一位病人正躺在医院的病床上等待医务人员帮他进行血气分析,但他并不知道的是,他的个人信息此时此刻可能比他的身体还要危险。
前言
安全公司TrapX对三家不愿意透露名称的医院进行了安全检查,根据调查人员的发现,医院用于存储病人信息的数据库没有使用任何的加密保护措施,数据库使用的仍是默认密码,而且医院系统中的漏洞其利用难度也非常低。
在对检查结果进行了深入分析之后,该公司的安全专家发表了一篇标题为《医疗设备攻击剖析》的报告。
TrapX的联合创始人兼副总裁Moshe Ben-Simon表示:
“TrapX网络安全实验室的技术人员可以远程利用血气分析仪中的安全漏洞来篡改仪器数据。
血气分析仪一般会在重症监护室中使用,而这些病人的情况通常都非常糟糕,因此任何对该设备的干扰都会给病患带来不可估量的后果。
但是,我们目前还没有发现有任何攻击者通过网络攻击活动给病人带来了身体上的损伤。”
医疗设备的安全不容乐观
自2016年初以来,已经有多家医院和医疗机构成为了勒索软件的受害者,包括MedStar Health、堪萨斯心脏病医院和好莱坞长老会医院在内。
值得一提的是,个人身份识别信息(PII)和医疗记录的价值要比信用卡数据高出10至20倍之多。
戴尔旗下的网络安全公司SecureWorks发现,网络犯罪分子出售一份健康保险凭据可以赚20至40美元,而一份美国信用卡数据只能卖1到2美元。
Ben-Simon表示:“目前黑市上到处都有PII在售,犯罪分子可以利用这些记录来伪造身份信息,然后申请新的信用卡或伪造纳税申报信息。
除此之外,攻击者还可以利用这些信息访问目标用户的银行账户以及信用卡账户,所以医疗记录绝对是网络攻击者的首要目标。”
研究报告中写到:“医疗设备已经成为了攻击者入侵医疗网络的关键切入点。
它们都是医疗企业最明显的薄弱点,而即便是我们识别出了攻击者的入侵方式,我们也很难去修复这些漏洞,所以网络攻击将会对医院手术和病人信息带来非常大的威胁。”
Ben-Simon表示,TrapX目前正在调查一种名为MEDJACK的攻击,这种攻击已经影响了至少十家医院,TrapX也将在RSA大会上公布有关MEDJACK攻击的调查结果。
根据TrapX的研究报告显示,从2015年到2016年,超过500名病人数据发生泄漏的攻击次数增长了近五十个百分点。
Ben-Simon说到:“网络攻击给不同的医院所带来的影响是不一样的,但无一例外的是,网络攻击者的目标都是病人的医疗记录以及个人身份信息,因为他们可以转售这些信息并得到经济回报。”
院方解释称,医院部署了一套强大的企业级网络防御产品,其中包括防火墙、启发式入侵检测系统、终端安全保护工具和反病毒产品,而且医院的IT人员里也有多名经验丰富的网络安全技术专家。
但是TrapX的取证分析数据显示,攻击者不仅能够入侵医院的网络系统,而且还能够自由地在医院系统中寻找并感染单独的目标,更重要的是攻击者还能够在医院网络系统中添加后门。
各种设备都有可能成为攻击者的切入点
在第二家医疗结构中,TrapX发现了另一种存在安全漏洞的设备,即影像归档和通信系统(PACS)。
它是应用在医院影像科室的系统,主要的任务就是把日常产生的各种医学影像(包括核磁,CT,超声,各种X光机,各种红外仪、显微仪等设备产生的图像)。
通过各种接口以数字化的方式海量保存起来,当需要的时候在一定的授权下能够很快的调回使用,同时增加一些辅助诊断管理功能,它在各种影像设备间传输数据和组织存储数据具有重要作用。
TrapX经过研究发现,该医院的恶意软件感染起源于其中一个护士工作站。该医院被入侵之后,其敏感数据被提取到了一台位于贵阳市的服务器中。
据了解,医院内的一名终端用户在浏览网页时遇到了恶意网站,而该钓鱼网站又将用户重定向到了一个加载了恶意payload的网站,当用户访问了这个网站之后,网页中的恶意代码就能够入侵用户设备了。
此时,攻击者不仅可以在目标设备上运行远程命令并安装恶意软件,而且也可以在该设备所处的网络环境中安插恶意后门。
Ben-Simon表示,PACS系统中的记录是病人最为完整和详细的数据,因此它们也是最有价值的。
每当医院网络中的一个系统被成功入侵,那么数据泄漏的可能性就越高,而这也会让该网络中其他的系统处于危险之中。
除此之外,攻击者还可以彻底清除医院系统中的所有数据,即使医院对这些数据都进行了备份,但要将每一位病人的数据正确地恢复到一个新的医疗保健系统中的话,医院要付出的代价也是非常高的。
TrapX还发现,攻击者在第二家医院其中的一台X光扫描系统中安装了恶意后门。
各位需要知道的是,X光的扫描结果出现错误的话,病人很可能会因此而缺少了所需的治疗,或进行了某些不必要的治疗。
TrapX的研究人员发现,这三家医院的医疗设备主要受到了两种复杂攻击技术的影响,即Shellcode和Pass-the-Hash,而这两种技术都是专门用来攻击老版本操作系统的。
医院通常都会安装防火墙,因为我们都认为防火墙可以保护这些设备的安全,而且内部网络中也会部署反病毒软件和反入侵工具等等。
但是这些可以保护网络安全的防御技术无法直接应用到医疗设备之上(只能作用于服务器和计算机),这也是MEDJACK攻击能够如此高效的原因。
当攻击者成功绕过了现有的安全防护之后,他们就可以感染任意的医疗设备并在受保护的网络系统中建立后门。
MEDJACK攻击
TrapX的执行副总裁CarlWright表示:
“MEDJACK攻击正在席卷全球范围内的医疗机构,但医院的信息技术团队却只能仰仗着制造商来保护医疗设备的安全性,而目前医疗设备也没有可用的安全软件来检测和防御MEDJACK攻击。
因此,医院所部属的标准网络安全环境是无法访问医疗设备的内部软件操作的。”
TrapX的研究人员表示,攻击者在入侵医疗设备时主要使用的是shellcode,受影响的系统包括但不限于肿瘤放射治疗系统、透视影像系统和X光透视机。
在攻击过程中,恶意软件需要渗透进目标网络,然后再利用目标设备中的软件漏洞来向医疗设备中注入恶意代码。
除此之外,攻击过程中还需要加载一个文件,并由这个文件来设置和执行控制命令和相关功能函数。
这种攻击技术的独特之处在于攻击者所用的恶意工具注入在MS08-067蠕虫(已过时)之中,因此恶意软件就可以在蠕虫外壳的保护之下随意游走于医院网络系统之中而不被发现。
在对攻击模式进行了深入分析之后,安全人员发现MEDJACK攻击主要针对的是包含更多漏洞的WindowsXP或没有部署防护工具的Windows7操作系统。
通过将恶意工具嵌入在蠕虫病毒代码之中,攻击者就能够绕过医院安全防护系统的检测。
尽管很多医疗机构目前已经在院内的计算机和设备中安装了最新版本的操作系统,但是并没有人来对这些操作系统进行定期更新和维护,而且大多数使用的都是默认的管理员账户以及密码,所以医疗设备和病人信息的安全性仍然是一个未知数。
结束语
根据TrapX的安全研究专家所提供的建议,医院的负责人应该重新审查他们与医疗设备供应商的合同,并更新其中与设备安全性相关的部分条款,因为在合同中必须写有关于这些医疗设备的安全检测和漏洞修复相关的内容。
除此之外,供应商再将医疗设备出售给医院时,也应该附带一份技术文档,文档中不仅要详细写明技术人员应该通过何种方法去检测医疗设备是否受到了恶意软件的感染,而且也要说明如何去清除这些感染。
-
参考来源:networkworld, FB小编Alpha_h4ck编译,转载来自FreeBuf.COM
欢迎大家关注悬镜安全实验室公众号,最新安全动态,技术干货,悬镜使用攻略。在使用悬镜服务器卫士的过程中,如遇到任何问题,都可以加入我们的官方用户群【539903443】进行咨询,我们都会有专门的人员帮您解答。
原文始发于微信公众号(DevOps安全社):医疗设备已成为入侵医疗网络的关键切入点
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论