卡巴斯基醫療領域安全報告

SAS2017介紹：智能醫學違反其「首先無害」原則

2017年安全分析師峰會上，我們預測醫療網路將成為網路犯罪分子的新靶子。不幸的是，我們是對的。醫療數據泄露和泄漏的數量正在增加。根據公開數據，今年也不例外。

一年來，我們一直在調察網路犯罪分子如何加密醫療數據並要求贖金。他們如何滲透醫療網路和醫療信息，以及他們如何在公共醫療資源上找到醫療數據。

每年醫療數據泄漏數量(源自HIPAA Journal)

醫療網路中開放的大門

為了找到醫療基礎設施的潛在切入點，我們提取名稱中具有關鍵詞「醫學」、「診所」、「醫院」、「外科」和「醫療保健」的所有組織的IP範圍，然後我們開啟masscan（埠掃描器），並解析專門的搜索引擎（如Shodan和Censys）以獲取這些組織的公共可用資源。

Masscan報告

當然，醫療領域包含許多常見的開放埠和服務：像網路伺服器、DNS伺服器、郵件伺服器等。而且你知道這只是冰山一角。最有趣的是非平常的埠。我們忽略了一些細小的服務，因為正如我們在之前的文章中提到的那樣，這些服務已經過時並且需要打補丁。例如，大多數情況下在該領域發現的電子醫療記錄的web應用程序已過時。

最受歡迎的埠是冰山一角，最有趣的是特殊埠。

醫療領域最受歡迎的開放埠（18,723個存活主機; 27,716個開放埠）

使用ZTag工具和Censys，我們可以確定隱藏在這些埠後面的是哪種服務。如果您試圖深入了解嵌入式標籤，您將看到不同的東西：例如印表機、SCADA、NAS等。

醫療網路領域TOP服務

排除這些因素，我們還發現了過時的管理系統。使用Niagara Fox 協議的設備通常開放TCP埠1911和4911。可以遠程收集信息，如應用程序名稱、Java版本、主機操作系統、時區、本地IP地址和堆棧中的軟體版本。

Niagara Fox 服務中提取出來的信息

還有那些具有未授權認證Web界面的印表機。該頁面可在線訪問，並可讓您獲取有關內部Wi-Fi網路的信息，或者可能允許您獲取有關「作業存儲」日誌中出現的文檔的信息。

Shodan告訴我們，有些醫療機構開放了2000號埠。這是一個智能水壺。我們不知道為什麼，但這種水壺在醫療機構中非常流行。他們已公開提供有關漏洞的信息，該漏洞允許使用簡單的口令建立與水壺的連接，並提取有關當前Wi-Fi連接的信息。

醫療基礎設施有很多醫療設備，其中一些是攜帶型的。而諸如肺活量計或血壓監測儀等設備則支持MQTT協議直接與其他設備進行通信。MQTT通信的主要組成部分之一——brokers（請參閱此處了解有關組件的詳細信息）可通過Internet獲得，因此我們可以在線找到一些醫療設備。

不僅智能家居組件，而且醫療設備都使用MQTT（肺活量計）

影響醫療網路的威脅

好的，現在我們知道他們是怎麼進來的。但接下來呢？他們是否搜索個人數據，或者想要通過贖金或其他方式獲得一些錢？錢？這是可能的......任何事情都是可能的。我們來看看2017年收集的一些數據。

統計數據有點令人擔憂。超過60％的醫療機構，其伺服器或計算機上被安裝了某種惡意軟體。好消息是，如果我們在這裡統計了這些東西，意味著我們已經刪除了系統中的惡意軟體。

2017年醫療機構檢測到的攻擊

還有一些更有趣的東西——與醫院、診所和醫生密切相關的組織，即製藥行業。我們在這裡看到了更多的攻擊。製藥業意味著「金錢」，所以它是攻擊者的另一個目標。

2017年製造葯檢測到的攻擊

讓我們回到病人身上。所有這些攻擊醫院和診所位於何處？好的，我們這裡的數字是相對的：我們用醫療機構的設備數量除以AV檢測到惡意代碼的設備數量。前三名是菲律賓、委內瑞拉和泰國。日本、沙烏地阿拉伯和墨西哥在前15名中佔據最後三席。

因此，受到攻擊的可能性實際上取決於政府在公共部門網路安全方面花費多少資金以及網路安全意識水平。

醫療機構被攻擊設備TOP 15

在製藥行業，我們有一個完全不同的統計圖。第一名屬於孟加拉國。我GOOGLE了這個主題，現在的統計數據看起來完全沒問題。孟加拉國向歐洲出口藥品。在摩洛哥，大型製藥公司佔GDP的14％。印度也在名單上，甚至還有一些歐洲國家。

製藥行業被攻擊設備TOP 15 國

十分之一的設備，超過25％的醫療公司和10％的製藥公司都檢測到hacktools：像Mimikatz，Meterpreter這樣的測試工具，遠程管理工具包等等。

這意味著或者醫療機構在網路安全方面非常成熟，並且使用紅隊和專業測試人員對自己的基礎設施進行持續審計，或者更有可能的是，他們的網路被黑客入侵了。

Hacktools

APT

我們的研究表明，APT攻擊者對製藥公司的信息很感興趣。我們能夠識別東南亞的受害者，或者更確切地說，越南和孟加拉。網路罪犯以伺服器為目標，並使用臭名昭著的PlugX惡意軟體或Cobalt Strike來竊取數據。

PlugX RAT（APT攻擊者使用過的）允許犯罪分子在用戶沒有同意或授權的情況下對系統執行各種惡意操作，包括但不限於複製和修改文件，記錄鍵盤，竊取密碼以及截取用戶活動截圖。網路犯罪分子使用PlugX以及Cobalt Strike來謹慎地竊取和收集敏感或有利可圖的信息。在我們的研究中，我們無法追蹤最初的攻擊媒介，但有跡象表明，它們可能是利用伺服器上存在漏洞的軟體開展攻擊。

考慮到黑客將植入程序植入製藥公司的伺服器這一事實，我們可以假設他們意在知識產權或商業計劃。

防範措施

· 刪除所有處理來自公眾醫療數據的節點

· 定期更新安裝的軟體並卸載不需要的應用程序

· 避免將昂貴的設備連接到機構的主區域網

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！