011年以來(lái)一直存活至今。最后,我們檢測(cè)到的五大滲透代碼工具包都可用于傳播勒索軟件。如果正確規(guī)劃并執(zhí)行多層次安全防護(hù)措施,還是可以緩解上述所有威脅帶來(lái)的危害的。