医学数字成像和通信(DICOM)是传输、存储、检索、打印和显示医学影像信息(如 X 光、CT 扫描、核磁共振成像和超声波)的国际标准。DICOM 文件包括文件格式定义和网络通信协议。
DICOM 文件会包含恶意软件吗?
DICOM 文件头由 128 字节的文件前言和 4 字节的 DICOM 前缀组成。前缀是兼容性功能的一部分,目的是让 DICOM 和非 DICOM 软件都能处理医学图像文件。
- DICOM 查看器会忽略文件前言,观察 DICM 字符串,处理 DICOM 内容并显示 DICOM 图像。
- TIFF 查看器可以使用文件前言中的偏移信息来访问和显示文件中的图像像素数据,而忽略 DICOM 内容的其他部分。
不幸的是,这种前言设计给威胁者提供了传播恶意代码的新途径。通过使用另一种文件类型(例如 .exe)的头部,攻击者可以将恶意软件隐藏在一个普通的 DICOM 文件中。Cylera 是一家为医院提供网络安全解决方案的公司,它发布了该漏洞的技术细节和概念验证 (PoC) 代码,该漏洞的 CVE 识别码为CVE-2019-11687。
让我们检查一个示例,看看Deep CDR (内容解除武装和重建)如何解决问题:
在这种情况下,Deep CDR 删除了未经批准的内容,只用合法数据重建了 DICOM 文件。因此,将文件扩展名重命名为.exe 对已消毒的文件不起作用。因此,恶意代码不再具有可执行性。此外,文件结构的完整性也得到了完全保留,因此用户可以安全地使用该文件,而不会丧失其可用性。
Deep CDR可确保进入企业的每个文件都是无害的,帮助您防止零日攻击和规避性恶意软件。我们的解决方案支持对100 多种常见文件类型进行清除,包括 PDF、Microsoft Office 文件、HTML 和许多图像文件类型。
立即联系我们,了解有关OPSWAT 先进技术的更多信息,并学习如何全面保护您的组织。
参考资料
- "DICOM 库 - 关于 DICOM 格式"。2020.Dicomlibrary.Com.https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom"。2020.Github.https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
标签
