AhnLab安全月刊 - PDF 免费下载

2016.05 Vol. 42 Targeted Ransomware

勒索软件正在进化为针对性勒索软件瞄准医疗机构发起攻击最近, 勒索软件进化为专门针对特定对象的攻击方式, 而且其方式变得更加复杂和高级尤其今年初开始, 国内外均报告有围绕医疗机构的勒索软件攻击事件发生医疗保健领域面临的风险比其他产业更高, 因为医院系统中断造成的结果可能是生命的死亡如果医院或医疗机构的系统被勒索软件攻击, 支付赎金的比率可能比起其他产业很高可能是这一点, 黑客开始针对医疗机构发起勒索软件攻击本文介绍最近医疗机构发生的勒索软件被害事例, 并讨论对此的响应方案针对医疗机构的勒索软件的出现今年三月, 在美国发生了三所大型医院被勒索软件感染并受到损失的事件受害医院分别是位于肯塔基州 Henderson 的 Methodist 医院加州的 Chino Valley 医疗中心和维克多维尔的 Desert Valley 医院据调查, 这三所医疗机构被勒索软件攻击并受到损失之前, 好莱坞的 Presbyterian 医疗中心已被勒索软件感染 Presbyterian 医疗中心被勒索软件感染后, 造成无法访问系统最终, 工作人员支付了 17,000 美元的赎金来恢复医院的系统图 1 Henderson 的 Methodist 医院通过条幅告知由于被恶意软件感染而限制服务 2

如前面所述, 以前的勒索软件不针对特定对象发起攻击但最近发现的医疗机构勒索软件都是针对特定对象发起攻击的事例可见, 勒索软件攻击形式已进化为针对性的攻击形式 2015 年末, 出现了一个叫 SamSam 的勒索软件, 主要是针对存储着重要敏感信息的医疗机构发起攻击通常, 勒索软件攻击主要是通过网络钓鱼电子邮件或漏洞网站实施的而 SamSam 使用很早就已公开的 JexBoss 漏洞一旦恶意软件感染到服务器上, 它会在同一网络上传播到其他计算机上然后加密重要文件和图片, 生成 HTML 文件通知用户文件已被加密图 2 通知用户文件已被加密的 HTML 文件 AhnLab 产品可以检出勒索软件 SamSam <V3 产品诊断名 > Trojan/Win32.Samas <AhnLab MDS 诊断名 > Suspicious/MDP.Create Malware/MDP.Behavior 医院管理信息系统 (HIS) 潜在的安全威胁大部分的医疗机构为了医院管理和医疗活动而使用医院管理信息系统 (Hospital Information System, 以下简称为 HIS) HIS 覆盖医院所有的业务, 综合管理诊疗信息药品管理财务管理患者管理及各种医疗影像信息等尤其是, 电子病历 (Electronic Medical Record, EMR) 医嘱传输系统 (Order Communication System) 医疗影像存储与传输系统 (Picture Archiving & Communication System, PACS) 等所谓 HIS 的核心系统处理患者的敏感信息, 这些系统需要联机操作, 这就需要通过网络图 3 主要的医院管理系统 3

PACS 是应用在医院影像科室的系统, 将各种医学影像设备 ( 包括 MRI,CT,X-ray 等 ) 产生的图像信息保存起来, 当需要的时候在一定的授权下能够很快地调回使用它直接与患者的治疗和生命联系在一起因此, 是一个需要安全管理的重要系统另外, 对医学影像及诊断书的法律义务保管期间为 5 年, 为了防备可发生的以外事故, 对资料的备份管理也很重要通常 PACS 医学影像数据通过网络连接存储 (Network Attached Storage,NAS) 保存, 如果勒索软件入侵安装影像阅读器的客户端系统后对这些数据进行加密, 甚至加密同一网络保存的备份数据的话, 会造成可怕的影响图 4 PACS 系统概念图存储在 PACS 服务器的医学影像数据按照美国放射学会 (American College of Radiology,ACR) 和美国电气制造商协会 (National Electrical Manufacturers Association,NEMA ) 组成的联合委员会指定的医学影像标准, 即以 DICOM (Digital Imaging & Communications in Medicine) 文件形式存储和管理这并不是只限于图像和文件形式的标准, 而是对数据传送 (Transfer) 存储 (Storage) 和输出 (Display) 的总体标准规格根据标准规格, 影像包含了 DICOM 标签信息, 标签又包含着患者的性别年龄姓名等个人信息如果这些信息被勒索软件加密后泄漏的话, 可能会导致更为严重的后果最近人气播放的电视剧太阳的后裔中, 可以看到国家高层人士的医疗信息被处理为机密信息如果这些信息以恶意目的泄漏的话, 根据如何利用其受害程度可能超出想象图 6 通过 DICOM Viewer 查看的医学影像 ( 左 ) 和 DICOM Tag 保存的各种敏感信息 ( 右 ) * 来源 :http://www.codeproject.com/articles/36014/dicom-image-viewer) 如何响应持续进化的勒索软件? 为了响应持续进化的勒索软件,AhnLab 持续添加有关多样勒索软件变种的恶意诊断信息另外, 高级威胁响应解决方案 - AhnLab MDS 的运行保留 (Execution Holding) 功能不仅可以应对已知的勒索软件, 还可以应对多样的变种勒索软件尤其, 可以防止路过式下载 (Drive-by-Download) 攻击 4

图 6 AhnLab MDS 的运行保留 (Execution Holding) 功能 AhnLab MDS 的运行保留功能可以说是应对勒索软件的核心, 对于正在分析中的尚未确认恶意与否的可疑文件保留运行, 待分析结束后, 仅允许判定为正常的文件的运行勒索软件 SamSam 恶意利用特定服务器的漏洞入侵服务器, 在本地网络终端运行 Trigger 形式的各种恶意文件如果使用 AhnLab MDS 的运行保留功能, 可以预防勒索软件通过网络入侵后加密用户计算机的文件目前, 勒索软件的攻击变得更有针对性, 主要使用鱼叉式网络钓鱼 (Spear Phishing) 攻击方式鱼叉式网络钓鱼不同于一般的垃圾邮件, 主要针对特定机关和企业而且, 邮件内容很精巧, 附件也看起来很正常, 用户很难发现其异常 AhnLab MDS 提供电子邮件隔离 (MTA) 功能, 可以应对利用鱼叉式网络钓鱼方式传播恶意邮件的勒索软件电子邮件隔离 (MTA) 可将附上恶意代码或包含可疑 URL 的电子邮件隔离到 MDS 内部空间为了响应并预防越来越高级化的最新安全威胁, 安全三大要素人技术和进程必须相互形成协调首先, 为了从当前发生的安全威胁中受到保护, 从技术的观点引进相关解决方案是必须的尤其, 通过 AhnLab MDS 的电子邮件隔离 (MTA) 功能来隔离恶意电子邮件, 可以事前预防可发生的鱼叉式网络钓鱼攻击另外, 通过运行保留 (Execution Holding) 功能, 运行保留的可疑文件最终被判定为恶意的话, 即可删除和隔离该文件, 从新种或变种勒索软件威胁中安全保护用户系统 AhnLab MDS 还提供优化于文档型恶意软件的动态内容分析 (Dynamic Intelligent Content Analysis, DICA) 技术, 不管文件的可疑行为与否, 准确检出文件的应用程序零日漏洞图 7 AhnLab MDS 电子邮件隔离 (MTA) 功能无止境的勒索软件之战, 其结果是? 早在数年前, 已持续发生针对医疗机构和医疗保健领域的攻击对此, 政府机关和有关部门发布了一些准则作为应对方案前面所述的多个事例来看, 通过媒体报道的只是为了解密需要支付赎金的受害规模而已但是, 系统被勒索软件占领期间受到的销量减少和人员伤亡损失, 还有医院形象大大下降所带来的损失也是不容忽视的问题 5

图 8 为预防勒索软件的安全守则为防备勒索软件, 需要技术完善同时重要的是对人员和进程的重新调整检验一下组织是否为了业务方便而不考虑安全因素并建立进程? 如果存在不考虑安全因素的进程, 必须重新建立基于安全的进程同时, 需要进行教育来改善组织成员对安全的认识, 还要持续进行教育有关预防勒索软件的基本知识和准则参考资料 CYBERATTACKERS DEMAND $3.6M RANSOM FROM HOLLYWOOD HOSPITAL http://www.hipaajournal.com/cyberattackers-demand-3-6m-ransom-from-hollywood-hospital-8313/ As Ransomware Crisis Explodes, Hollywood Hospital Coughs Up $17,000 In Bitcoin http://www.forbes.com/sites/thomasbrewster/2016/02/18/ransomware-hollywood-payment-locky-menace/#1dff2c6b75b0 Hollywood Hospital Victimized by Ransomware Locky Spreading Fast http://www.ktvn.com/story/31274059/hollywood-hospital-victimized-by-ransomware-locky-spreading-fast A Hospital Paralyzed by Hackers http://www.theatlantic.com/technology/archive/2016/02/hackers-are-holding-a-hospitals-patient-data-ransom/463008/ 这个勒索软件只瞄准医疗机构 http://techholic.co.kr/archives/51555 短短一个星期, 医院三处被勒索软件攻击! 医疗界面临危机 http://www.boannews.com/media/view.asp?idx=50052&kind=4 国内主要医疗机构的勒索软件响应情况 http://www.boannews.com/media/view.asp?idx=50174 美国医院受到勒索软件攻击, 最终支付 1 万 7 千美金 http://www.ahnlab.com/kr/site/securityinfo/secunews/secunewsview.do?menu_dist=1&seq=24661 SAMSAM: THE DOCTOR WILL SEE YOU, AFTER HE PAYS THE RANSOM http://blog.talosintel.com/2016/03/samsam-ransomware.html?m=1 Check Point Threat Alert: SamSam and Maktub Ransomware Evolution http://blog.checkpoint.com/2016/03/28/check-point-threat-alert-samsam-and-maktub-ransomware-evolution/ 瞄准服务器漏洞入侵网络! 新种勒索软件 SamSam 的出现 http://www.boannews.com/media/view.asp?idx=50117&skind=o SamSam 进化为瞄准特定企业的针对性勒索软件 http://www.boannews.com/media/view.asp?idx=50198 Samsam may signal a new trend of targeted ransomware http://www.symantec.com/connect/blogs/samsam-may-signal-new-trend-targeted-ransomware No mas, Samas: What s in this ransomware s modus operandi? https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/ Evolution of SamSa Malware Suggests New Ransomware Tactics In Play http://researchcenter.paloaltonetworks.com/2016/03/evolution-of-samsa-malware-suggests-new-ransomware-tactics-in-play/ DICOM Standard http://dicom.nema.org/standard.html 6

http:// cn.ahnlab.com http://global.ahnlab.com http://www.ahnlab.com 关于 AhnLab Ahnlab 的尖端技术和服务不断满足当今世界日新月异的安全需求, 确保我们客户的业务连续性, 并致力于为所有客户打造一个安全的计算环境我们提供全方位的安全阵容, 包括经过证实的适用于桌面和服务器的世界级防病毒产品移动安全产品网上交易安全产品网络安全设备以及咨询服务 AhnLab 已经牢固地确立了其市场地位, 其销售伙伴遍布全球许多国家和地区北京市朝阳区望京阜通东大街 1 号望京 SOHO 塔 2 B 座 220502 室上海市闵行区万源路 2158 号 18 幢泓毅大厦 1201 室电话 : +86 10 8260 0932( 北京 ) / +86 21 6095 6780( 上海 ) cn.sales@ahnlab.com 2016 AhnLab, Inc. All rights reserved.