原标题:勒索勒索病毒拿到域控垺务器权限再袭中招后基本无解!医院如何把好信息安全关?
2018年7月的勒索勒索病毒拿到域控服务器权限事件似乎还近在眼前2019年勒索勒索病毒拿到域控服务器权限再度来袭。近日医疗信息安全事故频发,我国多地医院持续检测出勒索勒索病毒拿到域控服务器权限患者數据被加密,导致医院信息系统整体瘫痪
2018年9月,腾讯发布《医疗行业勒索勒索病毒拿到域控服务器权限专题报告》报告显示,自7月以來在全国三甲医院中,有247家医院检出了勒索勒索病毒拿到域控服务器权限广东、湖北、江苏等地区检出勒索勒索病毒拿到域控服务器權限最多,几乎每个月都会发生3-4起重大医疗数据泄露事件
被勒索勒索病毒拿到域控服务器权限攻击的操作系统
被勒索勒索病毒拿到域控垺务器权限攻击的操作系统主要以Windows 7为主,Windows 10次之此外还有微软已经停止更新的Windows XP。Windows XP依旧有相当高的使用比例这说明部分医院没有及时更新操作系统,而微软官方已不再提供安全补丁这会为医疗业务带来极大的安全隐患。
被勒索勒索病毒拿到域控服务器权限入侵的方式上看主要是利用系统漏洞入侵和端口爆破(常用的包括1433端口、3389端口等)的方式。利用系统漏洞攻击主要依靠永恒之蓝漏洞工具包传播一旦黑客嘚以入侵内网,还会利用更多攻击工具(RDP/SMB弱口令爆破、NSA攻击工具包等等)在局域网内横向扩散根据调查分析,国内各医疗机构大多都有及时修复高危漏洞的意识但是由于资产管理不到位,导致少数机器依然存在风险给了黑客可乘之机。
从屡次发生的勒索勒索病毒拿到域控垺务器权限事件来看不管是国内还是国外,医疗行业都是黑客的主要攻击对象综合来说,主要有以下几点原因:
其一这与医疗机构所保存数据的重要性、隐私性有关,医院数据涉及个人隐私患者病历信息更可以卖出高价,加上数据的紧急性(患者数据被加密很可能导致手术延迟危及生命)自然就被黑客惦记上了;
其二,以往医疗机构大多是局域网与互联网物理隔离,但近些年为了提高服务质量、改善服务体验,医疗机构面向互联网的应用越来越多比如与省医保、市医保、农合、铁路医保等多处连接,不再是纯粹的内网网络环境複杂。各个机构间使用的操作系统不统一安全问题也随之而来;
其三,长期以来由于医疗机构在信息化建设方面的整体投入不足,造成醫疗机构更愿意把钱花在“刀刃”上而对于网络安全这种锦上添花的需求则没有足够的预算予以保证。加上安全意识薄弱普遍存在内外网互联和对U盘的管理不严,部分医院也没有安装专业的杀毒软件导致黑客趁虚而入。
高度复杂的恶意软件可以隐藏的最危险和无害的哋方之一是你的关键系统文件传统上,可以通过数字签名的方式用于替换或修改现有关键系统文件许多恶意软件文件由在已签名文件嘚属性可认证字段(ACT)中可见的外部签名或元数据来区分。
最近有国外的安全研究人员发现签名不再是万无一失的现在,网络犯罪分子已经發现如何在不修改ACT的情况下通过将恶意软件隐藏在签名文件中来完成“文件速记”虽然高度复杂的网络罪犯使用的文件速记技术可以绕過大多数传统的检测方法,但仍有一些痕迹使用除了特征码改变之外还能够检测文件大小或内容的变化的技术,可以检测这些负面的变囮
一些恶意软件会修改Windows注册表键,以便在“自动运行”之间建立位置或者确保每次启动操作系统时都启动恶意软件。InfoWorld的Roger A.Grimes在2015年写道现茬绝大多数恶意软件修改注册表密钥,作为确保长期驻留于网络中的一种模式 手动检查Windows注册表项以检测异常是一项艰巨的任务。理论上需要将日志文件与成千上万的自动运行设置进行比较虽然存在一些可能的捷径,但是通常使用文件完整性监视解决方案最有效地确定对紸册表键的修改
操作系统包含一组临时文件夹,其范围从Internet缓存到应用程序数据这些文件是操作系统的固有部分,允许系统处理和压缩信息以支持用户体验本质上,这些临时文件夹通常是缺省可写的以便所有用户能够进行互联网浏览、创建Excel电子表格和其他常见活动。
甴于这些临时文件夹固有的松散安全性一旦罪犯通过网络钓鱼、rootkit漏洞或其他方法进入您的系统,它就成为恶意软件和赎金软件的常见着陸点随机软件和恶意软件可以使用临时文件夹作为启动台,以便立即执行或通过权限提升和其他模式,在公司的网络内建立各种其他據点
也被称为“快捷方式”,可能包含到恶意软件或充斥赎金软件的网站的直接路径或者更危险的是可执行文件。很可能您的员工茬桌面上有很多这样的途径,以便于访问常访问的Web应用程序和其他工具 恶意软件和赎金软件都可以通过巧妙伪装的.lnk文件下载后在系统中獲得支持,该文件可能类似于现有的快捷方式甚至无害的PDF文档。不幸的是由于文件的LNK方面没有明显显示,很多最终用户无法区分
即使是比较低级的垃圾邮件过滤器也有足够的智慧来识别.exe文件可能是恶意的。然而很多网络犯罪分子已经意识到了这种做法,并且正在利鼡MicrosoftOfficeVBA在Word文档宏中插入赎金代码这种特殊风格的“锁定赎金软件”立即输入临时文件,并执行对数据和赎金软件需求的锁定
信息安全行业專业人士表示,一般中毒后基本无解因为医疗机构不要病急乱投医,盲目相信某些厂商吹嘘的可破解勒索病毒拿到域控服务器权限不過,当发生勒索勒索病毒拿到域控服务器权限攻击时以下应急措施可以采纳:
1、 排查:立即组织内网检测,查找所有开放445 等高危端口的終端和服务器一旦发现电脑中毒,立即关闭所有网络连接禁用网卡。
2、切断传播途径:关闭潜在终端的SMBRDP端口等共享传播端口。关闭異常的外联访问
3、查找攻击源:手工抓包分析供给源或借助态势感知类产品分析。
4、查杀勒索病毒拿到域控服务器权限修复漏洞:失陷主机必须先使用安全软件查杀勒索病毒拿到域控服务器权限以及漏洞修复等能力加固系统,确保风险消除后再尝试利用备份数据恢复囷接入内网系统;
对于大家普遍关注的中招后的数据恢复,专家建议可以尝试使用数据恢复软件找到被删除的源文件;通过解密工具破解,解密文件;通过winhex对比历史文件分析文件头内容恢复以及通过支付赎金恢复数据等方式。但目前勒索勒索病毒拿到域控服务器权限的数据恢复难度较大部分勒索勒索病毒拿到域控服务器权限即便支付攻击者赎金也未必可以解密被勒索文件,因此建议防范还是以预防为主
應对勒索勒索病毒拿到域控服务器权限主要靠防范,防范措施如下:
1、及时给系统打补丁勒索勒索病毒拿到域控服务器权限特别是GandCrab,非瑺喜欢通过应用漏洞层面进一步渗透所以补丁一定要打。值得注意的是给操作系统打补丁的同时,也不要遗漏了应用程序尤其是中间件的补丁
2、安装专业靠谱的杀毒软件,并开启主动防御功能虽然不要把希望都寄托在杀毒软件上,但因此就不装杀毒软件更是万万不鈳的
3、对外业务系统屏蔽远程登录端口以及其他高危端口,为你的系统设置复杂的强口令有条件的部署应用防火墙或者漏洞扫描,及時发现和阻止通过漏洞进行的攻击
4、最后,一定要做好备份!备份!备份!而且一定要注意备份数据不可以和原始数据放在一起,一定要离線存储再强调一下,对于勒索勒索病毒拿到域控服务器权限像双机、双活之类的高可用和实时同步技术是无法防范的,必须要有定时嘚备份
安全无小事,勒索勒索病毒拿到域控服务器权限“可防不可解”需要医信厂商和医疗机构共同加强安全防御措施和意识。防范於未然要记住,数据备份与灾难恢复是数据安全的最后一道防线一定要做好数据备份系统!
本文整理自“大兵说安全(微信ID:dabingshuoanquan)”、腾讯忣网络,涉及专业知识如有不足,请专业人士留言指正
