专栏首页安恒信息医疗行业网络入侵途径与全球安全现状

医疗行业网络入侵途径与全球安全现状

患者信息泄露、医疗信息被篡改、医生误诊、遭勒索……医疗行业的网络安全危机是否已经到来?

去年在某行业峰会上,我们作出了“医疗网络将成为网络犯罪分子重点攻击对象”的预测,奈何预言成真。医疗数据泄露事件有如洪水猛兽。已有数据显示,今年医疗行业也不会幸免。

我们研究网络犯罪分子加密医疗数据并发起赎金勒索的活动已逾一年。这些攻击者是如何进入医疗网络、泄露医疗数据,以及如何在公共医疗资源中找到敏感的医疗数据?

2015-2017年医疗数据泄露事件数量(来源:HIPPA Journal)

01

打开医疗网络“大门”的钥匙

为了找到医疗基础架构中可能存在的弱点,我们首先提取了名称中含“medic”、“clinic”、“hospit”、“surgery”以及“healthcare”等医院的IP地址,然后启动masscan(端口扫描器),通过专门的搜索引擎(Shodan与Censys)进行解析,最终获得这些医疗机构的公共资源。

Masscan报告摘录

当然,医疗网络边界往往包含着很多不太重要的开放端口和服务:web服务器、DNS服务器、mail服务器等等。这些端口和服务最容易被攻击者利用,但是研究这些简单的漏洞对于我们的研究没有太大帮助。修复这些过时的服务是医疗机构应该做到的最基本的安全防护。例如,我们发现很多电子医疗记录的web应用其实都需要更新。

医疗网络便捷最受欢迎的开放端口(18723个现场主机;27,716个开放端口)

通过ZTag和Censys这两个工具,我们确定了隐藏在这些端口背后的服务类型。如果你愿意深入探究这些嵌入式标签,还会看到发现很多东西,例如打印机、SCADA系统、NAS等。

医疗网络边界中的主要服务

撇开以上那些小型端口和服务后,我们发现了可能存在漏洞的建筑管理系统。采用Niagara Fox协议的设备通常在TCP端口1911和4911上运行。我们能从中远程收集信息,如应用名称、Java版本、主机操作系统、所在时区、本地IP地址以及堆栈中涉及的软件版本。

Niagara Fox service的信息摘录

或者通过具备web界面但没有认证请求的打印机,其仪表盘可在线获取,最终获得内部wifi网络信息以及“作业存储”日志中出现的文档信息。

通过Shodan搜索引擎,我们发现有些医疗机构的端口2000是开放的。这是一个智能kettle。尽管深层原因不明确,但这种kettle模型在医疗机构中非常流行。并且他们也已公开了漏洞信息,通过HP simple pass就能与kettle建立连接并提取当前连接wifi的相关信息。

医疗基础设施中包含着很多医疗设备,其中有些是便携式的。而像肺活量计或血压监测仪等设备则支持MQTT协议直接与其它设备进行通信。MQTT通信代理的其中一个主要组件(组件详细信息详见维基百科)可通过互联网获得,因此我们可以在线找到一些医疗设备。

除了智能家居中存在的物联网安全问题,通过MQTT肺活量计,众多医疗设备也面临着严峻的安全问题。

02

全球医疗行业部分安全数据

我们已经知道了攻击者是如何进入医疗网络的。接下来他们又会展开什么行动呢?搜索个人数据?或者通过勒索方式直接获取不法收入?当然,直接通过勒索牟利的可能性很大。我们来看一看2017年的一些数据。

以下数据所反映的整体现状令人堪忧。60%以上的医疗机构都在其服务器或计算机上安装了某些恶意软件。

2017年在医疗机构中检测到的攻击活动

另外,我们在与医疗机构紧密相关的制药行业中发现了更多的攻击活动。制药行业同样“商机无限”,令网络犯罪分子垂涎三尺。

2017年在制药企业中检测到的攻击活动

那么,哪些国家的医院和诊所最容易受到网络攻击?下面我们给出的数据是相对的,计算方式如下:国内医疗机构的设备数量除以我们检测到恶意代码的设备数量。

前三名依次是菲律宾、委内瑞拉和泰国。日本、沙特阿拉伯和墨西哥排名最靠后。由此可见,受网络攻击的可能性很大程度上取决于政府在公共部门网络安全方面的资金投入和整体网络安全意识水平。

医疗机构安全事故多发国家排行榜TOP 15

制药行业的情况似乎完全不同。网络安全事故最多发的是孟加拉国。通过相关资料的查阅,这个统计数据是有事实依据的:孟加拉国向欧洲出口海量药物。另外,摩洛哥的大型制药公司总产值占全国GDP的14%。并且印度也在这个排行榜中。

制药企业安全事故多发国家排行榜TOP 15

我们在10%的医疗设备、25%以上的医疗公司以及10%的制药公司中均检测到了一些黑客工具,例如Mimikatz、Meterpreter、tweaked远程管理工具包等。

这一现象的出现有两种可能:一是说明医疗行业在网安领域还是有一定技术成熟度,十分重视通过白帽黑客和专业的渗透测试人员对自己的基础架构进行持续性的审计活动;二是他们的网络频繁遭到黑客入侵。显然,从实际情况来看,第二种情况的可能性更大。

攻击工具:Powerpreter、Meterpreter、Remote admin等

03

APT

研究表明,APT攻击者对制药企业的数据非常感兴趣。我们在东南亚发现了APT攻击的受害企业(确切地说是越南和孟加拉国),犯罪分子以服务器为目标,利用臭名昭著的PlugX或Cobalt Strike恶意软件来窃取数据。

本案例中的APT攻击者使用PlugX RAT,在用户不之情或未授权的情况下对系统执行各种恶意操作,包括复制和修改文件、记录键盘击键、窃取密码、截取用户活动截图等等。犯罪分子们利用PlugX或Cobalt Strike谨慎地窃取和收集敏感的或其它有利可图的信息。在这个案例的研究过程中,我们无法追踪攻击者的初始攻击方式,但有迹象表明他们可能是利用了服务器上存有漏洞的软件。

既然黑客有可能在制药企业的服务器中植入恶意程序,我们就能够推测这些企业对网络安全的重视程度远低于商业计划和知识产权的维护。

04

如何应对

防范黑客攻击的技巧网上数不胜数,这里我们还是要针对医疗行业给出3条简短但十分有必要的建议:

删除处理公开医疗数据的所有节点 定期更新已安装软件并删除不需要的应用程序 避免将昂贵设备连接到组织内部的主要局域网

转载自FreeBuf.COM * 参考来源:securelist

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-04-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 黑客不死 CIO还要担心IT未来

    IT技术几乎已经渗透到我们生活的方方面面。IT技术的发展对于我们的生活来说有很多好处,还有很多负面影响。目前包括美国在内的大多数国家,过分的依赖高科...

    安恒信息
  • 以银行为目标的Office 0day漏洞利用木马分析

    步骤分析 近日,国外安全厂商McAfee和FireEye发现了一个针对银行的木马,该木马利用了一个Office零日漏洞发起攻击,危害性非常高,经过安恒研究院分析...

    安恒信息
  • 中国版GDPR《个人信息安全规范》解读:国内企业如何保障信息安全?

    大数据时代带来了无法量化的变革,但与此同时,也带来了数据和信息安全的隐患。此前,小安曾解读过GDPR,今天,小安再次带领各位小伙伴,探究中国版的“GDPR”——...

    安恒信息
  • 医疗行业网络入侵途径与全球安全现状

    患者信息泄露、医疗信息被篡改、医生误诊、遭勒索……医疗行业的网络安全末日是否已经到来?

    FB客服
  • JP摩根健康大会上关于互联网医疗的5个观点

    大数据文摘
  • 从互联网+到智慧智能,医疗行业的发展到底有多快?

    “人民健康是民族昌盛和国家富强的重要标志。要完善国民健康政策,为人民群众提供全方位全周期健康服务。”

    用户1677530
  • 研报:医疗云高歌猛进,2017年市场规模预计达到50.1亿元

    T客汇官网:tikehui.com 撰文|窦悦怡 ? 随着政府出台一系列政策支持云医疗的发展,加上互联网+医疗的深入发展,云计算已经扎根到医疗行业的各部分,医...

    人称T客
  • 从互联网+到智慧智能,医疗行业的发展到底有多快?

    “人民健康是民族昌盛和国家富强的重要标志。要完善国民健康政策,为人民群众提供全方位全周期健康服务。”

    用户1756376
  • 行业盘点 | 医疗行业10大关键词

    前言 近年来,新医改政策和各类高新技术凭借强大的赋能力,将中国的医疗信息化产业推入快速发展的黄金时期。前瞻研究院预测,2020年我国医疗信息化市场规模将超过千亿...

    灯塔大数据
  • 中国会有自己的医疗机器人沃森吗?

    摘要:2011年IBM发布了一款叫"沃森"的超级医生助手,数以千万G的医学资料被"灌"进了"沃森"的大脑,包括病人的临床表现、实验室检查、治疗方案等,能够为医生...

    新智元

扫码关注云+社区

领取腾讯云代金券