醫(yī)療設備已成為入侵醫(yī)療網絡的關鍵切入點

一位病人正躺在醫(yī)院的病床上等待醫(yī)務人員幫他進行血氣分析，但他并不知道的是，他的個人信息此時此刻可能比他的身體還要危險。

前言

安全公司TrapX對三家不愿意透露名稱的醫(yī)院進行了安全檢查，根據調查人員的發(fā)現(xiàn)，醫(yī)院用于存儲病人信息的數據庫沒有使用任何的加密保護措施，數據庫使用的仍是默認密碼，而且醫(yī)院系統(tǒng)中的漏洞其利用難度也非常低。在對檢查結果進行了深入分析之后，該公司的安全專家發(fā)表了一篇標題為《醫(yī)療設備攻擊剖析》的報告。

TrapX的聯(lián)合創(chuàng)始人兼副總裁Moshe Ben-Simon表示：

“TrapX網絡安全實驗室的技術人員可以遠程利用血氣分析儀中的安全漏洞來篡改儀器數據。血氣分析儀一般會在重癥監(jiān)護室中使用，而這些病人的情況通常都非常糟糕，因此任何對該設備的干擾都會給病患帶來不可估量的后果。但是，我們目前還沒有發(fā)現(xiàn)有任何攻擊者通過網絡攻擊活動給病人帶來了身體上的損傷?！贬t(yī)療設備的安全不容樂觀

自2016年初以來，已經有多家醫(yī)院和醫(yī)療機構成為了勒索軟件的受害者，包括MedStar Health、堪薩斯心臟病醫(yī)院和好萊塢長老會醫(yī)院在內。值得一提的是，個人身份識別信息（PII）和醫(yī)療記錄的價值要比信用卡數據高出10至20倍之多。戴爾旗下的網絡安全公司SecureWorks發(fā)現(xiàn)，網絡犯罪分子出售一份健康保險憑據可以賺20至40美元，而一份美國信用卡數據只能賣1到2美元。Ben-Simon表示：“目前黑市上到處都有PII在售，犯罪分子可以利用這些記錄來偽造身份信息，然后申請新的信用卡或偽造納稅申報信息。除此之外，攻擊者還可以利用這些信息訪問目標用戶的銀行賬戶以及信用卡賬戶，所以醫(yī)療記錄絕對是網絡攻擊者的首要目標。”

研究報告中寫到：“醫(yī)療設備已經成為了攻擊者入侵醫(yī)療網絡的關鍵切入點。它們都是醫(yī)療企業(yè)最明顯的薄弱點，而即便是我們識別出了攻擊者的入侵方式，我們也很難去修復這些漏洞，所以網絡攻擊將會對醫(yī)院手術和病人信息帶來非常大的威脅?！?/p>

Ben-Simon表示，TrapX目前正在調查一種名為MEDJACK的攻擊，這種攻擊已經影響了至少十家醫(yī)院，TrapX也將在RSA大會上公布有關MEDJACK攻擊的調查結果。根據TrapX的研究報告顯示，從2015年到2016年，超過500名病人數據發(fā)生泄漏的攻擊次數增長了近五十個百分點。Ben-Simon說到：“網絡攻擊給不同的醫(yī)院所帶來的影響是不一樣的，但無一例外的是，網絡攻擊者的目標都是病人的醫(yī)療記錄以及個人身份信息，因為他們可以轉售這些信息并得到經濟回報?！?/p>

院方解釋稱，醫(yī)院部署了一套強大的企業(yè)級網絡防御產品，其中包括防火墻、啟發(fā)式入侵檢測系統(tǒng)、終端安全保護工具和反病毒產品，而且醫(yī)院的IT人員里也有多名經驗豐富的網絡安全技術專家。但是TrapX的取證分析數據顯示，攻擊者不僅能夠入侵醫(yī)院的網絡系統(tǒng)，而且還能夠自由地在醫(yī)院系統(tǒng)中尋找并感染單獨的目標，更重要的是攻擊者還能夠在醫(yī)院網絡系統(tǒng)中添加后門。

各種設備都有可能成為攻擊者的切入點

在第二家醫(yī)療結構中，TrapX發(fā)現(xiàn)了另一種存在安全漏洞的設備，即影像歸檔和通信系統(tǒng)（PACS）。它是應用在醫(yī)院影像科室的系統(tǒng)，主要的任務就是把日常產生的各種醫(yī)學影像（包括核磁，CT，超聲，各種X光機，各種紅外儀、顯微儀等設備產生的圖像）通過各種接口以數字化的方式海量保存起來，當需要的時候在一定的授權下能夠很快的調回使用，同時增加一些輔助診斷管理功能，它在各種影像設備間傳輸數據和組織存儲數據具有重要作用。

TrapX經過研究發(fā)現(xiàn)，該醫(yī)院的惡意軟件感染起源于其中一個護士工作站。該醫(yī)院被入侵之后，其敏感數據被提取到了一臺位于貴陽市的服務器中。據了解，醫(yī)院內的一名終端用戶在瀏覽網頁時遇到了惡意網站，而該釣魚網站又將用戶重定向到了一個加載了惡意payload的網站，當用戶訪問了這個網站之后，網頁中的惡意代碼就能夠入侵用戶設備了。此時，攻擊者不僅可以在目標設備上運行遠程命令并安裝惡意軟件，而且也可以在該設備所處的網絡環(huán)境中安插惡意后門。

Ben-Simon表示，PACS系統(tǒng)中的記錄是病人最為完整和詳細的數據，因此它們也是最有價值的。每當醫(yī)院網絡中的一個系統(tǒng)被成功入侵，那么數據泄漏的可能性就越高，而這也會讓該網絡中其他的系統(tǒng)處于危險之中。除此之外，攻擊者還可以徹底清除醫(yī)院系統(tǒng)中的所有數據，即使醫(yī)院對這些數據都進行了備份，但要將每一位病人的數據正確地恢復到一個新的醫(yī)療保健系統(tǒng)中的話，醫(yī)院要付出的代價也是非常高的。

TrapX還發(fā)現(xiàn)，攻擊者在第二家醫(yī)院其中的一臺X光掃描系統(tǒng)中安裝了惡意后門。各位需要知道的是，X光的掃描結果出現(xiàn)錯誤的話，病人很可能會因此而缺少了所需的治療，或進行了某些不必要的治療。TrapX的研究人員發(fā)現(xiàn)，這三家醫(yī)院的醫(yī)療設備主要受到了兩種復雜攻擊技術的影響，即Shellcode和Pass-the-Hash，而這兩種技術都是專門用來攻擊老版本操作系統(tǒng)的。

醫(yī)院通常都會安裝防火墻，因為我們都認為防火墻可以保護這些設備的安全，而且內部網絡中也會部署反病毒軟件和反入侵工具等等。但是這些可以保護網絡安全的防御技術無法直接應用到醫(yī)療設備之上（只能作用于服務器和計算機），這也是MEDJACK攻擊能夠如此高效的原因。當攻擊者成功繞過了現(xiàn)有的安全防護之后，他們就可以感染任意的醫(yī)療設備并在受保護的網絡系統(tǒng)中建立后門。

MEDJACK攻擊

TrapX的執(zhí)行副總裁CarlWright表示：

“MEDJACK攻擊正在席卷全球范圍內的醫(yī)療機構，但醫(yī)院的信息技術團隊卻只能仰仗著制造商來保護醫(yī)療設備的安全性，而目前醫(yī)療設備也沒有可用的安全軟件來檢測和防御MEDJACK攻擊。因此，醫(yī)院所部屬的標準網絡安全環(huán)境是無法訪問醫(yī)療設備的內部軟件操作的?！盩rapX的研究人員表示，攻擊者在入侵醫(yī)療設備時主要使用的是shellcode，受影響的系統(tǒng)包括但不限于腫瘤放射治療系統(tǒng)、透視影像系統(tǒng)和X光透視機。在攻擊過程中，惡意軟件需要滲透進目標網絡，然后再利用目標設備中的軟件漏洞來向醫(yī)療設備中注入惡意代碼。除此之外，攻擊過程中還需要加載一個文件，并由這個文件來設置和執(zhí)行控制命令和相關功能函數。

這種攻擊技術的獨特之處在于攻擊者所用的惡意工具注入在MS08-067蠕蟲（已過時）之中，因此惡意軟件就可以在蠕蟲外殼的保護之下隨意游走于醫(yī)院網絡系統(tǒng)之中而不被發(fā)現(xiàn)。在對攻擊模式進行了深入分析之后，安全人員發(fā)現(xiàn)MEDJACK攻擊主要針對的是包含更多漏洞的WindowsXP或沒有部署防護工具的Windows7操作系統(tǒng)。通過將惡意工具嵌入在蠕蟲病毒代碼之中，攻擊者就能夠繞過醫(yī)院安全防護系統(tǒng)的檢測。

盡管很多醫(yī)療機構目前已經在院內的計算機和設備中安裝了最新版本的操作系統(tǒng)，但是并沒有人來對這些操作系統(tǒng)進行定期更新和維護，而且大多數使用的都是默認的管理員賬戶以及密碼，所以醫(yī)療設備和病人信息的安全性仍然是一個未知數。

結束語

根據TrapX的安全研究專家所提供的建議，醫(yī)院的負責人應該重新審查他們與醫(yī)療設備供應商的合同，并更新其中與設備安全性相關的部分條款，因為在合同中必須寫有關于這些醫(yī)療設備的安全檢測和漏洞修復相關的內容。除此之外，供應商再將醫(yī)療設備出售給醫(yī)院時，也應該附帶一份技術文檔，文檔中不僅要詳細寫明技術人員應該通過何種方法去檢測醫(yī)療設備是否受到了惡意軟件的感染，而且也要說明如何去清除這些感染。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。