医学数字成像和通信(DICOM)是传输、存储、检索、打印和显示医学影像信息(如 X 光、CT 扫描、核磁共振成像和超声波)的国际标准。DICOM 文件包括文件格式定义和网络通信协议。
DICOM 文件会包含恶意软件吗?
DICOM 文件头由 128 字节的文件前言和 4 字节的 DICOM 前缀组成。前缀是兼容性功能的一部分,目的是让 DICOM 和非 DICOM 软件都能处理医学图像文件。
- DICOM 查看器会忽略文件前言,观察 DICM 字符串,处理 DICOM 内容并显示 DICOM 图像。
- TIFF 查看器可以使用文件前言中的偏移信息来访问和显示文件中的图像像素数据,而忽略 DICOM 内容的其他部分。
不幸的是,这种前言设计给威胁者提供了传播恶意代码的新途径。通过使用另一种文件类型(例如 .exe)的头部,攻击者可以将恶意软件隐藏在一个普通的 DICOM 文件中。Cylera 是一家为医院提供网络安全解决方案的公司,它发布了该漏洞的技术细节和概念验证 (PoC) 代码,该漏洞的 CVE 识别码为CVE-2019-11687。
让我们通过一个示例来看看 Deep CDR™ 技术(内容无害化与重建)如何解决这个问题:
在这种情况下,Deep CDR™ 技术移除了未经批准的内容,并仅使用合法数据重建了 DICOM 文件。因此,将文件扩展名更改为 .exe 对经过清理的文件无效。结果,恶意代码不再具有可执行性。此外,文件结构的完整性得到了完全保留,因此用户可以安全地使用该文件,且不会影响其可用性。
Deep CDR™ 技术可确保进入贵组织的每个文件均无害,从而帮助您防范零日攻击和具有隐蔽性的恶意软件。我们的解决方案支持对100 多种常见文件类型进行净化处理,包括 PDF、Microsoft Office 文件、HTML 以及多种图像文件类型。
立即联系我们,了解有关OPSWAT 先进技术的更多信息,并学习如何全面保护您的组织。
参考资料
- "DICOM 库 - 关于 DICOM 格式"。2020.Dicomlibrary.Com.https://www.dicomlibrary.com/dicom/.
- "D00rt/Pedicom"。2020.Github.https://github.com/d00rt/pedicom/tree/master/PoC/polyglot
标签
