Morphoneme

勒索病毒频发,医疗业务怎样守关?

发表时间:2018-03-13 13:20
  近期,“勒索病毒”、“网络安全”等似乎成为了医信界2018年的开年代名词。年后,黑客针对医院下手,导致医院系统故障,影响患者就医,情况极其恶劣。从2017年5月勒索病毒WannaCry对学校、医疗、政府等各个领域的袭击,到现如今医院系统被植入升级版勒索病毒,勒索病毒的预防及应急处理刻不容缓。

      那么,如何针对勒索病毒造成的网络安全事件进行应急处置和安全加固?在国内医疗行业较有影响力的医院信息咨询自媒体平台医信微平台的邀请下,深信服医疗事业部副总经理钟一鸣在其“医信大讲堂” 活动中直播剖析勒索病毒,并分享防治之道。

勒索病毒剖析

什么是勒索病毒
主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则将销毁被加密数据。

勒索病毒的发展


近两年,随着电子货币的发展,很多黑客利用了电子货币难以追踪的特性通过勒索病毒进行电子货币勒索,勒索病毒大规模爆发,尤其是Wannacry事件,使得公众对勒索病毒谈之色变。随着人工智能、机器学习以及物联网的普及,未来2到3年内勒索病毒或将更大规模爆发,病毒数量指数增加,预计损失将达到115亿美元。

勒索病毒的传播
勒索病毒必须经过传播植入到受害者主机才能够实现勒索。四种常见传播方式为:
1、钓鱼邮件:恶意代码伪装在邮件附件中,诱使打开附件,主要对象为个人PC。
2、蠕虫式传播:通过漏洞和口令进行网络空间中的蠕虫式传播,主要对象无定向,甚至能够自动传播,Wanncry病毒、Petya变种均利用了此种方式。
3、查找攻击源:通过黑色产业链中的Exploit Kit来分发勒索软件。一般针对有漏洞的服务器。
4、暴力破解:通过暴力破解RDP端口、SSH端口、数据库端口。主要针对开放远程管理的服务器。
值得注意的是,勒索病毒之所以能够对各个单位造成严重的影响,很大的原因是大多数勒索病毒都具备内网传播感染能力。

勒索病毒应急处置与加固

中招”后如何解决
在此次直播过程中,钟一鸣为大家提供了勒索病毒中招后应急处置建议:
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB,RDP端口等共享传播端口。关闭异常的外联访问。
3、查找攻击源:手工抓包分析供给源或借助态势感知类产品分析。
4、查杀病毒修复漏洞:查杀病毒,打上漏洞补丁,修改口令。
对于大家普遍关注的中招后的数据恢复,钟一鸣也提供了几个方案,包括尝试用数据恢复软件找到被删除的源文件通过解密工具破解,解密文件通过winhex对比历史文件分析文件头内容恢复,以及通过支付赎金恢复数据等方式。但目前勒索病毒的数据恢复难度较大,部分勒索病毒即便支付攻击者赎金也未必可以解密被勒索文件,建议防范还是以预防为主。
勒索病毒如何预防
1)避免弱口令,避免多个系统使用同一口令。
2)应用服务管控:终端上关闭Windows共享服务、远程桌面控制等不必要的服务,网络层面上防火墙做好应用控制,关闭非必要的互联网访问。
3)漏洞管理:定期漏扫;及时打补丁,修复漏洞。
4)安装杀毒软件并及时更新病毒库。
5)数据备份:对重要的数据文件定期进行非本地备份。
6)提高安全意识 :   
不使用不明来历的U盘、移动硬盘等存储设备;   
不要点击来源不明的邮件以及附件;   
不接入公共网络也不允许内部网络接入来历不明外网PC。

深信服应对实践

      深信服作为一家专业安全厂商,在帮助大量用户应对勒索病毒所带来的威胁同时,也积累了大量针对勒索病毒的处置经验以及对勒索病毒这种攻击行为的预防和防御创新方法。
基于勒索病毒的传播方式、感染方式、事后勒索行为等的分析理解,深信服把勒索病毒的防御定位为全方位的安全服务,包括勒索风险安全评估、流量防御、威胁主机检测以及快速响应。
勒索病毒风险评估:通过云端扫描、本地安全检查、口令扫描等方式扫描可能传播勒索病毒或被勒索病毒利用的漏洞或脆弱性口令,事前预防勒索病毒的植入途径。


流量防御:一方面通过漏洞阻断、暴力破解防护、邮件查杀等手段进行攻击投放阻断与扩散传播阻断。另一方面通过下载文件云查杀对勒索病毒本身进行阻断。

威胁主机检测:大型医疗机构内网终端及服务器比较多,业务相对比较复杂,深信服通过安全感知解决方案能够全网自动发现勒索病毒受害主机,发现潜伏威胁主机,帮助用户有效管理大型网络。

快速响应:首先是扫描策略快速下发,检测是否存在感染隐患;其次是流量端点协同响应,自动阻断木马与黑客通信,端点执行扫描、查杀等动作;最后提供高级专家应急响应,不仅全国各地中小城市均有响应服务点,同时提供7*24小时无休在线服务响应。

      目前依靠某一台专门的设备或者某一类专门技术并不能解决勒索病毒问题,深信服针对勒索病毒构建的是一套完整的防御体系。通过全网勒索情报收集、自动化沙盒集群、人工智能引擎检测,以及大量安全专家分析,将汇聚到安全云脑并用大数据及人工智能的分析来提高检测防御的能力,并将安全防御策略输送到各个安全设备中,提高安全设备的安全检测能力。最终通过下一代防火墙、终端检测响应EDR、安全感知等安全产品的检测响应能力来实现全生命周期的勒索防护,提升整体的安全防御能力。


      在近期爆发的GlobeImposter 变种勒索病毒事件中,深信服已经帮助华中、华南、西南等多个区域的多家医院检测出勒索病毒并查杀,收到不少的好评和感谢。深信服在勒索病毒应对实践中积累大量实战经验,拥有勒索病毒检测解决方案,勒索病毒防御响应解决方案,以及体系化解决方案,信服君后续将持续为您介绍,敬请期待!


分享到: