医院内网病毒屡杀不止,竟是胶片打印机传播
据《宅客频道》发出的真实攻击案例,浙江某医院许多办公电脑系统老旧,运行卡顿,严重影响日常门诊业务。部署杀毒软件之后,发现有大量的挖矿病毒通过漏洞在内网传播,并且屡杀不止。
该单位网管员向安全专家求助,工程师发现,即使所有PC已经完成病毒查杀(通过内网漏洞传播的挖矿病毒),但该单位网络中还存在一个感染源,不断传播病毒。
通过攻击IP溯源,发现攻击源居然是该医院的一台胶片打印机。这台放置于医院一角的终端,用于给病人打印病历和检查结果,没有安装杀软,自身染毒并通过“永恒之蓝”漏洞在内网不断扩散病毒。
该医院网管员表示,这台设备没有输入设备,无法操作部署安全软件,而且作为每天都在用的业务设备,无法单独断网隔离。
随后通过联系该设备的生产厂商,该厂商远程指导医院管理员拆开机器,外接输入设备,经过正常的扫描杀毒清除了病毒,整个医院的网络也随即恢复正常。
目前,物联网终端运用越来越广泛,不仅医院的胶片打印机,还包括银行ATM机、学校食堂的饭卡充值自助机等等。
一方面,这些终端设备自带Windows操作系统,身处企业网络内,可进行内外双向数据传输,被病毒感染的可能性和办公PC无异;另一方面,这样的终端大多缺乏外接输入设备(比如键盘、触屏等),难以部署安全软件,一旦中毒,不光很难被发现、查杀,甚至会成为感染源。
诸如医院、银行、学校等联网的非PC设备,具有以下特点:
1、内部联网,无法单独隔离;
2、量大,分布广;
3、无法安装终端杀毒软件,不能进行持续升级;
4、一旦被攻击,无法及时监测和防护,影响大。
经纬信安解决方案:
1、建议预留远程管理端口,确需外接设备时可方便拆卸打开接入;但不能解决今后仍然感染病毒并传播病毒;
2、经纬信安戍将内源威胁防御平台插入式部署,即插即用,将本产品插入网络中任意节点即可,对横向移动攻击、未知攻击、窃密行为及内部人异常行为等网络威胁进行预警、感知和诱捕,对诸如胶片打印机等联网而不能安装安全软件的设备具有特有的安全保护优势。戍将对内网进行资产识别、漏洞扫描、威胁攻击监测、内部人异常行为监测、溯源与取证、和其他安全产品联动,保障内网安全。
