深入分析針對醫療健康行業的複雜威脅

前言

目前，醫療健康行業越來越受到公眾的關注，但不得不指出的是，該行業目前仍然處在一個值得關注的危急狀態。儘管有許多醫療保健組織逐漸致力於完善網路安全和隱私保護，並已經取得了一些積極的進展，但從整體來看，仍然由很長的路要走。

在2018年，與其他行業相比，醫療健康行業的數據泄漏事件數量最多。該數據是根據BakerHostetler的2019年數據安全事件響應報告得出的，該報告已經連續發布了5年。

根據行業內部人士的消息，即使在今天，黑帽黑客也仍然在持續追蹤患者的醫療健康數據，因此這類泄漏事件的整體趨勢只會加劇。HIPAA期刊是一個致力於報道與HIPAA相關新聞的網站，該媒體在2019年1月至3月期間，至少每天發現了一起泄密事件，從而也證實了上述的結論。

那麼我們不禁要問，造成日常信息泄漏的主要原因是什麼呢？黑客攻擊和IT事件（包括惡意軟體攻擊）一直位列榜首。

針對醫療健康行業的惡意軟體

在醫療健康行業的實際實踐中，他們無法實施許多安全措施，具體包括：未對網路進行分區域規劃、依賴於傳統基礎架構、不遵守HIPAA安全規則和NIST CSF控制、對物聯網設備沒有有效的管理、醫療管理應用程序易受攻擊、針對政府推薦的IT和網路安全事件方案的實施推動緩慢、缺乏電子郵件身份驗證、會話加密措施的使用率較低。而上述這些問題，就是我們分析的開始。

更重要的是，醫療健康系統極易受到惡意軟體的感染和劫持，因為它們幾乎沒有任何保護措施。當針對醫療健康領域的威脅更加先進時，所有那些落後的安全措施都會變得無法反擊。

那麼，針對醫療健康行業的惡意軟體類型主要都有哪些？我們對產品遙測的數據進行了整理和分析，從而確定出旨在感染系統和網路、泄漏患者數據、破壞正常醫療健康工作的最常見惡意軟體。我們的結果如下。

特洛伊木馬和風險軟體是最常見的類型

惡意文件和風險文件正困擾著全球範圍內的醫療健康系統：

我們發現，在影響醫療健康系統的五種惡意軟體之中，有超過四分之三（79%）是特洛伊木馬。緊隨其後的是風險軟體（佔比11%），這些軟體本質上並非惡意軟體，但仍然可能對安裝它們的系統產生風險。其他的分別是勒索軟體、間諜軟體和蠕蟲，這三類都佔據3%左右的比例。我們將深入研究其中的每一個分類。

木馬

根據我們的數據，醫療健康系統中存在大量以竊取信息為目的的特洛伊木馬和下載程序，以及偽裝為合法Microsoft（MS）文件的惡意文件。我們分別將它們檢測為Trojan.Emotet（35％）和Trojan.FakeMS（33％）。

我們在醫療健康領域發現數量排在前六名的特洛伊木馬如上圖所示，其中Trojan.Emotet佔據領先位置。

Emotet是一個信息竊取程序，可以定位存儲在瀏覽器中的用戶憑據，並監聽網路流量。Emotet的已知新版本將充當惡意下載程序，下載並投放其他銀行木馬（例如：TrickBot和Qakbot）、勒索軟體（例如：Ryuk）以及加密貨幣挖掘工具和密碼竊取工具。

Emotet在滲透各個組織並進一步傳播的方面取得了成功，因為它採取簡單但有效的傳播方法——網路釣魚電子郵件和NSA永恆之藍漏洞，後者能有助於網路內部的橫向感染。此外，在Emotet之中還包含其自身的malspam模塊，可以進行額外的網路釣魚活動，從而繼續傳播。

為了增強攻擊性，一旦進入網路中，就很難對Emotet進行有效的防範。

一般而言，以信息竊取為目的的攻擊者在進入到醫療健康系統中後，就變得非常危險，因為他們可以訪問到患者的電子健康記錄（EHR）。一些威脅行為者還可以刷新和重複使用員工憑證，以獲取更多的資源，從而違法使用、濫用，或高價出售給地下黑市中的最高出價者。

Emotet惡意軟體廣泛影響了醫療保險、醫院、製藥、生物技術和醫療設備行業領域。事實上，這一類威脅在過去的一年中，持續在所有的組織中不斷發展，其持續性和數量都與去年同期相比增加了近650%。

緊隨其後的Trojan.FakeMS，表示冒充合法Microsoft文件的惡意軟體。醫護人員可能已經意識到這些文件最終會出現在他們的工作系統中，也可能目前仍毫無察覺。無論是否已經知道這一威脅，他們在常規的工作流程中仍然需要利用計算機處理敏感記錄，或者在關鍵時刻從計算機上提取患者的數據，這種實現方式並不理想。

與此同時，我們還發現一些挖礦木馬的感染情況，在感染這種威脅後，主機的運行速度通常會變慢。目前，已經有17%的醫療健康系統中已經出現這種跡象。

使主機感染加密貨幣挖掘（挖礦）木馬的幕後主使，可能是醫護人員，也可能是外部的攻擊者。攻擊者可以從網路上手動下載這類工具，我們通常會將其檢測為Trojan.BitCoinMiner，隨後謹慎地將它們安裝到用於記錄保存醫療信息的主機上。我們在2017年9月，發現田納西州凱迪特縣總醫院的一台電子病歷（EMR）伺服器感染了挖礦病毒，最終調查後發現，是屬於內部人員的資源濫用行為。

風險軟體

正如我們在前文中所提到的那樣，風險軟體並不屬於惡意軟體。但是，出於多種原因的綜合考慮，我們還是將其歸入針對醫療行業的威脅中的一種。其中的一大原因是，風險軟體具有阻止其他程序接收並安裝補丁的能力。這樣一來，就使得用戶的主機可能存在許多威脅，具有被攻擊的風險，包括上面提到的永恆之藍。

在幾個醫療健康行業中（主要針對醫療保險行業和藥品行業），我們檢測到了一系列風險軟體，其中，RiskWare.MicTray佔比高達98%。MicTray是Conexant音頻驅動程序集成的鍵盤記錄器組件的名稱。

剩下的2%，主要是Riskware.Tool.HCK，這是在某些國家違法使用的工具或應用程序的通用名稱。例如，付費軟體的破解版本，就可以歸為此類。

勒索軟體

Ransom.WannaCrypt，也稱為WannaCry，曾經在2017年造成了英國國民健康服務（NHS）的崩潰。由於在感染該勒索軟體後，無法再繼續使用系統，需要暫時中斷預約，並進行系統升級，因此這一勒索軟體攻擊造成了9200萬英鎊（約1.2億美元）的經濟損失。在發生這一事件後，也迫使醫療行業不得不嚴肅對待網路安全和隱私保護這一議題。

在一年多過後，WannaCry仍然在互聯網中活躍，繼續影響各個行業和國家的組織，擾亂了正常運營活動，並將患者的數據乃至生命置於危險之中。

Ransom.WannaCrypt的勒索提示：

我們的數據顯示，WannaCry目前是影響醫療健康行業的五大惡意軟體之一。這也可能意味著，目前仍然有大量系統存在著永恆之藍漏洞，並且存在被攻擊者惡意利用的風險。

間諜軟體

針對醫療健康行業的間諜軟體，Spyware.TrickBot和Spyware.Emotet佔據了已檢測惡意軟體總數中的45%。Spyware.Agent占醫療健康行業中間諜軟體檢測總數的10%。

作為Trojan.TrickBot和Trojan.Emotet的二次感染，我們在醫療健康系統上看到TrickBot和Emotet間諜軟體並不奇怪。普通用戶普遍沒有注意到這些信息竊取模塊是如何在後台工作的，但是，網路管理員可能會發現與黑名單中域名的異常連接，這是惡意軟體在嘗試連接命令與控制（C2）伺服器從而上傳竊取後的數據。

蠕蟲

我們檢測到Worm.Parite蠕蟲病毒，這是一個多態文件傳染工具，其目標是本地和共享網路驅動器中的可執行程序（.exe文件）和屏幕保護程序（.scr文件）。該蠕蟲是唯一針對生物技術和醫療領域進行傳播的惡意蠕蟲。

關於Parite最值得注意的一點是，它感染的系統可能不會出現明顯的被感染跡象，至少在最開始時是這樣。一旦用戶執行受感染的文件，附加到其中的惡意代碼就會開始運行，然後將控制權傳遞給.exe或.scr文件，以便讓它正常執行。

如果用戶沒有解決蠕蟲或病毒感染的問題，操作系統可能會受到其他惡意軟體的進一步感染和利用。

無文件惡意軟體

無文件惡意軟體是攻擊者在幾年前採用的新型技術之一，並且他們持續以越來越快的速度開展此列攻擊。

無文件感染意味著受影響系統上存在的實際惡意軟體痕迹非常微小，以至於無法進行常規的反病毒檢測，並使得抓取樣本的工作成為安全分析師面臨的一大挑戰。

根據我們的遙測數據顯示，醫療健康組織的系統中存在無文件類型的惡意軟體，其中具體涉及健康行業和製藥行業。

我們能夠檢測到標記為Rootkit.Fileless.MTGen的無文件感染。這是我們對無文件惡意軟體的廣泛檢測類型標記，這些惡意軟體使用Rootkit來隱藏這些惡意軟體在受影響系統上的存在。

多年來，我們對發現的無文件惡意軟體樣本進行分析，具體分析內容如下：

·無文件感染：概述

·無文件惡意軟體：如何降低風險

·漏洞利用工具包中的無文件感染：概述

防禦：立即採取行動

目前，醫療行業已經成熟。儘管他們正在努力解決網路安全和隱私方面的挑戰，但與此同時，這一行業仍然在不斷發展，嘗試採用區塊鏈、虛擬現實和人工智慧等創新技術，同時引入新模式來更好地為患者服務。當然，添加新的技術後，保護新系統的工作可能會比保護原有系統要更加複雜。

然而，醫療健康組織要向前不斷推進，仍然有兩個簡單的目標不容忽視：保護系統和設備原理惡意軟體、0-day漏洞、硬體攻擊，以及保護患者醫療數據免受竊取者和內部惡意攻擊人士。

4月中旬，Ben Gurion大學的研究人員發布了他們使用深度學習AI對惡意篡改CT掃描的研究。根據他們的論文，他們成功展示了威脅參與者是如何在掃描中刪除或添加醫療條件的證據。他們使用了一台中間人設備，這是另一台裝有惡意軟體的計算機，可以訪問CT掃描，並向醫療設備提供虛假信息。如果這種技術在野外使用，患者的醫療記錄和治療計劃將面臨風險，危及其整體健康。

實際上，醫療健康組織需要做很多事情，來保護其免受日益複雜的網路威脅。與其他任何領域相比，這個領域的非法利益要大得多。如果網路安全遭到破壞，那麼不僅僅是敏感數據被泄漏、攻擊者獲得收益，並且患者的生命還可能受到威脅。

為了保證上述目標，我們建議醫療健康組織閱讀下面的指南，以確認其安全狀況：

醫生如何進行安全防護：一盎司的預防等同於一磅重的恢復

構建事件響應程序：創建框架

如何創建有意識的安全文化

誰在負責醫療管理應用程序的安全性？

如何創建成功的網路安全策略

關於網路安全和數據隱私法的指南

10種防範惡意軟體感染的簡單方法

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！