SAS2017介绍：智能医学违反其“首先无害”原则

2017年安全分析师峰会上，我们预测医疗网络将成为网络犯罪分子的新靶子。不幸的是，我们是对的。医疗数据泄露和泄漏的数量正在增加。根据公开数据，今年也不例外。

一年来，我们一直在调察网络犯罪分子如何加密医疗数据并要求赎金。他们如何渗透医疗网络和医疗信息，以及他们如何在公共医疗资源上找到医疗数据。

每年医疗数据泄漏数量(源自HIPAA Journal)

医疗网络中开放的大门

为了找到医疗基础设施的潜在切入点，我们提取名称中具有关键词“医学”、“诊所”、“医院”、“外科”和“医疗保健”的所有组织的IP范围，然后我们开启masscan（端口扫描器），并解析专门的搜索引擎（如Shodan和Censys）以获取这些组织的公共可用资源。

Masscan报告

当然，医疗领域包含许多常见的开放端口和服务：像网络服务器、DNS服务器、邮件服务器等。而且你知道这只是冰山一角。最有趣的是非平常的端口。我们忽略了一些细小的服务，因为正如我们在之前的文章中提到的那样，这些服务已经过时并且需要打补丁。例如，大多数情况下在该领域发现的电子医疗记录的web应用程序已过时。

最受欢迎的端口是冰山一角，最有趣的是特殊端口。

医疗领域最受欢迎的开放端口（18,723个存活主机; 27,716个开放端口）

使用ZTag工具和Censys，我们可以确定隐藏在这些端口后面的是哪种服务。如果您试图深入了解嵌入式标签，您将看到不同的东西：例如打印机、SCADA、NAS等。

医疗网络领域TOP服务

排除这些因素，我们还发现了过时的管理系统。使用Niagara Fox 协议的设备通常开放TCP端口1911和4911。可以远程收集信息，如应用程序名称、Java版本、主机操作系统、时区、本地IP地址和堆栈中的软件版本。

Niagara Fox 服务中提取出来的信息

还有那些具有未授权认证Web界面的打印机。该页面可在线访问，并可让您获取有关内部Wi-Fi网络的信息，或者可能允许您获取有关“作业存储”日志中出现的文档的信息。

Shodan告诉我们，有些医疗机构开放了2000号端口。这是一个智能水壶。我们不知道为什么，但这种水壶在医疗机构中非常流行。他们已公开提供有关漏洞的信息，该漏洞允许使用简单的口令建立与水壶的连接，并提取有关当前Wi-Fi连接的信息。

医疗基础设施有很多医疗设备，其中一些是便携式的。而诸如肺活量计或血压监测仪等设备则支持MQTT协议直接与其他设备进行通信。MQTT通信的主要组成部分之一——brokers（请参阅此处了解有关组件的详细信息）可通过Internet获得，因此我们可以在线找到一些医疗设备。

不仅智能家居组件，而且医疗设备都使用MQTT（肺活量计）

影响医疗网络的威胁

好的，现在我们知道他们是怎么进来的。但接下来呢？他们是否搜索个人数据，或者想要通过赎金或其他方式获得一些钱？钱？这是可能的......任何事情都是可能的。我们来看看2017年收集的一些数据。

统计数据有点令人担忧。超过60％的医疗机构，其服务器或计算机上被安装了某种恶意软件。好消息是，如果我们在这里统计了这些东西，意味着我们已经删除了系统中的恶意软件。

2017年医疗机构检测到的攻击

还有一些更有趣的东西——与医院、诊所和医生密切相关的组织，即制药行业。我们在这里看到了更多的攻击。制药业意味着“金钱”，所以它是攻击者的另一个目标。

2017年制造药检测到的攻击

让我们回到病人身上。所有这些攻击医院和诊所位于何处？好的，我们这里的数字是相对的：我们用医疗机构的设备数量除以AV检测到恶意代码的设备数量。前三名是菲律宾、委内瑞拉和泰国。日本、沙特阿拉伯和墨西哥在前15名中占据最后三席。

因此，受到攻击的可能性实际上取决于政府在公共部门网络安全方面花费多少资金以及网络安全意识水平。

医疗机构被攻击设备TOP 15

在制药行业，我们有一个完全不同的统计图。第一名属于孟加拉国。我GOOGLE了这个主题，现在的统计数据看起来完全没问题。孟加拉国向欧洲出口药品。在摩洛哥，大型制药公司占GDP的14％。印度也在名单上，甚至还有一些欧洲国家。

制药行业被攻击设备TOP 15 国

十分之一的设备，超过25％的医疗公司和10％的制药公司都检测到hacktools：像Mimikatz，Meterpreter这样的测试工具，远程管理工具包等等。

这意味着或者医疗机构在网络安全方面非常成熟，并且使用红队和专业测试人员对自己的基础设施进行持续审计，或者更有可能的是，他们的网络被黑客入侵了。

Hacktools

APT

我们的研究表明，APT攻击者对制药公司的信息很感兴趣。我们能够识别东南亚的受害者，或者更确切地说，越南和孟加拉。网络罪犯以服务器为目标，并使用臭名昭着的PlugX恶意软件或Cobalt Strike来窃取数据。

PlugX RAT（APT攻击者使用过的）允许犯罪分子在用户没有同意或授权的情况下对系统执行各种恶意操作，包括但不限于复制和修改文件，记录键盘，窃取密码以及截取用户活动截图。网络犯罪分子使用PlugX以及Cobalt Strike来谨慎地窃取和收集敏感或有利可图的信息。在我们的研究中，我们无法追踪最初的攻击媒介，但有迹象表明，它们可能是利用服务器上存在漏洞的软件开展攻击。

考虑到黑客将植入程序植入制药公司的服务器这一事实，我们可以假设他们意在知识产权或商业计划。

防范措施

· 删除所有处理来自公众医疗数据的节点

· 定期更新安装的软件并卸载不需要的应用程序

· 避免将昂贵的设备连接到机构的主局域网