Poweliks نوعی نرم افزار مخرب است که در دسته بدافزارهای بدون فایل قرار می گیرد. برخلاف بدافزارهای سنتی که فایلها را روی رایانه آلوده میکنند، Poweliks تنها در رجیستری ویندوز قرار دارد و شناسایی و حذف آن را دشوار میکند. اولین بار در سال 2014 کشف شد و از آن زمان به یک تهدید بزرگ برای سیستم های کامپیوتری تبدیل شده است.
تاریخ پیدایش پولیک ها و اولین ذکر آن.
منشا Poweliks تا حدودی مبهم است، اما اعتقاد بر این است که توسط گروهی پیچیده از مجرمان سایبری با هدف سوء استفاده از قابلیت های مخفیانه بدافزارهای بدون فایل ایجاد شده است. اولین ذکر مستند از Poweliks به گزارش تحقیقاتی منتشر شده در سال 2014 توسط کارشناسان امنیتی مایکروسافت بازمی گردد. از آن زمان، به دلیل ویژگیهای منحصر به فرد و تکنیکهای گریزان، موضوع مورد توجه متخصصان امنیت سایبری بوده است.
اطلاعات دقیق در مورد Poweliks. گسترش موضوع Poweliks.
Poweliks اصولاً سیستمهای مبتنی بر ویندوز را هدف قرار میدهد و از طریق روشهای مختلفی مانند پیوستهای ایمیل مخرب، وبسایتهای آلوده یا کیتهای بهرهبرداری توزیع میشود. هنگامی که سیستمی را آلوده می کند، رجیستری ویندوز را دستکاری می کند تا پایداری ایجاد کند و بار مخرب خود را در حافظه اجرا کند. با اجتناب از استفاده از فایلها، Poweliks از نرمافزار آنتیویروس و ضد بدافزار سنتی فرار میکند و شناسایی و حذف آن را به چالش میکشد.
این بدافزار به صورت مخفیانه عمل می کند و متوجه هرگونه فعالیت مشکوک برای کاربران دشوار می شود. Poweliks ممکن است در فعالیتهای مخربی مانند سرقت دادهها، keylogging و بارگیری سایر محمولههای مضر روی سیستم آلوده شرکت کند.
ساختار درونی پاولیک ها. نحوه کار پاولیک ها
Poweliks طوری طراحی شده است که در حافظه باقی بماند، به این معنی که هیچ فایلی را روی هارد دیسک سیستم آلوده باقی نمی گذارد. در عوض، خود را در رجیستری ویندوز، به ویژه در کلیدهای "Shell" یا "Userinit" جاسازی می کند. این کلیدها برای عملکرد صحیح سیستم عامل ضروری هستند و بدافزار از این مزیت استفاده می کند تا پایدار بماند.
هنگامی که سیستم آلوده می شود، Poweliks محموله خود را مستقیماً به حافظه فرآیندهای قانونی مانند explorer.exe تزریق می کند تا از شناسایی جلوگیری کند. این تکنیک به بدافزار اجازه میدهد بدون برجای گذاشتن آثار قابل توجهی روی هارد دیسک کار کند و شناسایی و حذف آن را دشوار میکند.
تجزیه و تحلیل ویژگی های کلیدی Poweliks.
Poweliks دارای چندین ویژگی کلیدی است که آن را به یک تهدید قوی تبدیل می کند:
-
اجرای بدون فایل: به عنوان یک بدافزار بدون فایل، Poweliks به فایلهای اجرایی سنتی متکی نیست و شناسایی با استفاده از راهحلهای آنتی ویروس مبتنی بر امضای سنتی را دشوار میکند.
-
پایداری پنهانی: با جاسازی خود در کلیدهای رجیستری حیاتی ویندوز، Poweliks اطمینان حاصل می کند که در سراسر راه اندازی مجدد سیستم ادامه دارد و فرصت های عملیات مداوم و سرقت داده ها را تضمین می کند.
-
تزریق حافظه: بدافزار کد مخرب خود را به فرآیندهای قانونی تزریق می کند و حضور خود را در حافظه سیستم پنهان می کند.
-
تکنیک های فرار: Poweliks مجهز به مکانیزم های ضد تحلیل و فرار است که مطالعه رفتار آن و توسعه اقدامات متقابل را برای محققان امنیتی چالش برانگیز می کند.
انواع پاولیک ها را بنویسید. از جداول و لیست ها برای نوشتن استفاده کنید.
انواع مختلفی از Poweliks وجود دارد که هر کدام دارای ویژگی ها و قابلیت های منحصر به فرد خود هستند. برخی از انواع قابل توجه پاولیک عبارتند از:
| نوع پولیک ها | شرح |
|---|---|
| Poweliks.A | نوع اصلی در سال 2014 کشف شد. |
| پاولیکس.بی | نسخه به روز شده با تکنیک های فرار پیشرفته. |
| Poweliks.C | یک نوع پیچیده تر با قابلیت های چند شکلی که تشخیص آن را سخت تر می کند. |
| Poweliks.D | بر روی استخراج داده ها و عملکردهای keylogging تمرکز دارد. |
لازم به توضیح است که Poweliks یک نرم افزار مخرب است و استفاده از آن صرفاً برای فعالیت های غیرقانونی و غیراخلاقی مانند سرقت داده ها، کلاهبرداری های مالی و سوء استفاده از سیستم است. استفاده قانونی و اخلاقی از نرم افزار هرگز نباید شامل Poweliks یا هر بدافزار دیگری باشد.
برای کاربران و سازمان هایی که با تهدید Poweliks مواجه هستند، استفاده از اقدامات امنیتی پیشگیرانه بسیار مهم است. برخی از بهترین شیوه ها برای محافظت در برابر پاولیک ها و تهدیدات مشابه عبارتند از:
-
به روز رسانی های منظم: به روز نگه داشتن سیستم عامل و نرم افزار به اصلاح آسیب پذیری های شناخته شده ای که بدافزار می تواند از آنها سوء استفاده کند کمک می کند.
-
آنتی ویروس و ضد بدافزار: استقرار راه حل های امنیتی قابل اعتماد که شامل تشخیص مبتنی بر رفتار است می تواند به شناسایی و کاهش بدافزارهای بدون فایل مانند Poweliks کمک کند.
-
آموزش کارکنان: آموزش کارکنان در مورد تکنیکهای فیشینگ و شیوههای مرور ایمن میتواند از ناقلین اولیه عفونت جلوگیری کند.
-
تقسیم بندی شبکه: اجرای بخشبندی شبکه میتواند به جلوگیری از آلودگیهای بدافزار کمک کند و حرکت جانبی را در داخل شبکه محدود کند.
مشخصات اصلی و سایر مقایسه ها با اصطلاحات مشابه در قالب جداول و فهرست.
در اینجا مقایسه ای بین Poweliks و بدافزارهای مبتنی بر فایل سنتی وجود دارد:
| مشخصات | Poweliks (بدافزار بدون فایل) | بدافزار سنتی مبتنی بر فایل |
|---|---|---|
| ماندگاری | مبتنی بر رجیستری، مقیم حافظه | مبتنی بر فایل، قابل اجرا بر روی دیسک |
| تشخیص | از AV سنتی مبتنی بر امضا اجتناب می کند | قابل تشخیص با AV مبتنی بر امضا |
| حذف | چالش برانگیز به دلیل کمبود فایل | با ردیابی های مبتنی بر فایل آسان تر است |
| توزیع | پیوست های ایمیل، وب سایت های آلوده | دانلودها، رسانه های آلوده و غیره |
| تاثیر عفونت | تزریق حافظه، عملیات مخفیانه | عفونت فایل، فایل های قابل مشاهده |
| پیچیدگی تحلیل | به دلیل فعالیت مبتنی بر حافظه دشوار است | با نمونه فایل آسان تر است |
انتظار می رود در آینده بدافزارها از جمله Poweliks شاهد پیشرفت بیشتر در تکنیک های فرار و استفاده از حملات مبتنی بر هوش مصنوعی باشیم. سازندگان بدافزار احتمالاً از روشهای پیشرفته برای جلوگیری از شناسایی و آلوده کردن اهداف به طور مؤثرتری استفاده میکنند. توسعه راه حل های امنیتی با تمرکز بر تشخیص مبتنی بر رفتار و اطلاعات تهدید در زمان واقعی در مبارزه با این تهدیدات در حال تحول حیاتی خواهد بود.
چگونه می توان از سرورهای پروکسی استفاده کرد یا با Poweliks مرتبط شد.
سرورهای پروکسی به طور بالقوه می توانند در ارتباط با Poweliks برای پنهان کردن ارتباط بدافزار با سرورهای فرمان و کنترل (C&C) مورد سوء استفاده قرار گیرند. با مسیریابی ترافیک از طریق سرورهای پراکسی، مجرمان سایبری می توانند منبع ارتباط را مبهم کرده و ردیابی به سیستم آلوده را چالش برانگیزتر کنند. با این حال، تأکید بر این نکته مهم است که ارائه دهندگان سرور پروکسی قانونی، مانند OneProxy، از سیاستهای سختگیرانه در برابر تسهیل فعالیتهای غیرقانونی تبعیت میکنند و اطمینان حاصل میکنند که از خدمات آنها به طور مسئولانه استفاده میشود.
لینک های مربوطه
برای اطلاعات بیشتر در مورد Poweliks و بهترین شیوه های امنیت سایبری، به منابع زیر مراجعه کنید:
- گزارش اطلاعات امنیتی مایکروسافت توسط مرکز اطلاعاتی تهدیدات مایکروسافت
- هشدار US-CERT در کبرای پنهان – ابزار دسترسی از راه دور کره شمالی: FALLCHILL
- موسسه SANS منبعی در بدافزار بدون فایل Poweliks
