Mohmmad_ALmrayat
مشرف سابق
بسم الله الرحمن الرحيم
1- المقدمة (Introduction):يعني بشكل مبسط، هرم الألم(pyramid of pain) هو فكرة بيستخدموها الناس اللي يشتغلون بالأمن السيبراني عشان يحسنون شغلهم في حماية الشركات من الهجمات الإلكترونية. زي ما فيه شركات كبيرة مثل "Cisco Security" و"SentinelOne" و"SOCRadar"، كلهم يعتمدون على هذا المفهوم عشان يحسنون كيفية اكتشاف التهديدات اللي ممكن تضر الشركة، وكيف يتعاملون مع المشاكل بسرعة لما تصير.
والهرم هذا مهم لأي شخص يشتغل في صيد التهديدات (Threat Hunter)، أو الأشخاص اللي يتعاملون مع الحوادث (Incident Responder)، أو SOC Analyst .
هل أنت جاهز لاستكشاف ما يخفيه هرم الألم (pyramid of pain)؟
2- قيم التجزئة (Hash Values):
التجزئة (Hash) هي زي بصمة رقمية لأي ملف أو بيانات. لما تطبق خوارزمية تجزئة على ملف معين، بيعطيك رقم ثابت الطول يمثل هذا الملف بشكل فريد، يعني لو تغير حرف واحد أو حتى نقطة في الملف، الرقم بيتغير تمامًا. الشيء هذا مفيد جدًا في الأمن السيبراني لأنه يساعد المختصين يعرفو إذا الملف أصلي أو تم العبث فيه، أو إذا كان ملف خبيث.
فيه خوارزميات كثيرة تستخدم عشان تحسب التجزئة، وأشهرها:
- MD5: هذا كان شائع جدًا، لكن الآن ما يعتبر آمن. يعني زمان كانوا يستخدمونه عشان يعرفو الملفات الخبيثة أو يشيكو على سلامة البيانات، لكن مع الوقت اكتشفوا إنه فيه ثغرات . يعني ممكن تلقى ملفين مختلفين لهم نفس قيمة التجزئة، وهذا خطر في التشفير، عشان هذا ما بيستخدمونه الحين.
- SHA-1: هذا اجا بعده كان آمن فترة طويلة، وكانوا يعتمدون عليه في كثير من الأشياء مثل التوقيعات الرقمية. لكن في 2011 قالوا إنه لم يعد صلح لأنه صار فيه هجمات أقوى تقدر تكسره. يعني لو واحد عنده وقت وموارد، ممكن يكسر التشفير ويطلع البيانات، عشان هذا نصحوا الناس بالابتعاد عنه.
- SHA-2: هذا يعتبر الجيل الجديد، وهو اللي بيستخدمونه الحين لأنه أقوى من SHA-1 وMD5. فيه منه أنواع كثيرة، وأشهرها SHA-256 اللي يعطيك رقم تجزئة طويل جدًا وصعب على أحد يكسره. عشان هذا الشركات الكبيرة والأنظمة المهمة تعتمد عليه.
أولًا، المختصين في الأمن يستخدمون التجزئة عشان يشيكو على الملفات. مثلًا لو عندك ملف تقول إنه مشبوه، تحط رقم التجزئة الخاص به وتدور في مواقع زي VirusTotal، وبيطلع لك إذا الملف هذا معروف إنه خبيث أو إذا أحد بلغ عنه قبل هذا.
ثانيًا، إذا قريت تقارير عن الفيروسات أو هجمات الفدية (Ransomware)، بتحصل إنهم يكتبون أرقام التجزئة في نهاية التقرير. هذي الأرقام هي اللي تساعدك تعرف الملفات اللي استخدموها في الهجوم، وتقدر تقارنها بملفات موجودة عندك عشان تشوف إذا أنت مهدد أو لا.
مثلًا، تقارير The DFIR Report أو FireEye Threat Research Blogs تكون مليانة بمعلومات عن التجزئة، عشان الناس اللي شغالين في الأمن يقدرون يستخدمونها لمكافحة الهجمات.
وأخيرًا، لو عندك شك بملف، تقدر تروح لمواقع مثل VirusTotal أو Metadefender Cloud وتسوي بحث باستخدام رقم التجزئة عشان تشيك إذا الملف هذا نظيف أو فيه شيء خطر.
:VirusTotal
أسفل علامة التجزئة في لقطة الشاشة أعلاه، يمكنك رؤية اسم الملف. في هذه الحالة، يكون "m_croetian.wnry"
:MetaDefender Cloud - OPSWAT
زي ما تلاحظ، لو عندنا قيمة التجزئة لملف، نقدر بسهولة نكتشف إذا كان هذا الملف خبيث أو لا. لكن بالنسبة للمهاجمين، تعديل الملف حتى لو كان بت واحد (جزء صغير جدًا) بيغير قيمة التجزئة تمامًا، وهذا شيء سهل جدًا يسوونه. مع وجود آلاف النسخ والاختلافات للبرامج الخبيثة أو فيروسات الفدية، الصيد التهديدي باستخدام التجزئة كـ IOC (مؤشر للاختراق) بيصير أصعب.خلينا نشوف مثال بسيط كيف يمكن تغيير قيمة التجزئة لملف بمجرد إضافة نص صغير في نهاية الملف باستخدام أمر بسيط زي "echo".
كود:
PS C:\Users\THM\Downloads> Get-FileHash .\OpenVPN_2.5.1_I601_amd64.msi -Algorithm MD5
Algorithm Hash Path
_________ ____ ____
MD5 D1A008E3A606F24590A02B853E955CF7 C:\Users\THM\Downloads\OpenVPN_2.5.1_I601_amd64.msi
كود:
PS C:\Users\THM\Downloads> echo "AppendTheHash" >> .\OpenVPN_2.5.1_I601_amd64.msi
PS C:\Users\THM\Downloads> Get-FileHash .\OpenVPN_2.5.1_I601_amd64.msi -Algorithm MD5
Algorithm Hash Path
_________ ____ ____
MD5 9D52B46F5DE41B73418F8E0DACEC5E9F C:\Users\THM\Downloads\OpenVPN_2.5.1_I601_amd64.msiهو معطينا تقرير من موقع VirusTotal لي قيمة التجزئة رح اضع صوره عنه .
3- IP Address :
عنوان الـ IP هو رقم يستخدم لتحديد أي جهاز متصل بشبكة، سواء كان جهاز كمبيوتر، سيرفر، أو حتى كاميرات مراقبة CCTV. نعتمد على هذه العناوين لإرسال واستقبال المعلومات عبر الشبكة. لكن هنا ما راح نتكلم عن تفاصيل هيكلة أو وظيفة عنوان الـ IP، بل بنركز على كيف يتم استخدام عناوين الـ IP كجزء من مفهوم "هرم الألم" (Pyramid of Pain).
في "هرم الألم"، يتم تمثيل عناوين الـ IP باللون الأخضر. يمكن تتساءل ليش اللون الأخضر؟ اللون الأخضر عادة مرتبط بالأشياء السهلة أو المتغيرة بشكل سريع، وهذا يدل على أن التعامل مع عناوين الـ IP كجزء من الدفاع الأمني ممكن يكون فعال لكنه مو دايمًا صعب على المهاجم تجاوزه.
من وجهة نظر الدفاع:
معرفة عناوين الـ IP اللي يستخدمها المهاجم ممكن تكون مفيدة للدفاع. في العادة، يتم اتخاذ إجراءات مثل حظر، رفض، أو إسقاط الطلبات الواردة من هذه العناوين باستخدام جدار الحماية (الفاير وول) الخارجي. لكن هذه الطريقة ما تعتبر الحل النهائي أو "مضاد للرصاص"؛ لأن المهاجم المتمرس يقدر بكل سهولة يغير عنوان الـ IP اللي يستخدمه، ويستمر في هجماته بدون مشاكل.
ببساطة، الاعتماد على حظر عناوين الـ IP كوسيلة دفاع هو تكتيك مفيد، لكنه ضعيف لأنه سهل تجاوزه من قِبَل المهاجمين.
اتصالات IP ضاره :
تحذير! لا تحاول التفاعل مع عناوين الـ IP الموضحة.
أحد الطرق اللي المهاجمين يستخدمونها عشان يصعبون عليك حظر عناوين الـ IP هي تقنية اسمها Fast Flux.
إيش هي تقنية Fast Flux؟
ببساطة، تقنية Fast Flux هي تقنية DNS يستخدمها المهاجمين، غالبًا في شبكات البوت نت (botnets)، عشان يخفون أنشطتهم الخبيثة مثل التصيّد (phishing)، توصيل البرامج الضارة، أو حتى تشغيل خوادم البروكسي اللي تستخدم لأغراض مشبوهة. الهدف الرئيسي من استخدام تقنية Fast Flux هو جعل الاتصالات بين البرمجيات الخبيثة وخادم التحكم فيها (C&C) صعبة الاكتشاف على خبراء الأمن.كيف تعمل تقنية Fast Flux؟
الفكرة الأساسية في تقنية Fast Flux هي إنهم يربطون مجموعة كبيرة من عناوين الـ IP باسم مجال واحد (Domain). وكل شوي يتم تغيير هذه العناوين بشكل مستمر، عشان يصعب على الجهات الأمنية أو المدافعين حظرها أو اكتشافها بسهولة. فلو حاولت تحظر عنوان IP معين، المهاجم بكل سهولة يغير العنوان ويستمر في نشاطه.سيناريو خيالي من Palo Alto:
شركة Palo Alto صنعت سيناريو خيالي بعنوان "Fast Flux 101" عشان يشرحون كيف المجرمين الإلكترونيين يستخدمون هذه التقنية عشان يحسنون من مرونة شبكاتهم، ويخلوها صعبة الاكتشاف أو الحظر من قبل السلطات الأمنية.ولان هنال تقرير و يريد منا الجابة عليها :
ساضع صوره عن مكان تواجي الجابات في تقرير:
4- أسماء النطاقات (Domain Names)
الحين بنطلع خطوة في هرم الألم ونتكلم عن أسماء النطاقات (Domain Names). لو لاحظت، اللون تحول من الأخضر إلىالأزرق المخضر(teal).
إيش هو اسم النطاق؟
ببساطة، اسم النطاق هو زي رابط نصي مرتبط بعنوان IP. يعني بدل ما تحفظ رقم الـ IP، تقدر تستخدم اسم نطاق زي "evilcorp.com". واسم النطاق ممكن يكون مكوّن من نطاق رئيسي ونطاق علوي (زي .com)، أو ممكن يكون فيه نطاق فرعي قبل النطاق الرئيسي، زي "tryhackme.evilcorp.com". لكن هنا ما راح ندخل في تفاصيل كيف نظام أسماء النطاقات (DNS) يشتغل. إذا حابب تعرف أكثر عن DNS، تقدر تتعلم من غرفة "DNS in Detail".كيف يشكل اسم النطاق مشكلة؟
تغيير أسماء النطاقات ممكن يكون أصعب شوي على المهاجم مقارنةً بعناوين IP. ليش؟ لأنهم غالباً يحتاجو يشترونالنطاق، ويسجلوه، ويغيرو سجلات الـ DNS عشان يربطوه بعنوان IP جديد. لكن بالنسبة للمدافعين، للأسف، بعض مزودي خدمات الـ DNS عندهم معايير ضعيفة وما يهتمو كثير بالتسجيلات، غير إنهم يوفرو أدوات (APIs) تسهّل على المهاجمين تغيير النطاق بسرعة.هنا نذكر مثال على نطاقات خبيثة مثل Sodinokibi C2 اللي تستخدم للتحكم والتوجيه (Command and Control) للبنية التحتية للمهاجمين.
وهذا أحد الأمثلة على هجوم Punycode. في هذا الهجوم، يقوم المهاجمون بتغيير شكل الرابط (URL) ليبدو وكأنه رابط لموقع شرعي، ولكن في الواقع يأخذك إلى موقع خبيث.
ما هو Punycode؟
Punycode هو طريقة لتحويل الكلمات التي لا يمكن كتابتها باستخدام الأحرف العادية (ASCII) إلى رموز خاصة يمكن استخدامها في الروابط. على سبيل المثال، العنوان اللي يبدو كـ "adıdas.de" يتم تحويله إلى رمز مثل http://adıdas.de. هذا يجعل الرابط يبدو وكأنه لموقع شرعي مثل adidas.de، لكن في الحقيقة هو موقع خبيث.كيف يعمل الهجوم؟
المهاجمون يستخدمون Punycode لتغيير شكل الروابط بحيث تبدو مشابهة لعناوين مواقع شرعية. معظم المتصفحات مثل Google Chrome وSafari أصبحت جيدة في اكتشاف هذه الروابط وترجمتها إلى شكلها الحقيقي، ولكن الهجوم لا يزال ممكنًا في بعض الأحيان.كيف يمكن اكتشاف النطاقات الخبيثة؟
بإمكانك استخدام سجلات الوكيل أو سجلات خوادم الويب للتعرف على الروابط الخبيثة إذا كانت موجودة ضمن الاتصالات.الروابط المختصرة
المهاجمون أيضًا يستخدمون أدوات تقصير الروابط لإخفاء الروابط الخبيثة. هذه الأدوات تنشئ روابط قصيرة مثل bit.ly، وعندما تنقر عليها تأخذك إلى موقع آخر. بعض الأدوات الشائعة لتقصير الروابط التي يستخدمها المهاجمون تشمل:- bit.ly
- goo.gl
- ow.ly
- s.id
- smarturl.it
- tiny.pl
- tinyurl.com
- x.co
كيف تكتشف الوجهة الحقيقية للرابط المختصر؟
يمكنك رؤية الموقع الذي سيأخذك إليه الرابط المختصر عن طريق إضافة "+" في نهاية الرابط المختصر. على سبيل المثال، إذا كان الرابط هو bit.ly/example، يمكنك كتابة bit.ly/example+ في المتصفح وسيظهر لك الموقع الذي سيقوم الرابط بتحويلك إليه.ملاحظة: أمثلة الروابط المختصرة أدناه غير موجودة.
عرض الاتصالات في Any.run:
- شو هو Any.run؟: هو خدمة تستخدم "الصندوق الرملي" (sandbox) لتشغيل العينة أو البرنامج اللي بدك تحللّه. هذا يعني إنه Any.run يشغل البرنامج في بيئة معزولة عشان تقدر تراقب تصرفاته بدون ما يؤثر على جهازك.
- كيف نعرض الاتصالات؟: في Any.run، تقدر تشوف أي اتصالات الشبكة مثل طلبات HTTP (الويب)، طلبات DNS (نظام أسماء النطاقات)، أو العمليات اللي تتواصل مع عنوان IP. تلاقي هذه المعلومات تحت تبويب "Networking" (الشبكات) اللي موجود تحت صورة الجهاز.
طلبات HTTP:
- شو هو تبويب طلبات HTTP؟: هذا التبويب يعرض الطلبات اللي تم تسجيلها على الويب منذ تشغيل العينة. يعني ممكن تشوف شو الموارد اللي تم سحبها من خادم ويب، مثل ملف ضار أو ردود من خادم للتحكم.
الاتصالات:
- شو يعني تبويب "الاتصالات"؟: هذا التبويب في Any.run يعرض لك أي نوع من التواصل اللي حصل منذ تشغيل العينة. يعني، بعد ما تشغّل البرنامج الخبيث في الصندوق الرملي، تقدر تشوف كل الاتصالات اللي تمت.
- ليش هذا مفيد؟: لأنه يساعدك تعرف إذا كان البرنامج الخبيث يتواصل مع أجهزة أو خوادم أخرى. مثلاً، ممكن يشمل:
- ترافيك C2: اللي هو تواصل مع خادم التحكم (Command and Control) اللي ممكن يدير عمليات البرمجية الضارة.
- رفع/تحميل ملفات عبر FTP: لو كان البرنامج ينقل ملفات إلى أو من خادم عبر بروتوكول FTP.
طلبات DNS:
- شو يعني تبويب "طلبات DNS"؟: هذا التبويب يعرض لك طلبات DNS اللي تمت منذ تشغيل العينة.
- ليش هالشي مهم؟: لأن البرمجيات الخبيثة عادةً تسوي طلبات DNS عشان تتحقق إذا كان عندها اتصال بالإنترنت. يعني، إذا كانت البرمجية الخبيثة ما تقدر توصل للإنترنت أو تتصل بخادمها الرئيسي، فهذا يعني غالباً أنها تتواجد في بيئة صندوق رملي (sandbox) أو أنها مش مفيدة.
ولان هنالك تقرير و عليه اسئله :
q1-
5- آثار الهجمات على النظام(Host Artifacts)
لننتقل إلى المستوى الأصفر:
- المستوى الأصفر: في هذا المستوى، إذا كنت قادر على اكتشاف الهجوم، فإن المهاجم راح يشعر بالانزعاج والإحباط بشكل أكبر. لأن اكتشافك للهجوم في هذا المستوى يجبره على العودة وتغيير أدواته وتقنياته. هذا العمل يستغرق وقتاً طويلاً ويكلفه موارد إضافية، لأنه يحتاج لتعديل طرقه لمحاولة التسلل مجدداً.
- آثار النظام: هي العلامات أو الآثار اللي يتركها المهاجم على النظام بعد الهجوم، مثل:
- قيم التسجيل (Registry Values): تغييرات في سجل النظام.
- تنفيذ عمليات مشبوهة: عمليات أو برامج تنفذ تصرفات غير طبيعية.
- أنماط الهجوم أو مؤشرات الاختراق (IOCs): علامات أو دلائل على وجود هجوم.
- ملفات تم إسقاطها بواسطة تطبيقات خبيثة: ملفات تم تحميلها على الجهاز بواسطة البرمجيات الضارة.
- أي شيء خاص بالتهديد الحالي: أي أثر خاص بالهجوم الحالي.
الملفات التي تم تعديلها/إسقاطها بواسطة الممثل الخبيث:
الان حل الاسئلة :
6-آثار الشبكة(Network Artifacts)
آثار الشبكة أيضاً تنتمي إلى المستوى الأصفر في "هرم الألم". هذا يعني إذا قدرت تكتشف وتستجيب للتهديدات، المهاجم يحتاج وقتاً أطول لتعديل تكتيكاته أو تغيير أدواته. وهذا يعطيك وقتاً أكثر للاستجابة والكشف عن التهديدات القادمة أو معالجة التهديدات الحالية.
الآثار الشبكية يمكن أن تكون:
- سلسلة User-Agent: وهي السلسلة التي تعرّف نوع المتصفح أو الأداة التي أرسلت الطلب. إذا استخدم المهاجم سلسلة User-Agent جديدة أو غير معتادة في بيئتك، فهذا ممكن يكون مؤشراً على نشاط مشبوه.
- معلومات C2: بيانات تتعلق بخادم التحكم الذي يستخدمه المهاجم.
- أنماط URI: أنماط عناوين URL المستخدمة في طلبات HTTP POST.
- Wireshark PCAPs: ملفات تحتوي على بيانات الحزم الشبكية. تقدر تستخدم أدوات تحليل البروتوكولات مثل TShark لتحليل هذه الملفات.
- تسجيلات IDS: مثل Snort، وهي أدوات تكتشف وتحلل الأنشطة المشبوهة في الشبكة.
- إذا لاحظت طلبات HTTP POST تحتوي على سلاسل أو نصوص غير عادية أو مشبوهة، فهذا قد يدل على نشاط غير طبيعي قد يكون جزءاً من هجوم.
استخدام TShark لتصفية سلاسل User-Agent:
كود:
tshark --Y http.request -T fields -e http.host -e http.user_agent -r analysis_file.pcapأكثر سلاسل User-Agent شيوعًا المستخدمة مع Trojan Emotet Downloader:
إذا كنت قادرًا على اكتشاف سلاسل User-Agent المخصصة التي يستخدمها المهاجم، قد تتمكن من حظرها. هذا يمكن أن يضيف المزيد من العوائق ويجعل محاولة المهاجم لاختراق الشبكة أكثر إزعاجًا وصعوبة.
7- الادوات(Tools):
لقد وصلنا إلى الجزء الأكثر تحدياً للمهاجمين
في هذه المرحلة، قمنا بتحسين قدراتنا في الكشف عن الآثار، مما يجعل الأمور أكثر صعوبة على المهاجمين. في هذه المرحلة:
- المهاجمين: من المحتمل أن يتوقفوا عن محاولة اختراق شبكتك أو يعودوا لمحاولة إنشاء أداة جديدة تؤدي نفس الغرض. سيكون من الصعب عليهم استثمار الأموال في بناء أداة جديدة، أو العثور على أداة ذات نفس الفعالية، أو حتى الحصول على تدريب لتعلم كيفية استخدام أداة معينة بشكل متقن.
- الأدوات التي يستخدمها المهاجمون:
- وثائق ماكرو خبيثة (Maldocs): تُستخدم في هجمات التصيد المستهدفة (spearphishing).
- برامج خلفية (Backdoors): تُستخدم لإقامة بنية تحتية للتحكم (C2).
- ملفات .EXE و .DLL مخصصة: تُستخدم لتنفيذ الأوامر الخبيثة.
- حمولات (Payloads): تُستخدم لتحقيق الأهداف الخبيثة.
- كراكر كلمات السر (Password Crackers): تُستخدم لاختراق كلمات السر.
أسقط حصان طروادة ملف "Stealer.exe" المشبوه في المجلد المؤقت:
تنفيذ الثنائي المشبوه:
التوقيعات المضادة للفيروسات، قواعد الكشف، وقواعد YARA هي أدوات قوية يمكنك استخدامها ضد المهاجمين في هذه المرحلة.
كيف يمكنك الاستفادة منها؟
- توقيعات مكافحة الفيروسات: هذه التوقيعات تُستخدم للكشف عن البرمجيات الخبيثة المعروفة. تحتاج لتحديث التوقيعات بانتظام لمواكبة التهديدات الجديدة.
- قواعد الكشف: قواعد الكشف تساعدك في التعرف على الأنشطة المشبوهة على نظامك بناءً على أنماط هجوم معينة. يمكنك إعداد قواعد للكشف عن السلوكيات غير الطبيعية.
- قواعد YARA: YARA أداة تستخدم لإنشاء قواعد تستطيع من خلالها تحديد الملفات الخبيثة بناءً على أنماط محددة. هذه القواعد يمكن أن تبحث عن خصائص معينة في الملفات لتحديد إذا كانت خبيثة.
- MalwareBazaar و Malshare: هذه المواقع توفر عينات من البرمجيات الخبيثة، معلومات عن التهديدات، ونتائج من قواعد YARA. يمكن استخدامها في البحث عن تهديدات جديدة والاستجابة للحوادث.
- SOC Prime Threat Detection Marketplace: هذه المنصة تتيح لك الوصول إلى قواعد الكشف التي يشاركها محترفو الأمن. يمكن العثور على قواعد للكشف عن التهديدات المختلفة، بما في ذلك الثغرات الأمنية الحديثة.
- ما هي تجزئة الفوضى؟: هي تقنية تُستخدم لمقارنة الملفات التي تحتوي على اختلافات بسيطة. تساعدك في تحديد مدى تشابه ملفين باستخدام قيم تجزئة الفوضى. أحد الأمثلة على هذه التقنية هو SSDeep، ويمكنك العثور على مزيد من المعلومات حول تجزئة الفوضى على موقع SSDeep الرسمي.
8-TTPs
لم تنتهِ المعركة بعد، لكن لدينا أخبار جيدة: وصلنا إلى المرحلة النهائية أو قمة "هرم الألم"!
TTPs تعني Tactics, Techniques & Procedures، وهي تشمل شبكة MITRE ATT&CK بالكامل. هذا يعني جميع الخطوات التي يتخذها المهاجم لتحقيق هدفه، بدءًا من محاولات التصيد، وصولاً إلى الحفاظ على الوصول، وتسريب البيانات.
لماذا الكشف عن TTPs مهم؟
- الكشف السريع عن TTPs: إذا كنت قادرًا على اكتشاف والتعامل مع TTPs بسرعة، فإنك تترك للمهاجمين تقريبًا فرصة ضئيلة للرد. على سبيل المثال، إذا كنت قادرًا على اكتشاف هجوم Pass-the-Hash باستخدام مراقبة سجلات Windows Event Log ومعالجته، ستكون قادرًا على تحديد المضيف المخترق بسرعة ووقف الحركة الجانبية داخل الشبكة.
- العودة، القيام بمزيد من البحث والتدريب، وإعادة تكوين أدواتهم المخصصة.
- الاستسلام والبحث عن هدف آخر.
9- Practical: The Pyramid of Pain
و عندك اول وحده Tool
10-Conclusion
الآن بعد أن فهمت مفهوم "هرم الألم"، حان الوقت لتطبيقه عملياً.
الخطوات العملية:
- انتقل إلى الموقع الثابت:
- قم بزيارة الموقع الثابت الذي تم نشره. هذا هو المكان الذي ستقوم فيه بتنظيم البيانات الخاصة بك بناءً على مستويات هرم الألم.
- اختر مجموعة تهديد متقدمة (APT):
- مجموعات APT: هي مجموعات تهديد متقدمة تستهدف الأهداف لمدد طويلة باستخدام تقنيات معقدة. يمكنك البحث عن مجموعة تهديد معينة على مواقع مثل FireEye.
- FireEye APT Groups: ابحث عن مجموعة تهديد تريد دراسة أنشطتها ومؤشراتها.
- ابحث عن مؤشرات التهديد (Indicators):
- مؤشرات التهديد: هذه هي العلامات التي تدل على وجود نشاط ضار. يمكن أن تشمل عناوين IP، أسماء الملفات، سلاسل User-Agent، إلخ.
- حدد الأساليب وطرق الكشف:
- طرق الكشف: فكر في كيفية إنشاء قواعد أو طرق لكشف النشاطات الضارة للمجموعة التي تبحث عنها.
- أين يقع هذا النشاط في هرم الألم؟: حدد أين تقع مؤشرات التهديد والنشاطات في هرم الألم، سواء كانت في البداية (الآثار التي يتركها المهاجمون)، أو في مستويات أعلى (مثل تكتيكات وتقنيات وإجراءات المهاجمين).
- فكر في تأثير الكشف:
- كما يقول David Blanco: "مقدار الألم الذي تسببه للمهاجم يعتمد على أنواع المؤشرات التي تستطيع استخدامها". لذا كلما كانت المؤشرات أكثر تعقيداً، كان الألم أكبر للمهاجمين.
المرفقات
التعديل الأخير:
