Operation Aurora
Woher weiß ich, ob mein Unternehmen infiziert wurde?
Bei der Operation Aurora werden, zumindest bei den bis jetzt bekannten Angriffen, Dateien verbreitet und externe Domänen für die Angriffe verwendet. Durch eine Analyse Ihrer Systeme und Infrastruktur in Bezug auf diese Identifizierungsmerkmale kann die Gefährdung ermittelt werden. Weitere Informationen.
Besteht für mein Unternehmen ein Infektionsrisiko?
Der Computer-Code, der die Microsoft Internet Explorer-Schwachstelle ausnutzt, wurde leider veröffentlicht und ist im Internet verfügbar. Diese Veröffentlichung erhöht in erheblichem Maß das Risiko für ausgedehnte Angriffe, die diese Schwachstelle ausnutzen und für Microsoft Internet Explorer-Benutzer ein ernsthaftes Risiko darstellen können.
Microsoft weiß, dass es gezielte Angriffe gibt. Deshalb hat das Unternehmen ein Sicherheitsbulletin und einen Patch veröffentlicht. Folgende Kombinationen werden als gefährdet aufgeführt: Internet Explorer 6 Service Pack 1 auf Microsoft Windows 2000 Service Pack 4 und Internet Explorer 6, Internet Explorer 7 und Internet Explorer 8 auf unterstützten Editionen von Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2.
Wie kann ich mein Unternehmen schützen?
Als Forscher bei McAfee Labs von dem Angriff erfuhren, lieferten sie Malware-Entdeckung, Verhaltens- und Inhaltssignaturen, Aktualisierungen von Web-Sicherheit, IPS und IP-Sicherheit, Empfehlungen zur Produktkonfiguration sowie Beratung im Blog von McAfee Labs.
McAfee Global Threat Intelligence, unser Echtzeit-Datenerfassungssystem in der Cloud für bekannte sowie neu auftretende Bedrohungen auf allen wichtigen Vektoren, überwacht das Web auf Angriffe und Hot Spots in Verbindung mit der Operation Aurora und anderen Bedrohungen und stattet McAfee-Produkte sofort mit Schutz aus. Weitere Informationen.
Für den Schutz Ihrer Systeme empfehlen wir die folgenden Maßnahmen:
- Vergewissern Sie sich, dass Ihre Antiviren-/Anti-Malware-Software von McAfee mit einer DAT-Datei 5864 oder höher auf dem neuesten Stand ist.
- Führen Sie einen vollständigen Scan Ihres Systems oder jedes Systems durch, wenn Ihre DAT-Dateien nicht diesen Stand aufweisen.
- Stellen Sie sicher, dass die McAfee Artemis™-Technologie auf Ihren McAfee-Endgeräteprodukten aktiviert ist. McAfee Artemis-Technologie ist eine Technologie für die Dateireputationsanalyse in Echtzeit, die sowohl vor bekannten als auch neuen Malware-Bedrohungen schützt. Wenn Sie nicht wissen, wie Sie vorgehen sollen, können Sie sich in der McAfee Corporate KnowledgeBase ein Video-Tutorial ansehen.
- Bringen Sie die Sicherheits-Updates von Microsoft für die entsprechenden IE-Plattformen aus, sofern Sie dies nicht bereits getan haben. Setzen Sie die Sicherheitseinstellungen für Ihren Browser bis dahin auf HOCH, und schränken Sie das Öffnen bekannter Seiten ein.
- Wenn Sie über andere McAfee-Produkte verfügen, finden Sie im McAfee Labs-Blog die neuesten Signaturaktualisierungen sowie Empfehlungen und Ratschläge für Produktkonfigurationen.
- Wenn Sie die Möglichkeit haben, alle ausgehenden Web-Anfragen aufzuzeichnen, tun Sie dies für spätere forensische Untersuchungen.
Nutzen Sie unsere Lösungs-Kits und unsere kostenlosen Testangebote.
Dienste zur Reaktion auf Sicherheitsvorfälle: Lassen Sie sich von unserem Notfallreaktionsteam unterstützen. Sie denken, dass Sie durch Aurora infiziert wurden? McAfee bietet für qualifizierte Unternehmen in Nordamerika, die von Aurora betroffen sind, kostenlose Dienste zur Reaktion auf Sicherheitsvorfälle (Incident Response Services) vor Ort. Wenden Sie sich an die McAfee Foundstone Services.
Risikobewertung: Microsoft hat am 21. Januar 2010 einen außerplanmäßigen Patch für Aurora veröffentlicht. Viele Unternehmen fällt es nun schwer herauszufinden, welche Systeme gefährdet sind und welche ein Patch benötigen. Unternehmen können nun eine kostenlose Testversion der McAfee Risk Advisor-Software nutzen, um herauszufinden, welche Systeme genau gefährdet sind und auf welche Systeme ein Patch ausgebracht werden muss.
Schwachstellenentdeckung: Dieses benutzerfreundliche Tool prüft Ihre Umgebung auf Systeme, die die Microsoft Internet Explorer-Schwachstelle haben und erkennt durch Operation Aurora infizierte Systeme. Wenn Sie mehr erfahren und das McAfee Aurora Vulnerability Detection Tool zur Entdeckung von Schwachstellen herunterladen möchten, klicken Sie hier.
Systembereinigung: Nutzen Sie das kostenlose McAfee Stinger-Tool.
Web Gateway: Der erweiterte Anti-Malware-Schutz der Lösung McAfee Web Gateway schützt Unternehmen proaktiv vor Aurora – ohne Aktualisierung und Aufwand. Seien Sie auf die nächste Zero-Day-Bedrohung vorbereitet. Profitieren Sie noch heute von der kostenlosen Testversion von McAfee Web Gateway.
Endgeräte-Sicherheit: Um Ihr Unternehmen vor Operation Aurora zu schützen, können Sie die kostenlose Testversion der Software McAfee Total Protection for Endpoint nutzen. Sie beinhaltet eine All-in-One-Technologie zum Schutz vor Malware, zum Eindringungsschutz, Web-Schutz sowie eine Endgeräte-Firewall-Lösung. Registrieren Sie sich hier, wenn Sie das Produkt kostenlos testen möchten.
Whitelists für Anwendungen: Sie haben die Möglichkeit, eine kostenlose Testversion der Software McAfee Application Control zu nutzen, unserer branchenführenden Lösung für Anwendungs-Whitelists. Signaturaktualisierungen sind nicht erforderlich. Vermeiden Sie, dass Aurora oder andere Zero-Day-Angriffe Ihre Umgebung beeinträchtigen. Laden Sie sich eine kostenlose Testversion herunter.
Netzwerksicherheit: Schützen Sie Ihr Netzwerk gleich heute mit den fortschrittlichen McAfee Network Security-Technologien vor dem Aurora-Angriff. Kunden mit den am meisten angegriffenen und sensibelsten Netzwerken weltweit setzen McAfee Network Security-Lösungen ein. Registrieren Sie sich und fordern Sie kostenfreie Evaluierungsversionen unserer Firewall Enterprise Virtual Appliance und einer virtuellen Version unserer Network Threat Response-Lösung an.
Umfassender Schutz vor Aurora durch McAfee-Produkte
Als Forscher bei McAfee Labs von dem Angriff erfuhren, lieferten sie Malware-Entdeckung, Verhaltens- und Inhaltssignaturen, Aktualisierungen von Web-Sicherheit, IPS und IP-Sicherheit, Empfehlungen zur Produktkonfiguration sowie Beratung im Blog von McAfee Labs.
Operation Aurora ist ein mehrstufiger Angriff. McAfee bietet die folgenden Produkte und Lösungen an, die Kunden Schutz für die verschiedenen Stufen der Operation Aurora bieten.
Schritt 1: Einleitung des Angriffs. Ein Benutzer mit IE-Schwachstelle öffnet eine mit Operation Aurora-Malware infizierte Website.
- Risk Advisor (ermittelt das Gesamtrisiko des Netzwerks in Bezug auf Aurora)
- McAfee Vulnerability Manager (ermittelt Systeme, die gefährdete IE-Versionen nutzen)
- McAfee SiteAdvisor (blockiert den Zugriff auf Websites, die mit Aurora in Verbindung gebracht wurden)
- McAfee Firewall (blockiert den Zugriff auf Websites, die mit Aurora in Verbindung gebracht wurden)
- McAfee Web Gateway (blockiert den Zugriff auf Websites, die mit Aurora in Verbindung gebracht wurden)
- McAfee Email and Web Security Appliance (blockiert den Zugriff auf Websites, die mit Aurora in Verbindung gebracht wurden)
- McAfee Network Security Platform (stoppt die Verbreitung der Ausnutzung der IE-Schwachstelle)
- Foundstone Services
Schritt 2: Durchführung des Angriffs. Eine Website nutzt die Schwachstelle aus. Malware (getarnt als JPG-Datei) wird auf das Benutzersystem heruntergeladen.
- McAfee VirusScan Enterprise mit aktivierter McAfee Artemis-Technologie (blockiert Aurora-Malware)
- McAfee Firewall Enterprise (blockiert Aurora-Verbindung über IP-Reputation)
- McAfee Web Gateway (erkennt/blockiert Aurora-Malware, die als JPG-Datei getarnt ist) (Zero-Day-Schutz)
- McAfee Email and Web Security Appliance (erkennt/blockiert Aurora-Malware, die als JPG-Datei getarnt ist)
- McAfee Network Threat Response-Lösung (erkennt Malware, die als JPG-Datei getarnt ist) (Zero-Day-Schutz)
- McAfee Host Intrusion Prevention-Lösung (verhindert, dass die IE-Schwachstelle ausgenutzt wird)
- Foundstone Services
Schritt 3: Angriffs-Setup abgeschlossen. Malware ist auf dem Benutzersystem installiert. Malware öffnet eine Hintertür (mit einem angepassten Protokoll, das wie SSL agiert), die den Zugriff auf sensible Daten ermöglicht.
- McAfee Firewall Enterprise (erkennt/blockiert Aurora-Rückkanalkommunikation) (Zero-Day-Schutz)
- McAfee Web Gateway (erkennt/blockiert Aurora-Rückkanalkommunikation) (Zero-Day-Schutz)
- McAfee Email and Web Security Appliance (erkennt/blockiert Aurora-Rückkanalkommunikation)
- McAfee VirusScan Enterprise-Software (erkennt und löscht Aurora-Malware)
- McAfee Network User Behavior Analysis-Tools (erkennt unerwartetes Benutzerverhalten während der Aurora-Erkundungs- und Datenerfassungsphasen)
- McAfee Application Control-Software (verhindert die Installation von Aurora-Malware) (Zero-Day-Schutz)
- McAfee Network Data Loss Prevention-Lösung (verhindert, dass Aurora sensible Daten aus dem Netzwerk ausschleust, bietet forensische Daten zur Datenbewegung) (Zero-Day-Schutz)
- Foundstone Services
Ressourcen
- Whitepaper: Schutz für Ihre wichtigsten Ressourcen – Lehren aus "Operation Aurora"
- Video: Informationen zu "Operation Aurora" für Entscheider in Unternehmen
- Video: So schützen McAfee-Produkte und Global Threat Intelligence Kunden vor Aurora
- Quick Tips-Tutorials: So vereiteln ausgewählte McAfee-Produkte die Operation Aurora