2016.05 Vol. 42 Targeted Ransomware
勒 索 软 件 正 在 进 化 为 针 对 性 勒 索 软 件 瞄 准 医 疗 机 构 发 起 攻 击 最 近, 勒 索 软 件 进 化 为 专 门 针 对 特 定 对 象 的 攻 击 方 式, 而 且 其 方 式 变 得 更 加 复 杂 和 高 级 尤 其 今 年 初 开 始, 国 内 外 均 报 告 有 围 绕 医 疗 机 构 的 勒 索 软 件 攻 击 事 件 发 生 医 疗 保 健 领 域 面 临 的 风 险 比 其 他 产 业 更 高, 因 为 医 院 系 统 中 断 造 成 的 结 果 可 能 是 生 命 的 死 亡 如 果 医 院 或 医 疗 机 构 的 系 统 被 勒 索 软 件 攻 击, 支 付 赎 金 的 比 率 可 能 比 起 其 他 产 业 很 高 可 能 是 这 一 点, 黑 客 开 始 针 对 医 疗 机 构 发 起 勒 索 软 件 攻 击 本 文 介 绍 最 近 医 疗 机 构 发 生 的 勒 索 软 件 被 害 事 例, 并 讨 论 对 此 的 响 应 方 案 针 对 医 疗 机 构 的 勒 索 软 件 的 出 现 今 年 三 月, 在 美 国 发 生 了 三 所 大 型 医 院 被 勒 索 软 件 感 染 并 受 到 损 失 的 事 件 受 害 医 院 分 别 是 位 于 肯 塔 基 州 Henderson 的 Methodist 医 院 加 州 的 Chino Valley 医 疗 中 心 和 维 克 多 维 尔 的 Desert Valley 医 院 据 调 查, 这 三 所 医 疗 机 构 被 勒 索 软 件 攻 击 并 受 到 损 失 之 前, 好 莱 坞 的 Presbyterian 医 疗 中 心 已 被 勒 索 软 件 感 染 Presbyterian 医 疗 中 心 被 勒 索 软 件 感 染 后, 造 成 无 法 访 问 系 统 最 终, 工 作 人 员 支 付 了 17,000 美 元 的 赎 金 来 恢 复 医 院 的 系 统 图 1 Henderson 的 Methodist 医 院 通 过 条 幅 告 知 由 于 被 恶 意 软 件 感 染 而 限 制 服 务 2
如 前 面 所 述, 以 前 的 勒 索 软 件 不 针 对 特 定 对 象 发 起 攻 击 但 最 近 发 现 的 医 疗 机 构 勒 索 软 件 都 是 针 对 特 定 对 象 发 起 攻 击 的 事 例 可 见, 勒 索 软 件 攻 击 形 式 已 进 化 为 针 对 性 的 攻 击 形 式 2015 年 末, 出 现 了 一 个 叫 SamSam 的 勒 索 软 件, 主 要 是 针 对 存 储 着 重 要 敏 感 信 息 的 医 疗 机 构 发 起 攻 击 通 常, 勒 索 软 件 攻 击 主 要 是 通 过 网 络 钓 鱼 电 子 邮 件 或 漏 洞 网 站 实 施 的 而 SamSam 使 用 很 早 就 已 公 开 的 JexBoss 漏 洞 一 旦 恶 意 软 件 感 染 到 服 务 器 上, 它 会 在 同 一 网 络 上 传 播 到 其 他 计 算 机 上 然 后 加 密 重 要 文 件 和 图 片, 生 成 HTML 文 件 通 知 用 户 文 件 已 被 加 密 图 2 通 知 用 户 文 件 已 被 加 密 的 HTML 文 件 AhnLab 产 品 可 以 检 出 勒 索 软 件 SamSam <V3 产 品 诊 断 名 > Trojan/Win32.Samas <AhnLab MDS 诊 断 名 > Suspicious/MDP.Create Malware/MDP.Behavior 医 院 管 理 信 息 系 统 (HIS) 潜 在 的 安 全 威 胁 大 部 分 的 医 疗 机 构 为 了 医 院 管 理 和 医 疗 活 动 而 使 用 医 院 管 理 信 息 系 统 (Hospital Information System, 以 下 简 称 为 HIS) HIS 覆 盖 医 院 所 有 的 业 务, 综 合 管 理 诊 疗 信 息 药 品 管 理 财 务 管 理 患 者 管 理 及 各 种 医 疗 影 像 信 息 等 尤 其 是, 电 子 病 历 (Electronic Medical Record, EMR) 医 嘱 传 输 系 统 (Order Communication System) 医 疗 影 像 存 储 与 传 输 系 统 (Picture Archiving & Communication System, PACS) 等 所 谓 HIS 的 核 心 系 统 处 理 患 者 的 敏 感 信 息, 这 些 系 统 需 要 联 机 操 作, 这 就 需 要 通 过 网 络 图 3 主 要 的 医 院 管 理 系 统 3
PACS 是 应 用 在 医 院 影 像 科 室 的 系 统, 将 各 种 医 学 影 像 设 备 ( 包 括 MRI,CT,X-ray 等 ) 产 生 的 图 像 信 息 保 存 起 来, 当 需 要 的 时 候 在 一 定 的 授 权 下 能 够 很 快 地 调 回 使 用 它 直 接 与 患 者 的 治 疗 和 生 命 联 系 在 一 起 因 此, 是 一 个 需 要 安 全 管 理 的 重 要 系 统 另 外, 对 医 学 影 像 及 诊 断 书 的 法 律 义 务 保 管 期 间 为 5 年, 为 了 防 备 可 发 生 的 以 外 事 故, 对 资 料 的 备 份 管 理 也 很 重 要 通 常 PACS 医 学 影 像 数 据 通 过 网 络 连 接 存 储 (Network Attached Storage,NAS) 保 存, 如 果 勒 索 软 件 入 侵 安 装 影 像 阅 读 器 的 客 户 端 系 统 后 对 这 些 数 据 进 行 加 密, 甚 至 加 密 同 一 网 络 保 存 的 备 份 数 据 的 话, 会 造 成 可 怕 的 影 响 图 4 PACS 系 统 概 念 图 存 储 在 PACS 服 务 器 的 医 学 影 像 数 据 按 照 美 国 放 射 学 会 (American College of Radiology,ACR) 和 美 国 电 气 制 造 商 协 会 (National Electrical Manufacturers Association,NEMA ) 组 成 的 联 合 委 员 会 指 定 的 医 学 影 像 标 准, 即 以 DICOM (Digital Imaging & Communications in Medicine) 文 件 形 式 存 储 和 管 理 这 并 不 是 只 限 于 图 像 和 文 件 形 式 的 标 准, 而 是 对 数 据 传 送 (Transfer) 存 储 (Storage) 和 输 出 (Display) 的 总 体 标 准 规 格 根 据 标 准 规 格, 影 像 包 含 了 DICOM 标 签 信 息, 标 签 又 包 含 着 患 者 的 性 别 年 龄 姓 名 等 个 人 信 息 如 果 这 些 信 息 被 勒 索 软 件 加 密 后 泄 漏 的 话, 可 能 会 导 致 更 为 严 重 的 后 果 最 近 人 气 播 放 的 电 视 剧 太 阳 的 后 裔 中, 可 以 看 到 国 家 高 层 人 士 的 医 疗 信 息 被 处 理 为 机 密 信 息 如 果 这 些 信 息 以 恶 意 目 的 泄 漏 的 话, 根 据 如 何 利 用 其 受 害 程 度 可 能 超 出 想 象 图 6 通 过 DICOM Viewer 查 看 的 医 学 影 像 ( 左 ) 和 DICOM Tag 保 存 的 各 种 敏 感 信 息 ( 右 ) * 来 源 :http://www.codeproject.com/articles/36014/dicom-image-viewer) 如 何 响 应 持 续 进 化 的 勒 索 软 件? 为 了 响 应 持 续 进 化 的 勒 索 软 件,AhnLab 持 续 添 加 有 关 多 样 勒 索 软 件 变 种 的 恶 意 诊 断 信 息 另 外, 高 级 威 胁 响 应 解 决 方 案 - AhnLab MDS 的 运 行 保 留 (Execution Holding) 功 能 不 仅 可 以 应 对 已 知 的 勒 索 软 件, 还 可 以 应 对 多 样 的 变 种 勒 索 软 件 尤 其, 可 以 防 止 路 过 式 下 载 (Drive-by-Download) 攻 击 4
图 6 AhnLab MDS 的 运 行 保 留 (Execution Holding) 功 能 AhnLab MDS 的 运 行 保 留 功 能 可 以 说 是 应 对 勒 索 软 件 的 核 心, 对 于 正 在 分 析 中 的 尚 未 确 认 恶 意 与 否 的 可 疑 文 件 保 留 运 行, 待 分 析 结 束 后, 仅 允 许 判 定 为 正 常 的 文 件 的 运 行 勒 索 软 件 SamSam 恶 意 利 用 特 定 服 务 器 的 漏 洞 入 侵 服 务 器, 在 本 地 网 络 终 端 运 行 Trigger 形 式 的 各 种 恶 意 文 件 如 果 使 用 AhnLab MDS 的 运 行 保 留 功 能, 可 以 预 防 勒 索 软 件 通 过 网 络 入 侵 后 加 密 用 户 计 算 机 的 文 件 目 前, 勒 索 软 件 的 攻 击 变 得 更 有 针 对 性, 主 要 使 用 鱼 叉 式 网 络 钓 鱼 (Spear Phishing) 攻 击 方 式 鱼 叉 式 网 络 钓 鱼 不 同 于 一 般 的 垃 圾 邮 件, 主 要 针 对 特 定 机 关 和 企 业 而 且, 邮 件 内 容 很 精 巧, 附 件 也 看 起 来 很 正 常, 用 户 很 难 发 现 其 异 常 AhnLab MDS 提 供 电 子 邮 件 隔 离 (MTA) 功 能, 可 以 应 对 利 用 鱼 叉 式 网 络 钓 鱼 方 式 传 播 恶 意 邮 件 的 勒 索 软 件 电 子 邮 件 隔 离 (MTA) 可 将 附 上 恶 意 代 码 或 包 含 可 疑 URL 的 电 子 邮 件 隔 离 到 MDS 内 部 空 间 为 了 响 应 并 预 防 越 来 越 高 级 化 的 最 新 安 全 威 胁, 安 全 三 大 要 素 人 技 术 和 进 程 必 须 相 互 形 成 协 调 首 先, 为 了 从 当 前 发 生 的 安 全 威 胁 中 受 到 保 护, 从 技 术 的 观 点 引 进 相 关 解 决 方 案 是 必 须 的 尤 其, 通 过 AhnLab MDS 的 电 子 邮 件 隔 离 (MTA) 功 能 来 隔 离 恶 意 电 子 邮 件, 可 以 事 前 预 防 可 发 生 的 鱼 叉 式 网 络 钓 鱼 攻 击 另 外, 通 过 运 行 保 留 (Execution Holding) 功 能, 运 行 保 留 的 可 疑 文 件 最 终 被 判 定 为 恶 意 的 话, 即 可 删 除 和 隔 离 该 文 件, 从 新 种 或 变 种 勒 索 软 件 威 胁 中 安 全 保 护 用 户 系 统 AhnLab MDS 还 提 供 优 化 于 文 档 型 恶 意 软 件 的 动 态 内 容 分 析 (Dynamic Intelligent Content Analysis, DICA) 技 术, 不 管 文 件 的 可 疑 行 为 与 否, 准 确 检 出 文 件 的 应 用 程 序 零 日 漏 洞 图 7 AhnLab MDS 电 子 邮 件 隔 离 (MTA) 功 能 无 止 境 的 勒 索 软 件 之 战, 其 结 果 是? 早 在 数 年 前, 已 持 续 发 生 针 对 医 疗 机 构 和 医 疗 保 健 领 域 的 攻 击 对 此, 政 府 机 关 和 有 关 部 门 发 布 了 一 些 准 则 作 为 应 对 方 案 前 面 所 述 的 多 个 事 例 来 看, 通 过 媒 体 报 道 的 只 是 为 了 解 密 需 要 支 付 赎 金 的 受 害 规 模 而 已 但 是, 系 统 被 勒 索 软 件 占 领 期 间 受 到 的 销 量 减 少 和 人 员 伤 亡 损 失, 还 有 医 院 形 象 大 大 下 降 所 带 来 的 损 失 也 是 不 容 忽 视 的 问 题 5
图 8 为 预 防 勒 索 软 件 的 安 全 守 则 为 防 备 勒 索 软 件, 需 要 技 术 完 善 同 时 重 要 的 是 对 人 员 和 进 程 的 重 新 调 整 检 验 一 下 组 织 是 否 为 了 业 务 方 便 而 不 考 虑 安 全 因 素 并 建 立 进 程? 如 果 存 在 不 考 虑 安 全 因 素 的 进 程, 必 须 重 新 建 立 基 于 安 全 的 进 程 同 时, 需 要 进 行 教 育 来 改 善 组 织 成 员 对 安 全 的 认 识, 还 要 持 续 进 行 教 育 有 关 预 防 勒 索 软 件 的 基 本 知 识 和 准 则 参 考 资 料 CYBERATTACKERS DEMAND $3.6M RANSOM FROM HOLLYWOOD HOSPITAL http://www.hipaajournal.com/cyberattackers-demand-3-6m-ransom-from-hollywood-hospital-8313/ As Ransomware Crisis Explodes, Hollywood Hospital Coughs Up $17,000 In Bitcoin http://www.forbes.com/sites/thomasbrewster/2016/02/18/ransomware-hollywood-payment-locky-menace/#1dff2c6b75b0 Hollywood Hospital Victimized by Ransomware Locky Spreading Fast http://www.ktvn.com/story/31274059/hollywood-hospital-victimized-by-ransomware-locky-spreading-fast A Hospital Paralyzed by Hackers http://www.theatlantic.com/technology/archive/2016/02/hackers-are-holding-a-hospitals-patient-data-ransom/463008/ 这 个 勒 索 软 件 只 瞄 准 医 疗 机 构 http://techholic.co.kr/archives/51555 短 短 一 个 星 期, 医 院 三 处 被 勒 索 软 件 攻 击! 医 疗 界 面 临 危 机 http://www.boannews.com/media/view.asp?idx=50052&kind=4 国 内 主 要 医 疗 机 构 的 勒 索 软 件 响 应 情 况 http://www.boannews.com/media/view.asp?idx=50174 美 国 医 院 受 到 勒 索 软 件 攻 击, 最 终 支 付 1 万 7 千 美 金 http://www.ahnlab.com/kr/site/securityinfo/secunews/secunewsview.do?menu_dist=1&seq=24661 SAMSAM: THE DOCTOR WILL SEE YOU, AFTER HE PAYS THE RANSOM http://blog.talosintel.com/2016/03/samsam-ransomware.html?m=1 Check Point Threat Alert: SamSam and Maktub Ransomware Evolution http://blog.checkpoint.com/2016/03/28/check-point-threat-alert-samsam-and-maktub-ransomware-evolution/ 瞄 准 服 务 器 漏 洞 入 侵 网 络! 新 种 勒 索 软 件 SamSam 的 出 现 http://www.boannews.com/media/view.asp?idx=50117&skind=o SamSam 进 化 为 瞄 准 特 定 企 业 的 针 对 性 勒 索 软 件 http://www.boannews.com/media/view.asp?idx=50198 Samsam may signal a new trend of targeted ransomware http://www.symantec.com/connect/blogs/samsam-may-signal-new-trend-targeted-ransomware No mas, Samas: What s in this ransomware s modus operandi? https://blogs.technet.microsoft.com/mmpc/2016/03/17/no-mas-samas-whats-in-this-ransomwares-modus-operandi/ Evolution of SamSa Malware Suggests New Ransomware Tactics In Play http://researchcenter.paloaltonetworks.com/2016/03/evolution-of-samsa-malware-suggests-new-ransomware-tactics-in-play/ DICOM Standard http://dicom.nema.org/standard.html 6
http:// cn.ahnlab.com http://global.ahnlab.com http://www.ahnlab.com 关 于 AhnLab Ahnlab 的 尖 端 技 术 和 服 务 不 断 满 足 当 今 世 界 日 新 月 异 的 安 全 需 求, 确 保 我 们 客 户 的 业 务 连 续 性, 并 致 力 于 为 所 有 客 户 打 造 一 个 安 全 的 计 算 环 境 我 们 提 供 全 方 位 的 安 全 阵 容, 包 括 经 过 证 实 的 适 用 于 桌 面 和 服 务 器 的 世 界 级 防 病 毒 产 品 移 动 安 全 产 品 网 上 交 易 安 全 产 品 网 络 安 全 设 备 以 及 咨 询 服 务 AhnLab 已 经 牢 固 地 确 立 了 其 市 场 地 位, 其 销 售 伙 伴 遍 布 全 球 许 多 国 家 和 地 区 北 京 市 朝 阳 区 望 京 阜 通 东 大 街 1 号 望 京 SOHO 塔 2 B 座 220502 室 上 海 市 闵 行 区 万 源 路 2158 号 18 幢 泓 毅 大 厦 1201 室 电 话 : +86 10 8260 0932( 北 京 ) / +86 21 6095 6780( 上 海 ) cn.sales@ahnlab.com 2016 AhnLab, Inc. All rights reserved.