Operación Aurora

¿Cómo puedo saber si mi organización fue infectada?
Operación Aurora, a juzgar por los ataques conocidos hasta ahora, entrega un conjunto de archivos y utiliza un conjunto de dominios externos en sus ataques. Analizar sus sistemas e infraestructura para buscar estos identificadores puede indicar exposición. Obtenga más información.

¿Es posible que mi organización esté en riesgo de infectarse?
El código computacional que aprovecha la vulnerabilidad de Microsoft Internet Explorer lamentablemente fue publicado y está disponible en la Web. La publicación aumenta en forma importante la posibilidad de propagar los ataques usando la vulnerabilidad, lo que pone a los usuarios de Microsoft Internet Explorer en un posible riesgo grave.

Microsoft está al tanto de los ataques dirigidos y emitió un boletín de seguridad y un parche y señala las siguientes combinaciones como vulnerables: Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 4 e Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en ediciones compatibles de Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

¿Cómo puedo proteger a mi organización?
Luego de enterarse del ataque, los investigadores de McAfee Labs proporcionaron detección de malware, firmas de comportamiento y contenido, seguridad de Web, IPS y actualizaciones de seguridad de IP, sugerencias de configuración de productos y asesoría en el blog de McAfee Labs.

La Inteligencia de amenaza global de McAfee, nuestro sistema de recopilación de datos en tiempo real y “en la nube” para amenazas conocidas y emergentes en todos los vectores de amenaza clave, monitorea la Web para identificar ataques y puntos vulnerables asociados a Operación Aurora y otras amenazas y proporciona protección inmediata a los productos McAfee. Obtenga más información.

Para protección de sistemas, recomendamos que aplique los siguientes pasos:

1. Verifique que su software antivirus/antimalware de McAfee esté actualizado con un archivo .DAT 5864 o superior.
2. Realice un escaneo completo de su sistema o de cada sistema si sus archivos .DAT no estaban en ese nivel.
3. Asegúrese que la tecnología McAfee Artemis™ esté habilitada en sus productos McAfee para puntos terminales. La tecnología McAfee Artemis es una tecnología de análisis de reputación de archivos en tiempo real que protege contra amenazas de malware conocidas y emergentes. Si no sabe cómo hacerlo, visite la Base de conocimientos corporativa de McAfee para acceder a un tutorial de video.
4. Si aún no lo ha hecho, implemente las actualizaciones de seguridad de Microsoft para las plataformas de IE correspondientes. Hasta que lo haga, ajuste las configuraciones de seguridad de su navegador en ALTA y restrinja su navegación a sitios conocidos.
5. Si tiene otros productos McAfee, visite el blog de McAfee Labs para obtener las actualizaciones de firmas, sugerencias de configuración de productos y asesoría más recientes.
6. Si tiene la capacidad de registrar todas las solicitudes de Web salientes, hágalo para beneficio de futuras investigaciones forenses.

Aproveche nuestros kits de soluciones y ofertas de versiones de prueba gratuitas

Servicios de respuesta ante incidentes. Deje que nuestro Equipo de respuesta ante incidentes le ayude. Si cree que puede haber sido infectado por Aurora, McAfee ofrece Servicios de respuesta ante incidentes gratuitos y en las instalaciones a empresas calificadas en Norteamérica que fueron afectadas por Aurora. Contáctese con servicios de McAfee Foundstone

Evaluación de riesgos. Con el lanzamiento que hizo Microsoft del parche fuera de banda para Aurora el 21 de enero de 2010, muchas empresas ahora están luchando por averiguar cuáles sistemas son vulnerables y cuáles necesitan parches. A fin de ayudar a las empresas a comprender en forma precisa cuáles sistemas están en riesgo y cuáles necesitan parches, puede aprovechar una versión de prueba gratuita del software McAfee Risk Advisor.

Detección de vulnerabilidades. Esta herramienta fácil de usar escanea su entorno para identificar sistemas que tengan la vulnerabilidad de Microsoft Internet Explorer y detecta sistemas infectados que fueron atacados por Operación Aurora. Haga clic aquí para obtener más información y descargar la herramienta de Detección de vulnerabilidades de Aurora McAfee.

Limpieza del sistema. Aproveche la herramienta Stinger gratuita de McAfee. Aproveche el producto gratuito de McAfee.

Web Gateway. La protección antimalware de la solución McAfee Web Gateway ha asegurado en forma proactiva a las organizaciones, sin necesidad de actualizaciones ni preocupaciones. Anticípese a la próxima amenaza zero-day. Aproveche hoy una versión de prueba gratuita de McAfee Web Gateway.

Seguridad de puntos terminales. Con el fin de ayudar a proteger a su organización de la Operación Aurora, puede aprovechar la versión de prueba gratuita del software McAfee Total Protection para puntos terminales con nuestra tecnología antimalware todo en uno, prevención de intrusos, protección Web y solución de firewall para puntos terminales. Regístrese aquí para obtener su versión de prueba gratuita.

Lista blanca de aplicaciones. Aproveche una versión de prueba gratuita del software McAfee Application Control, nuestra solución líder en la industria para listas blancas de aplicaciones que no requiere actualización de firma alguna. Para evitar que Aurora y otros ataques zero-day afecten a su entorno, descargue su versión de prueba gratuita.

Seguridad de redes. Asegure hoy su red contra el ataque de Aurora con tecnologías avanzadas de McAfee Network Security. Las redes más afectadas por ataques y más vulnerables del mundo confían en las soluciones McAfee Network Security. Regístrese para solicitar versiones de evaluación sin costo de nuestro Firewall Enterprise Virtual Appliance y una versión virtual de nuestra solución Network Threat Response.

Cobertura de productos McAfee para Aurora

Luego de enterarse del ataque, los investigadores de McAfee Labs proporcionaron detección de malware, firmas de comportamiento y contenido, seguridad de Web, IPS y actualizaciones de seguridad de IP, sugerencias de configuración de productos y asesoría en el blog de McAfee Labs.

Operación Aurora fue un ataque de múltiples etapas. McAfee ofrece los siguientes productos y soluciones que protegen a los clientes en las múltiples etapas de Operación Aurora.

Paso 1: se inicia el ataque. El usuario con la vulnerabilidad de IE visita un sitio Web infectado con malware de Operación Aurora.

• Risk Advisor (identifica el riesgo general de Aurora para la red)
• McAfee Vulnerability Manager (identifica sistemas usando versiones vulnerables de IE)
• McAfee SiteAdvisor (bloquea el acceso a sitios asociados a Aurora)
• McAfee Firewall (bloquea el acceso a sitios asociados a Aurora)
• McAfee Web Gateway (bloquea el acceso a sitios asociados a Aurora)
• McAfee Email and Web Security Appliance (bloquea el acceso a sitios asociados a Aurora)
• McAfee Network Security Platform (detiene la entrega del ataque a IE)
• Foundstone Services

Paso 2: el ataque está en curso. El sitio Web aprovecha la vulnerabilidad; el malware (disfrazado como JPG) se descarga en el sistema del usuario.

• Software McAfee VirusScan Enterprise, con tecnología McAfee Artemis habilitada (bloquea el malware de Aurora)
• McAfee Firewall Enterprise (bloquea la conexión de Aurora vía reputación de IP)
• McAfee Web Gateway (detecta/bloquea el malware de Aurora disfrazado de JPG) (protección de zero-day)
• McAfee Email and Web Security Appliance (detecta/bloquea el malware de Aurora disfrazado dentro de archivos JPG)
• Solución McAfee Network Threat Response (detecta el malware de Aurora disfrazado de JPG) (protección de zero-day)
• McAfee Host Intrusion Prevention solution (evita el aprovechamiento de la vulnerabilidad de IE)
• Foundstone Services

Paso 3: finaliza la configuración del ataque. El malware se ha instalado en el sistema del usuario; el malware abre la puerta trasera (usando un protocolo personalizado que actúa como SSL) que proporciona acceso a datos delicados.

• McAfee Firewall Enterprise (detecta/bloquea la comunicación del canal de retorno de Aurora) (protección de zero-day)
• McAfee Web Gateway (detecta/bloquea la comunicación del canal de retorno de Aurora) (protección de zero-day)
• McAfee Email and Web Security Appliance (detecta/bloquea la comunicación del canal de retorno de Aurora)
• Software McAfee VirusScan Enterprise (detecta y elimina el malware de Aurora)
• Herramientas McAfee Network User Behavior Analysis (identifican el comportamiento inesperado de los usuarios durante las fases de reconocimiento y recopilación de datos de Aurora)
• Software McAfee Application Control (evita la instalación del malware de Aurora) (protección de zero-day)
• Solución McAfee Network Data Loss Prevention (impide que Aurora mueva datos delicados fuera de la red; proporciona datos forenses sobre el movimiento) (protección de zero-day)
• Foundstone Services