Fortinet: 全球2016年第四季度全球医疗行业威胁分析与报告-阿里云开发者社区

开发者社区> boxti> 正文

Fortinet: 全球2016年第四季度全球医疗行业威胁分析与报告

简介:
+关注继续查看

该“全球医疗行业威胁分析与报告”探讨了2016年第四季度全球医疗保健行业的威胁趋势。所采用的威胁数据是 FortiGuardLabs威胁研究与响应团队基于全球50个国家的454家医疗保健公司的传感器所获得的。

FortiGuard Labs 及其遍布世界各地的200多位研究人员和分析师每年要进行400,000多小时的威胁研究,监控并分析200多万个传感器收集的威胁遥测数据。由此生成的威胁情报可有效的帮助我们准确分析当前的威胁和进一步检测新兴威胁、改进我们的检测和预防技术、为世界各地的300,000多客户提供近实时的可执行威胁情报。平均来说,我们每分钟查封180,000个恶意网站,阻止220,000僵尸网络攻击尝试,挫败733,000网络入侵企图。迄今为止,已发现了339个零日威胁,这已经成为行业纪录。

在下面的报告中,我们将关注 FortiGuard Labs 在2016年第四季度中检测到的针对全球医疗行业的五大恶意软件、勒索软件、移动恶意软件、IPS事件、僵尸网络和渗透代码工具包。

五大恶意软件

全球医疗行业 —2016年第四季度检测到的五大恶意软件检测到的五大恶意软件中的大多数均因充当勒索软件攻击的初始攻击向量而闻名,而顶层攻击来自基于VB脚本的dropper木马程序(VBS/Agent.LKY!tr),该木马程序可以在攻击的第二阶段下载勒索软件。排名第二的是“Riskware/Asparnet”,这是一种通常无意安装的软件类型,并在用户不知情的情况下偷偷收集敏感信息。

列表中的剩余恶意软件也被认为是droppers木马型勒索软件(VBS/Agent.97E!tr、JS/Nemucod.BQM!tr 和 JS/Nemucod.76CD!tr.dldr)。JS/Nemucod(及其变体)是非常有名的基于JavaScript的恶意软件家族,通过垃圾邮件植入目标设备并将多余的恶意软件(主要是勒索软件)下载到个人电脑中。例如,一封电子邮件通过附带加密的JavaScript附件的典型 Nemucod 垃圾邮件植入目标设备。解密 JavaScript 之后,我们可以看到其试图从黑客控制的网站下载文件到用户临时文件夹。下载的文件是可执行文件,稍后用于加密用户的文件。

五大勒索软件

全球医疗行业 —2016年第四季度检测到的五大勒索软件我们观察到的最活跃勒索软件是 CryptoWall,在所有检测到的勒索软件感染事件中占据90%以上份额。与大多数类型的勒索软件一样,CryptoWall 劫持受害者的数据,对文件进行加密,然后索要赎金以解密这些文件。恶意软件会显示一则信息告知受害者:他们的文件已经被加密,而且他们必须在限定的时间内支付赎金,否则赎金将涨价。为最大程度地隐匿自己的身份,恶意软件的作者使用 Tor 网络并且要求以比特币支付赎金,我们注意到这种趋势越来越普遍。

排名第二的是Cerber,检测到的感染率为5%左右。Cerber 具有与 CryptoWall 几乎相同的勒索软件特征。

TorrentLocker、TeslaCrypt 和 Locky 是我们检测到的其他几种勒索软件,在其他行业中也很常见。

五大移动恶意软件

全球医疗行业 —2016年第四季度检测到的五大移动恶意软件针对安卓系统的恶意软件占据整个五大移动恶意软件排行榜。这可能是因为安卓设备通常允许用户轻松安装来自第三方的应用程序,而这些应用程序在下载时可能会附带基于安卓系统的恶意软件。

五大入侵防御系统(IPS)事件

全球医疗行业 —2016年第四季度检测到的五大入侵防御系统(IPS)事件VxWorks.WDB.Agent.Debug.Service.Code.Execution 在检测到的 IPS 事件中排名榜首,攻击次数将近200万。VxWorks 是一种操作系统,适用于包括医疗设备在内的嵌入式设备(或物联网,因为目前物联网众所周知),比如 CT/PET/X 射线仪器、输液泵、个人活动监视器、以及其他多种设备。该漏洞最早发现于2010年,但是我们在2016年(在补丁已经可用的情况下)仍然能够检测到针对该漏洞的攻击活动,表明威胁实施者可能正在试图利用存在漏洞的嵌入式设备,这些设备具有以下特点:

具有较长的补丁周期,或者

很少安装补丁,甚至

根本没有安装补丁!

在如上所示的五大入侵防御系统(IPS)事件中,我们还注意到:某些攻击活动旨在寻找配置错误的、基于Unix的网页服务器(可能会从/etc/passwd暴露操作系统用户名);某些攻击活动试图针对网页应用程序进行 SQL 注入,还有一些攻击活动则瞄准存在漏洞的 Netcore/Netis 路由器和多种Bash漏洞(aka ShellShock)。

五大僵尸网络事件

全球医疗行业 —2016年第四季度检测到的五大僵尸网络我们检测到的最活跃僵尸网络是 Andromeda,这是一个模块化僵尸程序,其包含的装载程序可以下载模块并且从其C2服务器进行更新。该装载程序具有反虚拟机和反调试特征,这也是其能够成为广受欢迎的僵尸网络的原因。排在其后的是 H-Worm、Necurs、Conficker 和 Pushdo。

H-Worm 是一种基于 VBscript 的僵尸网络,允许威胁实施者盗窃敏感信息并发送到其C2服务器,而 Necurs 则用于传播与 Locky 勒索软件有关的恶意软件。Conficker 是已知的最大僵尸网络之一,自2008年以来一直为非作歹。通常情况下,该僵尸网络渗透存在漏洞的 Windows 系统,并且通过扫描和感染其他存在漏洞的系统以蠕虫的方式蔓延。被感染的系统最终将沦落为僵尸网络。我们在2016年仍然能检测到 Conficker 攻击活动,这表明互联网中仍然存在感染了该恶意软件的 Windows 系统。Pushdo 也是一种已经存活数年之久的僵尸网络,因为参与大规模垃圾邮件活动而闻名。

五大渗透代码工具包

全球医疗行业 —2016年第四季度检测到的五大渗透代码工具包其他 3%RIG 是2016年检测到的最活跃渗透代码工具包,检出率为46%;与大多数渗透代码工具包一样,RIG 在渗透成功之后主要进行勒索软件传播。

排名第二的CK为23%,紧随其后的是Angler(16%)、Neutrino(12%)、以及其他不太流行的渗透代码工具包(3%)。这些渗透代码工具包中的大多数还可用于勒索软件传播。

总结

我们可以从上述威胁研究结果中发现医疗保健行业与规模更大的IT行业面临或多或少相同的威胁。从恶意软件的角度来看,大多数感染都是基于勒索软件的,因为敏感的医疗保健数据被加密之后,成功收取赎金的概率很高。我们还注意到 CryptoWall 是2016年第四季度医疗保健行业最盛行的勒索软件,而基于安卓系统的恶意软件则占据移动恶意软件排行榜的前五名。有趣的是,我们还发现针对已存在6年之久的 VxWorks 漏洞的攻击活动在检测到的IPS事件中排名榜首,这可能表明威胁实施者在试探并渗透攻击运行 VxWorks 嵌入式系统且未安装补丁的医疗设备时也是抱着碰碰运气的心态。Andromeda是已检测到的最活跃的僵尸网络,其复原能力很强,自2011年以来一直存活至今。最后,我们检测到的五大渗透代码工具包都可用于传播勒索软件。如果正确规划并执行多层次安全防护措施,还是可以缓解上述所有威胁带来的危害的。


 


  

本文转自d1net(转载)


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
互联网、电商及游戏行业实时BI分析
本文以电商行业为例,将业务数据和日志数据同步到ADB,之后通过Quick BI做实时可视化分析。相对于传统的关系型数据库,阿里云分析型数据库MySQL版只需要几毫秒的时间,即可查询PB级数据并从中找到匹配信息。
1184 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10004 0
数据分析行业招聘职位分析报告--基于拉勾网
项目背景 大数据时代的到来让数据在公司决策上发挥了越来越大的作用,数据分析师也成为了各大企业的标配,那么各大企业又会愿意花多少代价来为数据买单呢?本文将通过从拉勾网爬取到的职位信息来展现「数据分析」职位究竟「钱」景如何: 哪些城市更需要数据分析人才,除了北上广深还有没有其他城市给我们惊喜; 哪些行业更需要数据分析人才,薪资如何; 目前数据分析职位要求的工作经验和学历是怎样: 我工作%n年了,该拿到多少工资才不至于拖后腿了。
1434 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13805 0
MySQL线程处于Waiting for table flush的分析
最近遇到一个案例,很多查询被阻塞没有返回结果,使用show processlist查看,发现不少MySQL线程处于Waiting for table flush状态,查询语句一直被阻塞,只能通过Kill进程来解决。
2020 0
Fastdata极数:2019年中国即时配送行业发展分析报告
核心摘要: 即时配送市场规模将超千亿,竞争加剧:2019年6月即时配送C端及B端活跃用户超1600万,同比增长达23.6%,2019年上半年即时配送市场规模达623亿元,预计全年市场规模将超千亿。美团点评、饿了么、京东到家等大型本地生活服务平台开放配送能力,顺丰、京东物流、阿里菜鸟等行业巨头杀入,独立配送平台不断涌向,即时配送行业竞争加剧。
1296 0
+关注
boxti
12535
10037
文章
1327
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载