全球2016年第四季度医疗行业威胁分析与报告出炉。只要数据存在其价值,威胁便时刻伴随。近年来,医疗行业面临的威胁情况愈发的严峻了。病例等数据其重要性不言而喻,但是相对金融行业,医疗行业对安全的投入有待进一步提升。
我们将关注在2016年第四季度中检测到的针对全球医疗行业的五大恶意软件、勒索软件、移动恶意软件、IPS事件、僵尸网络和渗透代码工具包。籍由此,提供基于行业的威胁态势感知并建议多维度的安全防御。
五大恶意软件
检测到的五大恶意软件中的大多数均因充当勒索软件攻击的初始攻击向量而闻名,而顶层攻击来自基于VB脚本的dropper木马程序(VBS/Agent.LKY!tr),该木马程序可以在攻击的第二阶段下载勒索软件。排名第二的是“Riskware/Asparnet”,这是一种通常无意安装的软件类型,并在用户不知情的情况下偷偷收集敏感信息。
列表中的剩余恶意软件也被认为是droppers木马型勒索软件(VBS/Agent.97E!tr 、JS/Nemucod.BQM!tr 和 JS/Nemucod.76CD!tr.dldr) 。JS/Nemucod(及其变体)是非常有名的基于javascript的恶意软件家族,通过垃圾邮件植入目标设备并将多余的恶意软件(主要是勒索软件)下载到个人电脑中。例如,一封电子邮件通过附带加密的JavaScript附件的典型Nemucod 垃圾邮件植入目标设备。解密 JavaScript 之后,我们可以看到其试图从黑客控制的网站下载文件到用户临时文件夹。下载的文件是可执行文件,稍后用于加密用户的文件。
五大勒索软件
我们观察到的最活跃勒索软件是 CryptoWall,在所有检测到的勒索软件感染事件中占据90%以上份额。与大多数类型的勒索软件一样,CryptoWall劫持受害者的数据,对文件进行加密,然后索要赎金以解密这些文件。恶意软件会显示一则信息告知受害者:他们的文件已经被加密,而且他们必须在限定的时间内支付赎金,否则赎金将涨价。为最大程度地隐匿自己的身份,恶意软件的作者使用Tor 网络并且要求以比特币支付赎金,我们注意到这种趋势越来越普遍。
排名第二的是Cerber,检测到的感染率为5%左右。Cerber 具有与CryptoWall 几乎相同的勒索软件特征。
TorrentLocker、TeslaCrypt 和 Locky 是我们检测到的其他几种勒索软件,在其他行业中也很常见。
五大移动恶意软件
针对安卓系统的恶意软件占据整个五大移动恶意软件排行榜。这可能是因为安卓设备通常允许用户轻松安装来自第三方的应用程序,而这些应用程序在下载时可能会附带基于安卓系统的恶意软件。
五大入侵防御系统(IPS)事件
VxWorks.WDB.Agent.Debug.Service.Code.Execution在检测到的 IPS 事件中排名榜首,攻击次数将近200万。VxWorks 是一种操作系统,适用于包括医疗设备在内的嵌入式设备(或物联网,因为目前物联网众所周知),比如CT/PET/X 射线仪器、输液泵、个人活动监视器、以及其他多种设备。该漏洞最早发现于2010年,但是我们在2016年(在补丁已经可用的情况下)仍然能够检测到针对该漏洞的攻击活动,表明威胁实施者可能正在试图利用存在漏洞的嵌入式设备,这些设备具有以下特点:
· 具有较长的补丁周期,或者
· 很少安装补丁,甚至
· 根本没有安装补丁!
在如下所示的五大入侵防御系统(IPS)事件中,我们还注意到:某些攻击活动旨在寻找配置错误的、基于Unix的网页服务器(可能会从/etc/passwd暴露操作系统用户名);某些攻击活动试图针对网页应用程序进行SQL 注入,还有一些攻击活动则瞄准存在漏洞的 Netcore/Netis 路由器和多种Bash漏洞(aka ShellShock)。
五大僵尸网络事件
我们检测到的最活跃僵尸网络是 Andromeda,这是一个模块化僵尸程序,其包含的装载程序可以下载模块并且从其C2服务器进行更新。 该装载程序具有反虚拟机和反调试特征,这也是其能够成为广受欢迎的僵尸网络的原因。排在其后的是H-Worm、Necurs、Conficker 和 Pushdo。