2026年医院木马病毒感染应急演练脚本.docxVIP

2026年医院木马病毒感染应急演练脚本

第一章演练定位与总体思路

1.1背景设定

2026年4月，国家卫健委发布《智慧医院网络安全基线（3.0版）》，首次把“医疗物联网（MIoT）木马”列为一级威胁。某三级甲等综合医院（以下简称“A院”）在同年5月发现门诊自助终端出现异常回连境外IP，经初步研判为“木马+蠕虫”混合体，具备横向移动、数据加密外泄、固件刷写三重能力。为验证应急预案可行性，A院联合市网安支队、医保局、第三方安全公司（代称“SecFirm”）组织一次“红蓝紫”三色对抗演练，代号“清荷”。

1.2演练目标

维度

量化指标

验收方式

发现时效

≤15分钟

蓝队日志时间戳

隔离范围

单楼层VLAN内

交换机ACL回读

业务恢复

门急诊30分钟内恢复80%窗口

真实患者排队系统

数据泄露量

≤100条真实患者记录

数据库审计脱敏比对

舆情控制

负面热搜≤2条且2小时内下架

市网安舆情平台

1.3三色角色分工

红队：SecFirm渗透组6人，模拟黑客；

蓝队：A院信息科8人+SecFirm应急响应4人，负责防守；

紫队：市网安+医保局+院纪委5人，全程裁判、取证、合规审查；

白队：演练导演组3人，控制节奏、注入“剧情杀”。

第二章演练环境与资产清单

2.1网络拓扑（逻辑简图）

互联网←→边界防火墙←→DMZ（Web挂号、掌上医院）←→核心交换←→生产区（HIS、PACS、LIS）←→MIoT区（自助机、智能输液、AGV）←→办公区。

核心交换部署微分段（VXLAN+EPG），MIoT区默认DENYALL，仅开放443到DMZ的更新服务器。

2.2关键资产表

资产编号

名称

系统/固件版本

威胁等级

备注

HIS-DB-01

主数据库

Oracle19CRAC

5

含医保结算

PACS-IMG-02

影像存储

CentOS8+Docker

4

近三月CT超2TB

MIoT-Term-88

自助缴费机

Android10定制

3

被红队预设后门

NGN-AC-12

无线控制器

V7固件

3

物联输液呼叫依赖

2.3虚拟化“剧情杀”通道

导演组在核心交换预留VLAN999，通过ERSPAN把红队流量镜像到白队，可随时“注入”新payload，模拟木马变种，确保演练不可预测。

第三章时间轴与事件剧本

3.1T-30日（准备阶段）

白队召开“剧情推演会”，红队提交0day使用申请（仅允许使用院方已备份镜像内的老版本漏洞），紫队封存所有0day样本并加签SHA256，确保法律合规。

3.2T-7日（踩点预置）

红队通过“清场”机制，夜间02:00-04:00进入院区，在MIoT-Term-88上植入第一阶段loader（文件名libdrmply.so），利用Android系统logcat自启；同步在自助机背面贴NFC小标签，供第二阶段触发。

3.3T-0日08:00（演练正式开始）

时间

事件

红队动作

蓝队预期

紫队记录点

08:15

患者高峰

启动libdrmply.so，回连C2，发送心跳包

发现异常DNS日志

截图保存

08:20

横向移动

利用MS17-010蠕虫模块攻击HIS-DB-01

触发EDR告警

验证是否15min内隔离

08:25

数据加密

批量SELECT病人身份证、电话，AES加密后上传pastebin

数据库审计触发“大量导出”策略

计算泄露条数

08:30

固件刷写

向30台输液呼叫器推送恶意OTA包

NGN-AC-12检测到异常固件签名

是否阻断

3.4T+1小时（舆情发酵）

白队在微博、小红书投放关键词“某医院系统崩溃患者排长队”，紫队需在30分钟内提交“舆情降温”报告，包含院方声明模板、热搜降权申请。

3.5T+4小时（恢复总结）

蓝队完成：

1）MIoT区全量re-image；

2）HIS-DB-01通过OracleFlashback恢复到08:14点；

3）医保结算通道切换至异地容灾云，结算率回到98%。

红队提交《攻击路径全景图》，紫队出具《合规性审查清单》，演练正式结束。

第四章技术细节与攻防手法

4.1木马技术剖析

红队使用的木马分三阶段：

1）Loader：libdrmply.so，伪装成DRM插件，利用Androidlogcatd缺陷实现init守护；

2）Stager：内存反射加载.NET汇编，绕过SELinux；

3）Rootkit：加载自定义ko，挂钩tcp4_seq_show，隐藏C2会话。

4.2蓝队检测链

层级

工具

规