Inicio / Actualidad / Los nuevos archivos médicos de imagen DICOM maliciosos causan dolor de cabeza en la HIPAA

Los nuevos archivos médicos de imagen DICOM maliciosos causan dolor de cabeza en la HIPAA

Los archivos DICOM malintencionados pueden crearse para contener datos de imágenes de escaneo CT y MRI y ejecutables PE potencialmente peligrosos, un proceso que los actores de amenazas pueden usar para ocultar malware dentro de archivos aparentemente inofensivos.

Markel Picado Ortiz, de Cylera, logró esto al aprovechar un defecto de diseño del formato DICOM que permite modificar la “sección de 128 bytes al principio del archivo, denominada Preamble”, para agregar compatibilidad con visores de imágenes que no son DICOM.

Los archivos PEDICOM de Cylera llaman los archivos resultantes de la incorporación de un componente malicioso dentro de un documento de imágenes DICOM “que entrelaza el malware ejecutable con la información del paciente”.

Ocultar múltiples flujos de datos dentro del mismo archivo definitivamente no es algo nuevo (vea AQUÍ ,  AQUÍ y AQUÍ ), pero usar archivos .dcm para propagar binarios maliciosos es definitivamente un enfoque novedoso. Estos tipos de archivos se conocen como “archivos políglotas” que pueden contener dos flujos de datos que contienen formatos de archivo diferentes, en nuestro caso uno es el archivo de imágenes DICOM y el otro es un binario de Windows .exe

Estructura PEDICOM
Estructura de archivos PEDICOM

Los archivos DICOM atrajeron la atención del investigador como el lugar perfecto para ocultar ejecutables maliciosos por múltiples razones, desde que parecían poco visibles hasta el personal médico y que las regulaciones de HIPAA agregan un grado adicional de riesgo al tratar con ellos, al hecho de que se trata de un CT de facto y Formato de archivo de imágenes de resonancia magnética utilizado en la atención médica durante los últimos 30 años.

Como lo explicó el investigador de Cylera, los archivos PEDICOM permiten que “los atacantes conviertan efectivamente la información del paciente en malware al integrar código ejecutable completamente funcional en los archivos de imagen utilizados por los dispositivos médicos, como las máquinas de tomografía computarizada y resonancia magnética”.

Los archivos maliciosos de PE / DICOM pueden ser utilizados por malware de múltiples etapas

Sin embargo, aunque la incrustación de un componente malintencionado en un DICOM es posible, como lo demuestra Ortiz, los archivos PEDICOM no pueden usarse para atacar a los sistemas de atención médica por sí mismos, ya que no pueden ejecutarse directamente después de que se descarguen en un sistema de atención médica.

En su lugar, deben eliminarse como parte de un malware de múltiples etapas que también los ejecutaría o pueden ser utilizados por adversarios que ya han accedido a esos sistemas para infectar datos protegidos por HIPAA.

Como el investigador le dijo a BleepingComputer , los archivos PEDICOM, incluso si tuvieran malware incrustado en ellos mismos “, no explotan ninguna vulnerabilidad, es decir, necesitan la acción de un tercero para que se ejecute. ”

Ortiz también describió cómo los archivos políglotas PEDICOM se pueden iniciar desde la línea de comandos, utilizando un script por lotes hecho a medida, o con la ayuda de otro programa o herramienta maliciosa utilizando la función API CreateProcess.

Por lo tanto, el uso de archivos PEDICOM maliciosos solo agregaría al conjunto de herramientas ya establecido de los atacantes una nueva herramienta, específicamente diseñada para sistemas de atención médica donde los datos de imágenes de tomografía computarizada y resonancia magnética están omnipresentes.

PE / DICOM PoC

El investigador también detalló tres PoC, y el primero mostró cómo crear un archivo PEDICOM que se puede usar para mostrar un cuadro de diálogo en el sistema de atención médica donde se dejó caer después de iniciarse.

El segundo PoC muestra cómo un posible atacante podría contaminar aún más los archivos DICOM en el sistema y propagar aún más la infección a través de la red utilizando el tercer PoC de un ataque hipotético similar a un gusano que se propaga por SMB.

Ortiz también subrayó el hecho de que el intento de propagar una posible infección por PEDICOM a través de una red de atención médica podría tener algunas dificultades; en el pasado, los actores maliciosos encontraron soluciones para este tipo de problema:

Aunque para ejecutar comandos en hosts remotos, es necesario tener credenciales o permisos de Active Directory válidos. En muchas redes es de alguna manera típico tener credenciales compartidas para dispositivos. Orangeworm Group utilizó un ejemplo de este enfoque con el malware llamado Kwampirs. Aún hay más métodos para ejecutar comandos en máquinas remotas, por ejemplo, utilizando exploits como Eternal Blue, en el caso de Wannacry, pero no es una discusión que queramos abordar en este artículo. Solo para resumir qué capacidades podría usar alguien con malas intenciones.

Además, como se muestra en el documento de investigación de Ortiz titulado “Estándar de formato de archivo de ataque de imágenes digitales y comunicación en medicina (DICOM)”, hay varias maneras en que los adversarios podrían usar archivos PEDICOM que contienen malware como parte de los ataques cibernéticos contra hospitales:

1) Intrusión en la infraestructura del hospital mediante la ocultación de malware en imágenes DICOM. Uso de la ingeniería social a través de correos electrónicos al personal del hospital.
2) Intrusión en la infraestructura del hospital mediante la carga de imágenes al Sistema de comunicación y archivo de imágenes (PACS) del hospital mediante el protocolo de red DICOM.
3) Intrusión en los dispositivos de pacientes de hospitales que esconden malware en imágenes DICOM. Utilizando la ingeniería social enviando un correo electrónico a los pacientes.
4) Mantenga el malware oculto en los dispositivos infectados, ya que algunos programas antivirus no interpretan estas imágenes como ejecutables y no las analizan.

Si bien los archivos PEDICOM especialmente diseñados no son una amenaza directa para los sistemas de salud por sí solos, Markel Picado Ortiz de Cylera reveló en su documento cómo pueden ser herramientas potentes para los atacantes que establecen sus objetivos en los datos protegidos por HIPAA disponibles en los sistemas de salud.

Cuando se usan como parte de ataques de múltiples etapas, los archivos PEDICOM malintencionados pueden emplearse fácilmente para comprometer grandes cantidades de datos confidenciales del paciente, una infección que es muy difícil de tratar, dado que los archivos comprometidos no pueden cargarse en plataformas de análisis de la nube ni pueden ser compartido con compañías de seguridad cibernética de terceros para su posterior análisis.

Además, las soluciones antimalware también tendrían que lidiar con este tipo de infección utilizando un proceso diseñado específicamente para no “comprometer la confidencialidad del paciente, eliminar la información del paciente o interrumpir los flujos de trabajo clínicos a través de los procesos de respuesta y remediación automatizados típicos”.


Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

Microsoft negó a la policía la tecnología de reconocimiento facial por cuestiones de derechos humanos

Microsoft ha dicho que rechazó una solicitud de la policía de California para usar su …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.