免责声明：

由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责。

前言

医疗单独拿出来说，主要是因为医疗行业的可玩性最高，并且医疗的网络环境目前基本上大体上各个医院基本类似，安全意识高一点儿和预算稍微充足一点儿的医院从网络架构上来说基本上都已经都做到了一致，在省级市级的行动中医院的参与度是比较高的，更高级别的行动种针对的就是整个卫生行业了。

医疗行业目前基本情况

这里拿我接触到的看到的来简单聊聊，只谈我接触到的，基本上各家医各地卫生行业基本类似，目前国内的大多数的二级医院分布在县级单位，网络安全投资一般不会很大，从网络安全设备上来讲基本上大多数有防火墙、IPS、IDS，IPS和IDS有的甚至是新一代防火墙的模块，WAF部分可能存在，流量探针和态势感知平台大部分是没有的且核心业务网和互联网区是没有做物理隔离的。

二级无网闸

安全运维预算稍微足一点儿的，基本上会增加堡垒机和漏扫设备，并且划分的有单独的安全运维区

但是针对YL行业，针对上部最大的问题就是互联网和核心业务内网没有物理隔离，互联网区很业务内网没有实质上的网络隔离，那么两个区域之间的划分没有任何意义。针对这两种的网络架构，实际上的钓鱼就非常简单了。

• 【钓鱼目标】选择任意内网区域内的终端准可实现从终端到业务内网和医保网的网络通信。这种情况一般网关是做在了核心交换机上。

• 也可以近缘采用WiFi破解实现突破边界隔离。

二级网闸架构

利用网闸实现隔离，互联网区仅做访问外网，业务内网服务器均不可出网，仅做核心业务应用访问，例如HIS、LIS等的终端基本全部在业务内网区域。

这种情况下并非所有的业务网终端都是不能出网的，类似于三级业务系统，是存在部分运维终端以及主任终端是可以出网的，包括财务以及前置机服务器等都是会出网的。

• 供应链钓鱼运维机，这种情况下可以不针对医院内职工进行重点信息搜集。

• 钓鱼双网卡机，基本上各个部门主任的机器都是双网卡机，二级三级医院同样适用。

三级网闸

安全运维做的比较优秀的单位会增加更多的安全设备，比如增加EDR对终端安全进行监测管控，上网行为管理设备部分单位会有，主要一般是考虑舆情方面的问题，另一个是全流量分析平台监测以及态势感知。最重要的一点儿是准入设备的接入让近源攻击的难度也大大增加。

二三级级的医疗网络还是可以利用近源接入，或者近源攻击突破边界，目前实战种我通常从两个层面出发，第一个是利用无线网，对于医疗系统来说也是存在无线内网的，无线内网登录会自动获取内网IP地址，部分业务是可以访问的。第二个还是需要利用内网业务终端进行跳板，但是不出网的情况不是没有办法解决，是完全可以有办法解决的。
不过目前分为两种情况

1、无DeviceLock软件

没有USB禁用等工具软件，可以配合无线网卡进行使用。在近源终端上增加无线网卡做默认路由，指向自己的C2服务器，这种情况下，业务网终端担任的角色就是双网卡。利用出网网卡进行跳板，内网网卡进行业务链接。

默认路由命令

route add XX.XX.XX.XX mask 255.255.255.255 192.168.0.1 metric 1

这种情况下，稳定的隧道是没有问题的，也不会影响业务，除非业务网段和无线网卡的网段一致，至于规避流量监测那是另一个技术层面的问题了。

2、存在DeviceLock

部分三级单位是存在usb禁用工具的，也卸不掉同样无法退出，这种情况下上面的方式近源也是解决不了问题的，第一渗透工具无法上传，第二也无法出网没有稳定的隧道。这种情况下就比较原始了。

利用网线直连实现工具FTP传输

这种情况是可以上传成功工具进行操作的。但是最大的问题是没有隧道，无法远程操作。这种情况下可以提供一点儿思路。如果A和内网终端直连，A出网即可实现隧道传输。那么问题就解决了，不通过直连FTP，需要接入一个出网的机器。示意图如下所示

文章作者：火线社区（和）

文章来源：https://zone.huoxian.cn/d/2967