Operazione Aurora

Come capire se la mia azienda è stata infettata?
Operazione Aurora, per ciò che riguarda gli attacchi noti sinora, distribuisce un insieme di file e utilizza un set di domini esterni nei suoi attacchi. L'analisi dei tuoi sistemi e della tua infrastruttura alla ricerca di questi identificatori può segnalare un'esposizione all'attacco. Ulteriori informazioni.

La mia azienda è a rischio infezione?
Il codice informatico che sfrutta il punto debole di Microsoft Internet Explorer sfortunatamente è stato reso pubblico ed è disponibile via web. La divulgazione pubblica incrementa in modo significativo la possibilità di attacchi diffusi che sfruttano questo punto debole, mettendo gli utenti Microsoft Internet Explorer in serio pericolo.

Microsoft è consapevole degli attacchi mirati e ha rilasciato unbollettino sulla sicurezza e una patch, citando come vulnerabili le seguenti combinazioni: Internet Explorer 6 Service Pack 1 su Microsoft Windows 2000 Service Pack 4 e Internet Explorer 6, Internet Explorer 7, e Internet Explorer 8 sulle versioni supportate di Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Come posso proteggere la mia azienda?
Quando hanno ricevuto notizia dell'attacco, i ricercatori di McAfee Labs hanno fornito strumenti di rilevazione del malware, firme comportamentali e di contenuto, aggiornamenti della sicurezza web, degli indirizzi IP e della sicurezza di tali indirizzi IP; suggerimenti sulla configurazione del prodotto; e consigli pubblicati nel blog di McAfee Labs.

McAfee Global Threat Intelligence, il nostro sistema di raccolta dati in tempo reale e “in-the-cloud”, ossia con archiviazione di sicurezza remota, esegue il monitoraggio di minacce note ed emergenti da tutti i vettori chiave di tali minacce, e sorveglia il web alla ricerca di minacce e di punti caldi attinenti a Operazione Aurora e ad altre minacce, fornendo immediata protezione ai prodotti McAfee. Ulteriori informazioni.

Per la protezione del sisteman, suggeriamo i seguenti passaggi:

1. Verifica dell'aggiornamento del software anti-virus/anti-malware McAfee con un file .DAT file 5864 o superiore.
2. Esecuzione di una scansione completa del sistema o di ciascun sistema su cui i file .DAT non erano del livello suggerito.
3. Verifica dell'attivazione della tecnologia McAfee Artemis™ sui prodotti endpoint McAfee. La tecnologia McAfee Artemis è una tecnologia di analisi della reputazione dei file in tempo reale, che protegge contro le minacce malware note ed emergenti. Se non sai come procedere, visita la McAfee Corporate Knowledge Base per accedere a un seminario video.
4. Se non lo hai ancora fatto, implementa gli aggiornamenti di sicurezza Microsoft per le piattaforme IE appropriate. Fino a quel momento, configura le impostazioni di sicurezza del tuo browser su ALTA e limita la navigazione ai soli siti conosciuti.
5. Se possiedi altri prodotti McAfee, visita il blog di McAfee Labs per ottenere gli ultimi aggiornamenti delle firme, i suggerimenti sulle configurazioni dei prodotti e altri consigli aggiornati.
6. Se sei in grado di registrare tutte le richieste web in uscita, esegui le registrazioni per le future analisi forensi.

Sfrutta i nostri kit di soluzioni e le offerte di prova gratuite

Servizi di risposta alle emergenze Chiedi aiuto al nostro team di risposta alle emergenze. Se credi di essere stato infettato da Aurora, McAfee offre servizi di risposta alle emergenze gratuiti, on site, ad alcune aziende qualificate nel Nord America vittime di Aurora. Contatta i servizi McAfee Foundstone.

Valutazione dei rischi. Con Microsoft che ha rilasciato una patch fuori banda per Aurora il 21 gennaio 2010, molte aziende faticano a capire quali sistemi sono vulnerabili e per quali è necessaria la patch. Per aiutare le aziende a comprendere più precisamente quali sono i sistemi a rischio e a quali sistemi deve essere applicata la patch, puoi sfruttare una prova gratuita del software McAfee Risk Advisor.

Vulnerability Detection. Questo strumento facile da usare esegue la scansione del tuo ambiente per i sistemi con la vulnerabilità di Microsoft Internet Explorer e individua i sistemi infetti che sono stati sfruttati dall'Operazione Aurora. Fai clic qui per saperne di più e per scaricare lo strumento McAfee Aurora Vulnerability Detection.

Pulizia del sistema. Sfrutta gratuitamente lo strumento Stinger di McAfee Sfrutta le offerte gratuite di McAfee.

Web Gateway. La protezione antimalware avanzata della soluzione McAfee Web Gateway ha protetto in modo proattivo le aziende contro Aurora, senza aggiornamenti e difficoltà. Affronta con tranquillità la prossima minaccia zero-day. Sfrutta una prova gratuita di McAfee Web Gateway.

Sicurezza degli endpoint. Per aiutarti a proteggere l'azienda dall'Operazione Aurora, approfitta della prova gratuita del software McAfee Total Protection for Endpoint con la nostra tecnologia antimalware completa, la prevenzione delle intrusioni, la protezione web e la soluzione dei firewall degli endpoint. Registrati qui per richiedere una prova gratuita.

Whitelist delle applicazioni. Approfitta di una prova gratuita del software McAfee Application Control, la nostra soluzione superiore di whitelisting delle applicazioni che non richiede alcun aggiornamento delle firme. Per evitare che gli attacchi Aurora e altri attacchi zero-day incidano sul tuo ambiente, scarica la prova gratuita.

Soluzioni per la sicurezza della rete. Proteggi la tua rete dall'attacco Aurora con le tecnologie avanzate McAfee Network Security. Le reti più bersagliate e sensibili del mondo hanno scelto le soluzioni McAfee Network Security. Registrati per richiedere le versioni di valutazione gratuite di Firewall Enterprise Virtual Appliance e una versione virtuale della nostra soluzione Network Threat Response.

Protezione dei prodotti McAfee contro Aurora

Quando hanno ricevuto notizia dell'attacco, i ricercatori di McAfee Labs hanno fornito strumenti di rilevazione del malware, firme comportamentali e di contenuto, aggiornamenti della sicurezza web, degli indirizzi IP e della sicurezza di tali indirizzi IP; suggerimenti sulla configurazione del prodotto; e consigli pubblicati nel blog di McAfee Labs.

L'Operazione Aurora è stato un attacco in più fasi. McAfee offre i seguenti prodotti e soluzioni che proteggono i clienti nelle varie fasi dell'attacco Operazione Aurora.

Fase 1: Inizio dell'attacco. Un utente con una vulnerabilità IE visita siti web infettati con il malware Operazione Aurora.

• Risk Advisor (identifica il rischio complessivo della rete rispetto ad Aurora)
• McAfee Vulnerability Manager (identifica i sistemi che utilizzano versioni vulnerabili di IE)
• McAfee SiteAdvisor (blocca l'accesso a siti associati ad Aurora)
• McAfee Firewall (blocca l'accesso a siti associati ad Aurora)
• McAfee Web Gateway (blocca l'accesso a siti associati ad Aurora)
• McAfee Email and Web Security Appliance (blocca l'accesso a siti associati ad Aurora)
• McAfee Network Security Platform (blocca lo sfruttamento di IE)
• Servizi Foundstone

Fase 2: Attacco in corso. Il sito web sfrutta la vulnerabilità; il malware (mascherato da JPG) viene scaricato sul sistema dell'utente.

• Il software McAfee VirusScan Enterprise con tecnologia McAfee Artemis abilitata (blocca il malware)
• McAfee Firewall Enterprise (blocca il collegamento ad Aurora tramite il servizio di reputazione dell'IP)
• McAfee Web Gateway (rileva/blocca il malware Aurora mascherato nei JPG) (protezione zero-day)
• McAfee Email and Web Security Appliance (rileva/blocca il malware Aurora mascherato nei JPG)
• McAfee Network Threat Response solution (rileva il malware mascherato nei JPG) (protezione zero-day)
• McAfee Host Intrusion Prevention solution (previene lo sfruttamento della vulnerabilità IE)
• Servizi Foundstone

Fase 3: Configurazione dell'attacco completata. Il malware è installato sul sistema dell'utente; il malware apre una back door (utilizzando un protocollo personalizzato che funziona come SSL) che dà l'accesso ai dati sensibili.

• McAfee Firewall Enterprise (rileva/blocca la comunicazione back-channel di Aurora) (protezione zero-day)
• McAfee Web Gateway (rileva/blocca la comunicazione back-channel di Aurora) (protezione zero-day)
• McAfee Email and Web Security Appliance (rileva/blocca la comunicazione back-channel di Aurora)
• Il software McAfee VirusScan Enterprise (rileva e cancella il malware Aurora)
• Gli strumenti McAfee Network User Behavior Analysis (identificano il comportamento imprevisto dell'utente durante le fasi di ricognizione e raccolta dati di Aurora)
• Il software McAfee Application Control (impedisce l'installazione del malware Aurora) (protezione zero-day)
• La soluzione McAfee Network Data Loss Prevention (evita che Aurora sposti dati sensibili dalla rete; fornisce dati forensi sullo spostamento) (protezione zero-day)
• Servizi Foundstone