2022 医疗卫生行业应急响应形势分析报告 脱敏板

声明

本文是学习2022医疗卫生行业网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

医疗卫生行业应急响应形势分析

2021年1-12月，奇安信集团安服团队共参与和处置全国范围内医疗卫生行业网络安全应急响应事件84起，第一时间协助用户处理安全事件，确保了用户门户网站、数据库、办公系统和重要业务系统的持续安全稳定运行。

在奇安信集团安服团队参与处置的医疗卫生行业网络安全应急响应事件中，相关机构自行发现的网络安全事件占96.4%，其中16.7%通过内部安全运营巡检的方式自主查出，79.7%是因为其网络系统已经出现了显著的入侵迹象，或者已遭到了攻击者的敲诈勒索。由监管机构、主管单位、第三方平台通报处置的网络安全事件占3.6%。

医疗卫生行业网络安全应急响应事件的影响范围中，业务专网设备占比81.0%，互联网设备占比19.0%。下图为医疗卫生行业网络安全应急响应事件影响范围分布。

从攻击者意图来看，敲诈勒索和黑产活动占比最高，占比分别为51.2%和25.0%。同时，有7.1%是为了窃取重要数据，还有3.6%属于内部违规。

通过对 2021 年医疗卫生行业安全事件攻击类型进行分析，排名前三的类型分别是：恶意程序占比 46.4%；漏洞利用占比 29.8%；钓鱼邮件占比 3.6%。在恶意程序中，木马攻击（非蠕虫病毒）占比 51.3%，蠕虫病毒攻击占比 48.7%。

蠕虫病毒、木马由于传播速度快、感染性强等特征成为最受攻击者青睐的攻击手段，攻击者利用病毒、木马对办公系统进行攻击，通常会产生大范围感染，造成系统不可用、数据损坏或丢失等现象；例如11月出现的“Magniber 勒索病毒”对服务器和系统进行攻击，导致系统不可用，从而谋取利益。

漏洞利用则是攻击者利用政企机构网络安全建设不完善的弊端，使用常见系统漏洞、Web 漏洞等发起攻击。例如 2021 年 12 月发现的“Apache Log4j2 漏洞”，就被大量攻击者利用对服务器进行的破坏性攻击，通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。 除此之外，钓鱼邮件、网页篡改、网络监听攻击等也是较为常见的攻击类型。如 2021年 12 月份发现的 emote 木马钓鱼邮件，一旦中招，对政企机构产生的影响是不小的。医疗卫生行业机构应做好员工安全意识培训工作，定期内部巡检，及时发现威胁并有效遏制。

特别值得注意的是，在2021年的医疗卫生行业的网络安全应急响应事件中，还有16.7%并非是由网络攻击事件触发的。这些事件绝大多数都是机构内部运营故障、操作失误或管理疏失所造成的。这也提醒我们，网络安全工作与业务运营是密不可分的。网络安全问题会影响业务开展，而业务问题也同样会触发网络安全事件。

从被攻陷系统的损失来看，数据丢失占比最高，达29.8%；其次是系统/网络不可用，占比16.7%；生产效率低下排第三，占比11.9%。具体分布如下所示。

医疗卫生行业应急响应典型案例

某三甲医院部分内网设备被勒索加密

（一）场景回顾

2021年10月，某地一家三甲医院门诊部内部系统无法正常使用，信息科工作人员检查发现部分服务器上文件被加密，故请求安服团队支持进行分析处置。

（二）事件分析

现场分析处置过程中发现，除了被报告的几台服务器设备外，还有多台服务器和医用终端被勒索病毒加密，应用无法使用，数据被加密。通过溯源分析发现，攻击者通过服务器远程桌面口令爆破登录到服务器后，以服务器作为跳板接入内网，之后对其他服务器和医用终端进行了远程桌面口令撞库，获取了一台具有双网卡的服务器权限，并对内网发起大规模撞库，获取大量服务器权限，并通过跳板机以人工方式进行投毒。

（三）处置方案

1）切断网络，阻断攻击者连接，同时对重要信息系统PACS进行业务恢复；

2）在服务器和终端上逐一安装杀毒和安全防护软件，修复系统漏洞，更新病毒库；

3）修改所有服务器、医用终端密码，重要信息系统使用不同密码，保证密码复杂度并定期进行更改，杜绝使用弱口令。

某三级综合医院部分电脑C盘文件无端被删

（一）场景回顾

2021年9月，某地一家三级综合性医院部分电脑存在卡顿黑屏现象，C盘大量文件被删。医院工作人员怀疑电脑疑似感染挖矿木马。

（二）事件分析

应急人员在现场首先对某一问题机器进行排查分析，发现存在可疑恶意进程和敏感端口开放情况，并且系统用户也存在使用弱口令等问题，但这些问题并非是导致电脑卡顿、黑屏和C盘文件被删的主要原因。

应急人员使用专杀工具对问题电脑进行病毒查杀，发现某个会造成系统黑屏和卡顿的病毒文件。但病毒程序并不会破坏或删除C盘文件。

进一步排查发现，电脑的打印程序存在某个配置，不仅会造成系统卡死，还会导致系统重启后大部分文件被删除。在与医院的IT运维人员沟通后确认，医院使用的医用仪器检验管理系统日前新增了一个配置策略，该策略会使电脑在打印包含图片的病例时，会先检查C盘空间是否充足，若不充足会删除自建的临时文件。但由于软件运维人员在配置该系统时，误把“C:\”目录添加到了删除目录中，造成系统在打印某些病例时会把C盘根目录所有文件删除。

（三）处置方案

1. 修改不当的系统配置，排查其他可能有风险的设备；
2. 排查发现系统存在空口令、弱口令和敏感端口开放的设备，要求增强口令强度，关闭不必要端口，或配置特定端口仅对特定IP地址开放；
3. 安装相应的防病毒软件，及时对病毒库进行更新，并且定期进行全面扫描，加强服务器上的病毒清除能力。

某专科医院内网大规模感染蠕虫病毒

（一）场景回顾

2021年4月，某地一家专科医院内网200余台主机感染蠕虫病毒，杀毒软件查杀后仍会出现病毒，部分异常程序无法清除，干扰正常业务应用使用，部分终端无法部署新的业务系统。

（二）事件分析

应急人员现场对一台感染病毒的主机进行病毒定性分析，使用奇安信天擎对病毒进行查杀，初步判断为蠕虫病毒，并发现存在仿冒系统进程的异常程序，异常程序存在守护进程和自启动选项。

随后，应急人员又对某科室八台终端进行同样的排查，均发现启动项目录下存在恶意程序，判断该恶意程序为操作系统感染所致。由于现场条件不允许进行情景再现模拟测试，故无法最终确定感染方式和时间。

（三）处置方案

1. 因装机方式特殊，且感染终端数量较多，因此没有采取逐台设备清除病毒的方法，而是对所有已经感染的终端重装了操作系统；
2. 部署高级威胁监测设备（如：奇安信天眼），及时发现恶意网络流量，同时可进一步加强追踪溯源能力，在安全事件发生时可提供可靠的追溯依据；
3. 建议医院上新业务和上新终端时，要对上新业务和终端进行安全检查或安全评估，检查和评估结果为安全后，再接入生产网络中去。

某三甲医院内网爆发永恒之蓝病毒

（一）场景回顾

2021年1月，某地一家三甲医院内网十几台未安装安全软件的终端出现持续重启现象，疑似出现内网病毒，故请求奇安信安服团队协助检测最先感染病毒的终端并提供病毒信息，确认是否与外部网络攻击有联系。

（二）事件分析

应急人员现场对内网终端系统日志、流量威胁检测记录等进行取证分析，确认导致此次事件的直接原因是与永恒之蓝漏洞相关病毒。

应急人员在日志中发现相关漏洞利用痕迹，早在2019年9月就已经存在，故判定病毒存在一定的潜伏期。排查中还发现该医院对外服务器存在Weblogic反序列化命令执行严重漏洞，该漏洞可导致未授权用户通过远程服务器执行任意指令，但是该服务器与最先中毒的终端间未发现通信过程，故可排除外部直接、主动攻击的可能。病毒源的引入可能为点击恶意链接、浏览不良网页、插入了带病毒的U盘等。

（三）处置方案

1. 断开感染病毒终端的内网连接，对所有感染病毒的终端安装安全软件（如：奇安信天擎）并进行全盘杀毒；
2. 对SMB端口做合理限制，关闭所有不需要使用445端口的设备的445端口。并且关闭IPC的不安全共享，对所有内网终端进行SMB补丁安装，对外网服务器进行安全加固；
3. 部署高级威胁监测设备（如：奇安信天眼），及时发现恶意网络流量，进一步加强追踪溯源能力，在安全事件发生时可提供可靠的追溯依据。

某三甲医院内网服务器感染勒索病毒

（一）场景回顾

2021年10月，某地一家三甲医院业务系统不可用，系统文件被加密勒索，故请求奇安信安服团队进行应急处置，分析病毒攻击行为。

（二）事件分析

现场对内网服务器进行排查，发现大量主机存在弱口令，如1qaz2WSX、P@ssw0rd等。此类口令虽然看似复杂，但是实际上属于常见键盘组合或常见字符替换，均属于流行弱口令库中排名靠前的口令，对于有经验的黑客来说并不难破解。

通过进一步的日志分析发现，多台服务器上都存在大量弱口令爆破行为，在过去几个月中，不止一路黑客曾经通过弱口令登录远程桌面进入医院服务器。而最后一个通过弱口令登入的攻击者，对服务器进行了勒索加密，根据被加密的文件名后缀判断，病毒为LOCKBIT勒索病毒，目前无法解密。

总体来看，该医院服务器长期使用弱口令，长期处于不安全状态，并曾遭多路黑客频繁攻击，发生重大安全事故，只是时间问题。

（三）处置方案

1. 使用医院日常冷备份数据，对服务器系统进行快速恢复，未备份数据，人工重新录入；
2. 全面检查内网所有设备的密码，修改所有弱口令，包括防火墙、服务器等，禁止使用看似复杂，但常见有规律的弱口令；
3. 尚未部署安全软件的服务器立即部署安全软件，并进行全盘查杀；及时对病毒库进行更新，设置定期进行全面扫描，加强服务器上的病毒清除能力；
4. 采用端口白名单机制，只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等管理端口。

某三甲医院内网出现大量异常流量被网警通报

（一）场景回顾

2021年11月，某地一家三甲医院被网警通报发现大量异常流量，经自查发现多个挖矿木马和蠕虫病毒，故请求奇安信安服团队排查被攻击服务器并确定攻击源。

（二）事件分析

现场对失陷服务器主机进行溯源分析发现，2021年10月，就已经有多个IP对医院内部服务器进行暴力破解的攻击行为。同时，我们在医院服务器上还发现了Trojan.Agent木马病毒。对现有失陷服务器进行日志分析，确定攻击者是首先攻破一台服务器，再通过暴力破解进行横向传播，然后在多台服务器和办公终端中，植入挖矿木马和蠕虫病毒等多个恶意服务。

（三）处置方案

1. 对所有失陷主机进行断网处理，重装系统并安装安全软件，其他为失陷主机安装安全软件和专杀工具进行查杀并对可疑恶意服务进行上机排查；
2. 对于出现弱口令的主机强制修改为强口令，对矿池恶意域名进行拉黑封禁处理，并对内部员工进行相关的安全培训；
3. 针对暴力破解的情况，对防火墙必要端口进行阻断控制，同时配置私有DNS解析到本地，就不会连接到恶意域名矿池上。

延伸阅读

更多内容 可以 2022医疗卫生行业网络安全分析报告. 进一步学习

联系我们

DB13-T 5042-2019 电梯维护保养年度自检规范 河北省.pdf