2018年我省某医院勒索病毒破解纪实
发布时间:2018-3-15
2018年1月的某上午,接到省里某三甲医院感染了勒索病毒的应急事件,需要我们进行现场技术支持。在与客户电话沟通过程中了解到感染WannaCry病毒的了勒索事件, 基于WannaCry事件产生的影响及相关事件的分析,技术人员带上专门的扫描、加固、破解工具马上赶往现场(PS:类似于WannaCry加密文件的病毒较为常见,且目前全球范围内一直未有较为成熟的方案)。
在最快时间内,我们技术部三个人来到客户现场。一个不大的办公室挤了十几个人,有安全产品厂商、集成商、应用厂家、客户信息化管理人员,都围在办公室讨论事件的处理办法。目前,该医院的HIS数据生产库因运行极其缓慢而不得不关掉电子病历系统,自助终端机上显示勒索信息且无法使用,其他部分系统功能受影响无法使用,所有连接HIS生产库的系统几乎都受到影响,HIS数据库作为医院基础库,影响程度可想而知,勒索信息显示如图1。
图1:自助终端机上显示的勒索信息
首先,技术人员对勒索病毒勒索的页面进行初步分析,发现是针对数据库的勒索病毒,经分析初步推测是操作系统或者数据库被攻击导致的病毒感染,于是给出初步安全处理方案,在HIS生产数据库还能登陆进去的情况下对数据进行紧急备份,对操作系统进行补丁升级、安装杀毒软件、升级安全设备病毒库、在条件允许的情况修改数据库弱口令,同时抽调公司在数据库方面的技术人员前来进行支持。
数据库维护人员正在操作数据库进行备份,基于病毒反馈的勒索信息,部门的另外两位同事开始通过各种渠道对病毒进行分析,作为中国互联网网络安全威胁治理联盟的成员单位,我也立即和国家互联网应急中心江西分中心网安业务联系人进行报告,听取了对此事件处理的指导意见,期间还和高校网络安全马博士进行研讨,听取了她在应急响应方面的建议。然后将所有收集到的信息及处理办法进行汇总,我们开始内部讨论,得出初步判断及处理办法,此为Ransom_RUSHQL.A 勒索病毒,这种病毒针对oracle数据库,通过一定的条件触发,在数据库内形成循环并最终锁死数据库,从而导致业务瘫痪。(此病毒通过盗版数据库连接客户端进行传播)当前数据库运行已经很慢,再拖延下去HIS系统可能直接瘫痪,时间刻不容缓。基于我们收集讨论得出的初步解决方案,开始在测试库中测试解决办法的有效性。
进入HIS测试库中,我对病毒深入分析,通过多种方式终于找出了数据库中勒索病毒的创建时间、存在问题的存储过程和JOB。尝试提取病毒样本,前三次没有成功,第四次终于把病毒样本提取出来了。经分析,提取的病毒样本是经过加密的,且被正常代码混淆,找到加密方式同时如何破解又是一个问题。随行的两位同事将集中精力放在病毒的破解分析中。
针对已经确定的勒索病毒创建时间,以及Ransom_RUSHQL.A病毒的特性(此病毒同样隐藏在数据库连接客户端中,一旦使用了携带病毒的数据库连接客户端,将会导致病毒被感染)。通过与用户信息化管理人员沟通,进一步了解病毒创建时间内,还存在哪些人连接过HIS测试数据库及HIS生产数据库。通过排查锁定了连接过数据库人员的范围,并连接过的人员电脑进行逐个检测,最终在一个运维人员电脑上发现携带病毒的数据库连接客户端,病毒和HIS测试库中提取的样本进行对比,完全相同,事件分析到这一步基本上确认病毒的爆发源头。图2为携带病毒的数据库客户端中携带病毒的文件。
图2:携带病毒的数据库客户端中携带病毒的文件
另外,破解病毒的两位同事也完成任务,图3为解密后的病毒代码。
图3:解密前后代码对比
通过研读代码,确认代码对数据库做的危害性操作,利用逆向思维,开始在HIS测试数据库中进行操作。由于期间部分操作可能存在风险,通过和用户及应用厂家进行沟通确认允许操作后,由应用厂家对测试库进行测试。经过测试发现门诊、挂号、看病的流程都正常没有问题。接下来是将HIS数据测试库的操作办法复制到HIS生产数据库上操作,我们在储备的勒索病毒处理办法库中挑选了一个验证有效的处理办法发给数据库运维人员,并指导医院的运维人员在HIS生产数据库中操作,解决了病毒产生的问题,通过对在生产系统的逐项功能测试,也完全恢复正常。至此,事件基本处理完成。
事件总结:从问题发现到问题解决,历时10余个小时,终于完美处理完成。事件原因为运维人员使用了携带勒索病毒的数据库连接客户端连接HIS生产数据库和测试数据库,导致数据库被勒索,通过我们对病毒的分析破解,最终找出修复办法使得HIS恢复正常运行。目前,勒索病毒种类繁多,破解程度难易不一,此次成功破解勒索病毒并找到了有效的解决办法主要在于平时的技术积累和经验沉淀,此外,此次应急事件的妥善处理更得益于技术团队的团结和奋斗。
春节过后,湖南的两家医院成为勒索病毒的受害者,网络攻击从未间断,网络对抗从未停止,我们在行动。
作者:江西安服信息产业有限公司网络安全技术部经理—张伦芳