12小時內全球400萬微軟用戶被攻擊，病毒瞄準財務賬戶

微軟透露，自動威脅檢測系統本周在12小時內爆發，阻止了一次巨大的加密惡意入侵活動。這次襲擊滲透了400,000台計算機，並使用他們的處理器破解財務賬號。

微軟網路犯罪中心的走廊里有一個標誌，微軟數字犯罪股的新總部位於華盛頓州雷蒙德市

微軟本周詳細介紹了其對重大安全事件的回應。它表示，這起攻擊事件是在3月6日中午首次發現的，當時使用Windows Defender防病毒軟體的Windows電腦開始報告新的快速增長的惡意入侵活動。後衛系統開始分析並阻止這起攻擊，最初從超過8萬台電腦中刪除。

在接下來的12個小時內，惡意軟體通過俄羅斯，土耳其和烏克蘭擴散。至少有400,000台機器被感染。與典型的惡意軟體爆發相比，這種攻擊非常激進，傳播速度更快。使用的軟體是名為Dofil的木馬。

據微軟稱，Dofoil使用了一種複雜的劫持技術，允許它在Windows機器上持久存在。惡意軟體偽裝成「explorer.exe」的實例，它是為操作系統的用戶界面和文件瀏覽器提供動力的合法Windows程序。 Dofil推出了自己的資源管理器實例，但隨後用自己的惡意內容替換了該應用程序的代碼。該技術被稱為「過程空心化」，並且具有相對較高的未被注意的機會。

Windows Defender Dofil網路安全響應

一旦將惡意軟體載入到其劫持進程中，該軟體就會啟動另一個用於託管cryto-mining實用程序的惡意實例。同樣的技術再次使用，礦工假裝是真實的Windows實用程序「wuaucclt.exe」。通過將自身表現為這些程序，惡意軟體可降低最終用戶或管理員監視日誌文件的機會。

微軟通過在雲中使用Windows Defender的機器學習功能來阻止這種攻擊。它聲稱，Defender自學會在爆發的「毫秒級」內識別惡意軟體，這使得新的安裝能夠一見到即被阻止。在向微軟回應團隊提供警報之前，其他檢測機制會驗證攻擊的惡意性質。

微軟表示：「Windows Defender AV中的人工智慧和基於行為的檢測已成為我們防禦系統的主要支柱之一。 「針對這種攻擊提供的基於人工智慧的先發制人保護類似於分層機器學習防禦在上個月阻止了Emotet爆發。」

微軟表示，支持Windows Defender或Microsoft Security Essentials的Windows版本的用戶現在將受到保護，免受爆發。惡意軟體在俄羅斯，土耳其和烏克蘭迅速蔓延的原因可能是由於該國未經許可的Windows副本使用率高。據估計，有64％的人使用非真正的許可證，因此他們沒有收到安全更新。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！