مضى على الشبكة و يوم من العطاء.

[ WalkTh ] سلسلة القتل السيبراني Cyber Kill Chain

shadowshadow is verified member.

{ | مشرف قسم لغات البرمجة | }
.:: طاقم المشرفين ::.
.:: كاتب تقني ::.

السمعة:

بسم الله الرحمن الرحيم

المقدمة (Introduction)

1727376393528.webp

سوف نتحدث اليوم عن موضوع مهم في عالم الأمن السيبراني وهو "Cyber Kill Chain" أو سلسلة القتل الإلكترونية.
سلسلة القتل هي مفهوم عسكري يتعلق بهيكل الهجوم، وتتكون من تحديد الهدف، اتخاذ القرار وإصدار الأمر للهجوم، وأخيرًا تدمير الهدف.
بفضل شركة لوكهيد مارتن، تم تأسيس إطار عمل "سلسلة القتل السيبراني(Cyber Kill Chain® framework)" في عام 2011 استنادًا إلى هذا المفهوم العسكري. يحدد الإطار الخطوات المستخدمة من قبل الخصوم أو الفاعلين الخبيثين في الفضاء السيبراني. للنجاح، يحتاج الخصم إلى المرور بجميع مراحل سلسلة القتل.

لماذا من المهم فهم كيفية عمل سلسلة القتل السيبراني؟​

سيساعدك فهم سلسلة القتل على الحماية من هجمات ransomware، اختراقات الأمان، بالإضافة إلى التهديدات المستمرة المتقدمة (APTs). يمكنك استخدام سلسلة القتل لتقييم أمان شبكتك وأنظمتك من خلال تحديد نقاط ضعف الأمان وإغلاق الثغرات بناءً على بنية شركتك.
من خلال فهم سلسلة القتل كأخصائي تحليل مركز العمليات الأمنية (SOC) أو باحث أمني أو صائد تهديدات أو مستجيب للحوادث، ستكون قادرًا على التعرف على محاولات الاقتحام وفهم أهداف المعتدي.

المراحل التي سيتم استكشافها:​

  • الاستطلاع
  • تسليح
  • تسليم
  • استغلال
  • تثبيت
  • القيادة والتحكم
  • إجراءات على الأهداف
1727376426014.webp



الاستطلاع (Reconnaissance)

1727376452244.webp
الاستطلاع هو عملية اكتشاف وجمع المعلومات عن النظام والضحية. تعتبر مرحلة الاستطلاع هي مرحلة التخطيط للخصوم.

تندرج المعلومات المفتوحة المصدر (OSINT) تحت فئة الاستطلاع. تُعد OSINT الخطوة الأولى التي يحتاج المهاجم لإنجازها للانتقال إلى مراحل الهجوم التالية. يحتاج المهاجم لدراسة الضحية عن طريق جمع كل المعلومات المتاحة حول الشركة وموظفيها، مثل حجم الشركة، عناوين البريد الإلكتروني، وأرقام الهواتف من الموارد المتاحة للجمهور لتحديد أفضل هدف للهجوم.
دعونا ننظر إلى الأمر من منظور المهاجم الذي لا يعرف في البداية أي شركة يريد مهاجمتها.
لدينا مهاجم خبيث يسمي نفسه "شادو"، قرر تنفيذ هجوم متطور للغاية كان يخطط له لسنوات؛ وقد قام بدراسة وبحث أدوات وتقنيات مختلفة يمكن أن تساعده للوصول إلى المرحلة الأخيرة من سلسلة القتل السيبراني. ولكن أولاً، يحتاج إلى البدء من مرحلة الاستطلاع.
لكي يعمل في هذه المرحلة، يحتاج المهاجم إلى إجراء OSINT. دعونا نلقي نظرة على جمع عناوين البريد الإلكتروني.

جمع عناوين البريد الإلكتروني

جمع عناوين البريد الإلكتروني هو عملية الحصول على عناوين البريد الإلكتروني من خدمات عامة، مدفوعة أو مجانية. يمكن للمهاجم استخدام جمع عناوين البريد الإلكتروني لهجوم تصيد (نوع من هجمات الهندسة الاجتماعية المستخدمة لسرقة البيانات الحساسة، بما في ذلك بيانات تسجيل الدخول وأرقام بطاقات الائتمان). سيحصل المهاجم على مجموعة واسعة من الأدوات المتاحة لأغراض الاستطلاع. إليك بعضًا منها:

  • theHarvester: بجانب جمع البريد الإلكتروني، يمكن لهذه الأداة جمع أسماء، ونطاقات فرعية، وعناوين IP، وروابط باستخدام مصادر بيانات عامة متعددة.​
  • Hunter.io: أداة جمع عناوين البريد الإلكتروني التي ستسمح لك بالحصول على معلومات الاتصال المرتبطة بالنطاق.​
  • OSINT Framework: يوفر مجموعة من أدوات OSINT مصنفة بناءً على فئات مختلفة.​
سيستخدم المهاجم أيضًا مواقع التواصل الاجتماعي مثل LinkedIn وFacebook وTwitter وInstagram لجمع المعلومات عن ضحية معينة يرغب في مهاجمتها أو عن الشركة. يمكن أن تكون المعلومات الموجودة على وسائل التواصل الاجتماعي مفيدة للمهاجم لتنفيذ هجوم تصيد.

يعني بنقدر نحكي انه اي هجوم يحتاج لجمع الكثير من المعلومات .........
1727376499385.webp

التسليح (Weaponization)
1727376541011.webp
بعد نجاح مرحلة الاستطلاع، سيعمل "شادو" على إعداد "سلاح دمار (weapon of destruction)". يفضل عدم التفاعل مباشرة مع الضحية، وبدلاً من ذلك، سيقوم بإنشاء "سلاح تسليح(weaponizer)" يجمع بين البرمجيات الخبيثة (malware) واستغلال الثغرات (exploit) في حزمة قابلة للتسليم. غالبًا ما يستخدم المهاجمون أدوات آلية لتوليد البرمجيات الخبيثة أو يشترونها من الشبكة المظلمة (DarkWeb). بينما يقوم الفاعلون الأكثر تطورًا، مثل جماعات التهديد المستمر المتقدمة (APTs) المدعومة من الدول، بكتابة برمجياتهم الخبيثة المخصصة لجعلها فريدة وتفادي اكتشافها من قبل الهدف.

تعريف بعض المصطلحات:​

  • البرمجيات الخبيثة (Malware): برنامج أو برمجية مصممة لإتلاف أو تعطيل أو الحصول على وصول غير مصرح به إلى جهاز كمبيوتر.​
  • استغلال الثغرات (Exploit): برنامج أو كود يستفيد من ثغرة أو عيب في التطبيق أو النظام.​
  • الحزمة (Payload): كود خبيث يقوم المهاجم بتشغيله على النظام.​

ماذا سيختار "شادو"؟​

يختار "شادو" شراء حزمة جاهزة من شخص آخر في الشبكة المظلمة، حتى يتمكن من قضاء المزيد من الوقت في المراحل الأخرى.

في مرحلة التسليح، سيقوم المهاجم بـ:​

  1. إنشاء مستند Microsoft Office مصاب يحتوي على ماكرو خبيث أو سكريبتات VBA (Visual Basic for Applications). إذا كنت تريد معرفة المزيد عن الماكرو وVBA.
  2. يمكن للمهاجم إنشاء حزمة خبيثة أو دودة معقدة، وزرعها على محركات USB، ثم توزيعها في الأماكن العامة.
  3. اختيار تقنيات القيادة والتحكم (C2) لتنفيذ الأوامر على جهاز الضحية أو لتسليم حزم خبيثة إضافية. يمكنك قراءة المزيد عن تقنيات C2 في MITRE ATT&CK.
  4. اختيار زرع باب خلفي (backdoor) للوصول إلى نظام الكمبيوتر، والذي يتضمن تجاوز آليات الأمان.
1727376580998.webp

التسليم (Delivery)
1727376609899.webp
مرحلة التسليم هي المرحلة التي يقرر فيها "شادو" اختيار الطريقة لنقل الحزمة أو البرمجيات الخبيثة. لديه العديد من الخيارات المتاحة:
  1. البريد الإلكتروني الاحتيالي: بعد إجراء الاستطلاع وتحديد الأهداف للهجوم، يقوم الفاعل الخبيث بصياغة بريد إلكتروني ضار يستهدف إما شخصًا معينًا (هجوم تصيد موجه) أو عدة أشخاص في الشركة. يتضمن البريد الإلكتروني حزمة أو برمجيات خبيثة. على سبيل المثال، يتعلم "شادو" أن نانسي من قسم المبيعات في الشركة A تعجب دائمًا بالمنشورات على LinkedIn من سكوت، مدير تقديم الخدمات في الشركة B. يظن "شادو" أنهما يتواصلان عبر البريد الإلكتروني. لذا، سيقوم بصياغة بريد إلكتروني يستخدم اسم سكوت الكامل، مما يجعل المجال يبدو مشابهًا لمجال الشركة التي يعمل بها سكوت، ثم يرسل بريدًا مزيفًا يحتوي على "فاتورة" إلى نانسي، مع الحزمة الضارة.
  2. توزيع محركات USB المصابة: قد يقرر المهاجم تنفيذ هجوم USB Drop Attack معقد عن طريق طباعة شعار الشركة على محركات USB وإرسالها إلى الشركة، متظاهرًا بأنه عميل يرسل هذه الأجهزة كهدية. يمكنك قراءة المزيد عن هجمات مشابهة في مقال على CSO Online "مجموعة المجرمين الإلكترونيين ترسل وحدات USB ضارة إلى شركات مستهدفة."
  3. هجوم الحفرة المائية (Watering Hole Attack): هو هجوم مستهدف يهدف إلى مجموعة معينة من الأشخاص عن طريق اختراق المواقع التي يزورونها بشكل متكرر ثم توجيههم إلى موقع ضار من اختيار المهاجم. يبحث المهاجم عن ثغرة معروفة في الموقع ويحاول استغلالها. كما يشجع المهاجم الضحايا على زيارة الموقع من خلال إرسال رسائل بريد إلكتروني "غير ضارة" تشير إلى الرابط الضار لجعل الهجوم أكثر كفاءة. بعد زيارة الموقع، يقوم الضحية عن غير قصد بتنزيل برمجيات خبيثة أو تطبيق ضار على جهازه. يُطلق على هذا النوع من الهجمات اسم "تنزيل بالمرور" (drive-by download). مثال على ذلك هو ظهور نافذة منبثقة خبيثة تطلب تنزيل إضافة وهمية للمتصفح.
1727376620906.webp

الاستغلال (Exploitation)
1727376647161.webp
لكي يحصل المهاجم على وصول إلى النظام، يحتاج إلى استغلال الثغرة. في هذه المرحلة، كان "شادو" مبدعًا بعض الشيء - فقد أنشأ بريدين إلكترونيين احتياليين، أحدهما يحتوي على رابط احتيالي إلى صفحة تسجيل دخول وهمية لـ Office 365، والآخر يحتوي على مرفق ماكرو يقوم بتشغيل برنامج فدية (ransomware) عند فتحه. نجح "شادو" في إيصال استغلالاته وجعل ضحيتين تنقران على الرابط الضار وتفتحان الملف الضار.

بعد الحصول على الوصول إلى النظام، يمكن للممثل الخبيث استغلال الثغرات في البرمجيات أو الأنظمة أو الخوادم لزيادة الصلاحيات أو التحرك بشكل جانبي عبر الشبكة. وفقًا لـ CrowdStrike، يشير التحرك الجانبي إلى التقنيات التي يستخدمها المهاجم بعد الحصول على الوصول الأولي إلى جهاز الضحية للانتقال أعمق في الشبكة للحصول على بيانات حساسة.
قد يستخدم المهاجم أيضًا "استغلال الثغرات من نوع صفر يوم" (Zero-day Exploit) في هذه المرحلة. وفقًا لـ FireEye، فإن "استغلال الثغرات من نوع صفر يوم هو استغلال غير معروف في العالم الحقيقي يكشف عن ثغرة في البرمجيات أو الأجهزة ويمكن أن يسبب مشاكل معقدة قبل أن يدرك أي شخص أن هناك شيئًا خاطئًا. يترك استغلال الثغرات من نوع صفر يوم فرصة لاكتشافه في البداية."

أمثلة على كيفية تنفيذ المهاجم لعملية الاستغلال:​

  1. يقوم الضحية بتفعيل الاستغلال عن طريق فتح المرفق في البريد الإلكتروني أو النقر على الرابط الضار.​
  2. استخدام استغلال ثغرة من نوع صفر يوم.​
  3. استغلال الثغرات في البرمجيات أو الأجهزة، أو حتى الثغرات البشرية.​
  4. تفعيل الاستغلال لثغرات مرتبطة بالخوادم.​
1727376658685.webp

تثبيت (Installation)
1727376685169.webp
في مرحلة تسليح الهجمات، يُعتبر الباب الخلفي(backdoor) وسيلة تُتيح للمهاجم تجاوز تدابير الأمان والوصول المخفي إلى النظام. يُعرف الباب الخلفي أيضًا باسم نقطة الوصول( access point).

عندما يحصل المهاجم على الوصول إلى النظام، فإنه يرغب في إعادة الوصول إلى النظام في حال فقد الاتصال به، أو إذا تم اكتشافه وإزالة الوصول الأولي، أو إذا تم تصحيح النظام لاحقًا. هنا يحتاج المهاجم إلى تثبيت باب خلفي دائم، والذي يتيح له الوصول إلى النظام الذي تم اختراقه سابقًا. يمكنك الاطلاع على غرفة استمرارية ويندوز على TryHackMe لتتعلم كيف يمكن للمهاجم تحقيق الاستمرارية في أنظمة ويندوز.

يمكن تحقيق الاستمرارية من خلال:
  1. تثبيت واجهة ويب على خادم الويب: تُعتبر واجهة الويب نصًا ضارًا مكتوبًا بلغات تطوير الويب مثل ASP أو PHP أو JSP، تُستخدم من قبل المهاجم للحفاظ على الوصول إلى النظام المُخترق. بسبب بساطة واجهة الويب وتنسيق الملفات (.php، .asp، .aspx، .jsp، إلخ)، قد يكون من الصعب اكتشافها وقد تُصنف كشيء غير ضار. يمكنك الاطلاع على مقال ممتاز نشرته مايكروسوفت حول هجمات واجهة الويب.
  2. تثبيت باب خلفي على جهاز الضحية: على سبيل المثال، يمكن للمهاجم استخدام Meterpreter لتثبيت باب خلفي على جهاز الضحية. Meterpreter هو حمولة من إطار عمل Metasploit تمنح المهاجم قشرة تفاعلية للتفاعل مع جهاز الضحية عن بُعد وتنفيذ التعليمات البرمجية الضارة.
  3. إنشاء أو تعديل خدمات ويندوز: تُعرف هذه التقنية باسم T1543.003 في قاعدة بيانات MITRE ATT&CK (MITRE ATT&CK®) هي قاعدة معرفية لتكتيكات وتقنيات المعتدين استنادًا إلى سيناريوهات العالم الحقيقي). يمكن للمهاجم إنشاء أو تعديل خدمات ويندوز لتنفيذ النصوص أو الحمولة الضارة بانتظام كجزء من الاستمرارية. يمكن للمهاجم استخدام أدوات مثل sc.exe (التي تتيح لك إنشاء أو بدء أو إيقاف أو استعلام أو حذف أي خدمة ويندوز) وReg لتعديل تكوينات الخدمة. يمكن للمهاجم أيضًا تمويه الحمولة الضارة باستخدام اسم خدمة يُعرف بأنه مرتبط بنظام التشغيل أو برامج شرعية.
  4. إضافة مدخل إلى "مفاتيح التشغيل" في السجل أو مجلد بدء التشغيل: من خلال القيام بذلك، سيتم تنفيذ الحمولة في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى الكمبيوتر. وفقًا لـ MITRE ATT&CK، هناك موقع لمجلد بدء التشغيل لحسابات المستخدمين الفردية ومجلد بدء تشغيل على مستوى النظام سيتم التحقق منه بغض النظر عن حساب المستخدم الذي يسجل الدخول.
يمكنك قراءة المزيد حول مفاتيح التشغيل في السجل / مجلد بدء التشغيل في تقنيات MITRE ATT&CK.

في هذه المرحلة، يمكن للمهاجم أيضًا استخدام تقنية تغيير الأوقات (Timestomping) لتجنب الكشف من قبل المحققين الجنائيين وجعل البرمجيات الضارة تبدو كجزء من برنامج شرعي. تتيح تقنية تغيير الأوقات للمهاجم تعديل الطوابع الزمنية للملف، بما في ذلك أوقات التعديل والوصول والإنشاء والتغيير.
1727376702244.webp

القيادة والتحكم(Command & Control)
1727376725268.webp
بعد تحقيق الاستمرارية وتنفيذ البرمجيات الضارة على جهاز الضحية، يفتح "شادو" قناة التحكم والقيادة (C2) من خلال البرمجيات الضارة للتحكم عن بُعد والتلاعب بالضحية. يُعرف هذا المصطلح أيضًا باسم C&C أو C2 Beaconing، وهو نوع من الاتصالات الضارة بين خادم التحكم والقيادة والبرمجيات الضارة على الجهاز المصاب. يتواصل الجهاز المصاب باستمرار مع خادم C2، ومن هنا جاءت تسمية "Beaconing".

سيقوم الجهاز المخترق بالتواصل مع خادم خارجي تم إعداده من قبل المهاجم لإنشاء قناة التحكم والقيادة. بعد تأسيس الاتصال، يحصل المهاجم على تحكم كامل في جهاز الضحية. حتى وقت قريب، كانت IRC (الدردشة عبر الإنترنت) هي القناة التقليدية المستخدمة من قبل المهاجمين، لكن لم تعد هذه الطريقة فعالة، حيث يمكن للحلول الأمنية الحديثة اكتشاف حركة IRC الضارة بسهولة.

القنوات الأكثر شيوعًا المستخدمة من قبل المعتدين اليوم تشمل:
  1. البروتوكولات HTTP على المنفذ 80 وHTTPS على المنفذ 443: حيث تمتزج الحركة الضارة مع الحركة الشرعية، مما يساعد المهاجم على تجاوز الجدران النارية.
  2. DNS (خادم أسماء النطاقات): حيث يقوم الجهاز المصاب بإجراء طلبات DNS مستمرة إلى خادم DNS يعود للمهاجم، وتُعرف هذه النوعية من الاتصالات بـ DNS Tunneling.

من المهم ملاحظة أن المهاجم أو جهاز آخر مخترق يمكن أن يكون مالك بنية C2 التحتية. وهذا يشير إلى أنه ليس من الضروري أن يكون الخادم الذي يستخدمه المهاجم في مكان بعيد أو منفصل؛ بل يمكن أن يكون جزءًا من شبكة أخرى مخترقة، مما يزيد من تعقيد اكتشاف الأنشطة الضارة



1727376737734.webp

الإجراءات المتعلقة بالأهداف (الترشيح) Actions on Objectives (Exfiltration)
1727376757579.webp
بعد المرور عبر ست مراحل من الهجوم، يمكن لـ "شادو" أخيرًا تحقيق أهدافه، مما يعني اتخاذ إجراءات على الأهداف الأصلية. مع الوصول المباشر إلى لوحة المفاتيح، يمكن للمهاجم تحقيق ما يلي:
  1. جمع بيانات اعتماد المستخدمين.​
  2. تصعيد الامتيازات (الحصول على وصول مرتفع مثل الوصول إلى مدير النطاق من محطة العمل عن طريق استغلال الأخطاء في التكوين).​
  3. الاستطلاع الداخلي (على سبيل المثال، يمكن للمهاجم التفاعل مع البرمجيات الداخلية للعثور على ثغراتها).​
  4. الحركة الجانبية في بيئة الشركة.​
  5. جمع وتسريب البيانات الحساسة.​
  6. حذف النسخ الاحتياطية ونسخ الظل. (نسخة الظل- Shadow Copy- : هي تقنية من مايكروسوفت يمكن أن تنشئ نسخ احتياطية، أو لقطات لملفات أو وحدات التخزين).​
  7. كتابة فوق البيانات أو إتلافها.​
1727376777550.webp

تحليل الممارسة (Practice Analysis)
1727377111018.webp
السيناريو الواقعي الذي سنعمل عليه هو الهجوم السيبراني الشهير على شركة Target، الذي أدى إلى واحدة من أكبر اختراقات البيانات في التاريخ، والذي حدث في 27 نوفمبر 2013.

في 19 ديسمبر 2013، أصدرت شركة Target بيانًا يؤكد حدوث الاختراق، مشيرةً إلى أن حوالي 40 مليون حساب بطاقة ائتمان وخصم تأثر بين 27 نوفمبر و15 ديسمبر 2013. اضطرت Target لدفع غرامة قدرها 18.5 مليون دولار بموجب شروط اتفاق التسوية بين الولايات، مما يُعتبر أكبر تسوية لاختراق بيانات في التاريخ.

كيف حدث اختراق البيانات؟​

قم بنشر الموقع الثابت المرفق بهذه المهمة وطبق مهاراتك لبناء سلسلة قتل السيبرانية لهذا السيناريو. إليك بعض النصائح لمساعدتك في إكمال المهمة العملية:

أضف كل عنصر من القائمة في النموذج الصحيح ضمن سلسلة القتل على موقع المختبر الثابت:
  • استغلال تطبيقات الواجهة العامة
  • البيانات من النظام المحلي
  • باور شيل (PowerShell)
  • اختطاف الرابط الديناميكي
  • المرفق المستهدف (Spearphishing Attachment)
  • قنوات الطوارئ (Fallback Channels)
1727377304758.webp

خاتمة (Conclusion)
1727377937123.webp
يمكن أن تكون سلسلة قتل السيبرانية أداة رائعة لتحسين الدفاعات الشبكية، لكنها ليست مثالية ولا يمكن الاعتماد عليها كأداة وحيدة.
تم تعديل سلسلة قتل السيبرانية التقليدية أو سلسلة قتل لوكهيد مارتن آخر مرة في عام 2011، وهو تاريخ تأسيسها. إن غياب التحديثات والتعديلات يخلق فجوات أمنية.
صُممت سلسلة قتل السيبرانية التقليدية لحماية محيط الشبكة من تهديدات البرمجيات الضارة. لكن تهديدات الأمن السيبراني تطورت بشكل كبير في الوقت الحالي، حيث يقوم المعتدون بدمج تقنيات وأساليب متعددة لتحقيق أهدافهم. يمكن للمعتدين التغلب على معلومات التهديد عن طريق تعديل تجزئة الملفات وعناوين IP. لذا، تقوم شركات حلول الأمان بتطوير تقنيات مثل الذكاء الاصطناعي وخوارزميات مختلفة للكشف عن حتى التغييرات الطفيفة والمريبة.نظرًا لأن التركيز الرئيسي للإطار هو على توصيل البرمجيات الضارة وأمان الشبكة، فإن سلسلة قتل السيبرانية التقليدية لن تكون قادرة على التعرف على تهديدات الداخلين. وفقًا لوكالة الأمن السيبراني والبنية التحتية (CISA)
تهديد الداخل هو إمكانية أن يستخدم الداخل الوصول المصرح به أو فهمه للمنظمة لإلحاق الضرر بتلك المنظمة.

لذا، يُوصى بعدم الاعتماد فقط على نموذج سلسلة قتل السيبرانية التقليدية، بل أيضًا بالرجوع إلى MITRE ATT&CK وسلسلة القتل الموحدة( Unified Kill Chain) لتطبيق نهج أكثر شمولاً في استراتيجيات الدفاع الخاصة بك.
1727379060480.webp
 

المرفقات

  • 1727376678916.webp
    1727376678916.webp
    20.7 KB · المشاهدات: 118
  • 1727376770072.webp
    1727376770072.webp
    17 KB · المشاهدات: 123
التعديل الأخير بواسطة المشرف:
بسم الله الرحمن الرحيم

المقدمة (Introduction)

مشاهدة المرفق 13994
سوف نتحدث اليوم عن موضوع مهم في عالم الأمن السيبراني وهو "Cyber Kill Chain" أو سلسلة القتل الإلكترونية.
سلسلة القتل هي مفهوم عسكري يتعلق بهيكل الهجوم، وتتكون من تحديد الهدف، اتخاذ القرار وإصدار الأمر للهجوم، وأخيرًا تدمير الهدف.
بفضل شركة لوكهيد مارتن، تم تأسيس إطار عمل "سلسلة القتل السيبراني(Cyber Kill Chain® framework)" في عام 2011 استنادًا إلى هذا المفهوم العسكري. يحدد الإطار الخطوات المستخدمة من قبل الخصوم أو الفاعلين الخبيثين في الفضاء السيبراني. للنجاح، يحتاج الخصم إلى المرور بجميع مراحل سلسلة القتل.

لماذا من المهم فهم كيفية عمل سلسلة القتل السيبراني؟​

سيساعدك فهم سلسلة القتل على الحماية من هجمات ransomware، اختراقات الأمان، بالإضافة إلى التهديدات المستمرة المتقدمة (APTs). يمكنك استخدام سلسلة القتل لتقييم أمان شبكتك وأنظمتك من خلال تحديد نقاط ضعف الأمان وإغلاق الثغرات بناءً على بنية شركتك.
من خلال فهم سلسلة القتل كأخصائي تحليل مركز العمليات الأمنية (SOC) أو باحث أمني أو صائد تهديدات أو مستجيب للحوادث، ستكون قادرًا على التعرف على محاولات الاقتحام وفهم أهداف المعتدي.

المراحل التي سيتم استكشافها:​

  • الاستطلاع
  • تسليح
  • تسليم
  • استغلال
  • تثبيت
  • القيادة والتحكم
  • إجراءات على الأهداف


الاستطلاع (Reconnaissance)

مشاهدة المرفق 13996
الاستطلاع هو عملية اكتشاف وجمع المعلومات عن النظام والضحية. تعتبر مرحلة الاستطلاع هي مرحلة التخطيط للخصوم.

تندرج المعلومات المفتوحة المصدر (OSINT) تحت فئة الاستطلاع. تُعد OSINT الخطوة الأولى التي يحتاج المهاجم لإنجازها للانتقال إلى مراحل الهجوم التالية. يحتاج المهاجم لدراسة الضحية عن طريق جمع كل المعلومات المتاحة حول الشركة وموظفيها، مثل حجم الشركة، عناوين البريد الإلكتروني، وأرقام الهواتف من الموارد المتاحة للجمهور لتحديد أفضل هدف للهجوم.
دعونا ننظر إلى الأمر من منظور المهاجم الذي لا يعرف في البداية أي شركة يريد مهاجمتها.
لدينا مهاجم خبيث يسمي نفسه "شادو"، قرر تنفيذ هجوم متطور للغاية كان يخطط له لسنوات؛ وقد قام بدراسة وبحث أدوات وتقنيات مختلفة يمكن أن تساعده للوصول إلى المرحلة الأخيرة من سلسلة القتل السيبراني. ولكن أولاً، يحتاج إلى البدء من مرحلة الاستطلاع.
لكي يعمل في هذه المرحلة، يحتاج المهاجم إلى إجراء OSINT. دعونا نلقي نظرة على جمع عناوين البريد الإلكتروني.

جمع عناوين البريد الإلكتروني

جمع عناوين البريد الإلكتروني هو عملية الحصول على عناوين البريد الإلكتروني من خدمات عامة، مدفوعة أو مجانية. يمكن للمهاجم استخدام جمع عناوين البريد الإلكتروني لهجوم تصيد (نوع من هجمات الهندسة الاجتماعية المستخدمة لسرقة البيانات الحساسة، بما في ذلك بيانات تسجيل الدخول وأرقام بطاقات الائتمان). سيحصل المهاجم على مجموعة واسعة من الأدوات المتاحة لأغراض الاستطلاع. إليك بعضًا منها:

  • theHarvester: بجانب جمع البريد الإلكتروني، يمكن لهذه الأداة جمع أسماء، ونطاقات فرعية، وعناوين IP، وروابط باستخدام مصادر بيانات عامة متعددة.​
  • Hunter.io: أداة جمع عناوين البريد الإلكتروني التي ستسمح لك بالحصول على معلومات الاتصال المرتبطة بالنطاق.​
  • OSINT Framework: يوفر مجموعة من أدوات OSINT مصنفة بناءً على فئات مختلفة.​
سيستخدم المهاجم أيضًا مواقع التواصل الاجتماعي مثل LinkedIn وFacebook وTwitter وInstagram لجمع المعلومات عن ضحية معينة يرغب في مهاجمتها أو عن الشركة. يمكن أن تكون المعلومات الموجودة على وسائل التواصل الاجتماعي مفيدة للمهاجم لتنفيذ هجوم تصيد.

يعني بنقدر نحكي انه اي هجوم يحتاج لجمع الكثير من المعلومات .........

التسليح (Weaponization)
مشاهدة المرفق 13998
بعد نجاح مرحلة الاستطلاع، سيعمل "شادو" على إعداد "سلاح دمار (weapon of destruction)". يفضل عدم التفاعل مباشرة مع الضحية، وبدلاً من ذلك، سيقوم بإنشاء "سلاح تسليح(weaponizer)" يجمع بين البرمجيات الخبيثة (malware) واستغلال الثغرات (exploit) في حزمة قابلة للتسليم. غالبًا ما يستخدم المهاجمون أدوات آلية لتوليد البرمجيات الخبيثة أو يشترونها من الشبكة المظلمة (DarkWeb). بينما يقوم الفاعلون الأكثر تطورًا، مثل جماعات التهديد المستمر المتقدمة (APTs) المدعومة من الدول، بكتابة برمجياتهم الخبيثة المخصصة لجعلها فريدة وتفادي اكتشافها من قبل الهدف.

تعريف بعض المصطلحات:​

  • البرمجيات الخبيثة (Malware): برنامج أو برمجية مصممة لإتلاف أو تعطيل أو الحصول على وصول غير مصرح به إلى جهاز كمبيوتر.​
  • استغلال الثغرات (Exploit): برنامج أو كود يستفيد من ثغرة أو عيب في التطبيق أو النظام.​
  • الحزمة (Payload): كود خبيث يقوم المهاجم بتشغيله على النظام.​

ماذا سيختار "شادو"؟​

يختار "شادو" شراء حزمة جاهزة من شخص آخر في الشبكة المظلمة، حتى يتمكن من قضاء المزيد من الوقت في المراحل الأخرى.

في مرحلة التسليح، سيقوم المهاجم بـ:​

  1. إنشاء مستند Microsoft Office مصاب يحتوي على ماكرو خبيث أو سكريبتات VBA (Visual Basic for Applications). إذا كنت تريد معرفة المزيد عن الماكرو وVBA.
  2. يمكن للمهاجم إنشاء حزمة خبيثة أو دودة معقدة، وزرعها على محركات USB، ثم توزيعها في الأماكن العامة.
  3. اختيار تقنيات القيادة والتحكم (C2) لتنفيذ الأوامر على جهاز الضحية أو لتسليم حزم خبيثة إضافية. يمكنك قراءة المزيد عن تقنيات C2 في MITRE ATT&CK.
  4. اختيار زرع باب خلفي (backdoor) للوصول إلى نظام الكمبيوتر، والذي يتضمن تجاوز آليات الأمان.

التسليم (Delivery)
مشاهدة المرفق 14000
مرحلة التسليم هي المرحلة التي يقرر فيها "شادو" اختيار الطريقة لنقل الحزمة أو البرمجيات الخبيثة. لديه العديد من الخيارات المتاحة:
  1. البريد الإلكتروني الاحتيالي: بعد إجراء الاستطلاع وتحديد الأهداف للهجوم، يقوم الفاعل الخبيث بصياغة بريد إلكتروني ضار يستهدف إما شخصًا معينًا (هجوم تصيد موجه) أو عدة أشخاص في الشركة. يتضمن البريد الإلكتروني حزمة أو برمجيات خبيثة. على سبيل المثال، يتعلم "شادو" أن نانسي من قسم المبيعات في الشركة A تعجب دائمًا بالمنشورات على LinkedIn من سكوت، مدير تقديم الخدمات في الشركة B. يظن "شادو" أنهما يتواصلان عبر البريد الإلكتروني. لذا، سيقوم بصياغة بريد إلكتروني يستخدم اسم سكوت الكامل، مما يجعل المجال يبدو مشابهًا لمجال الشركة التي يعمل بها سكوت، ثم يرسل بريدًا مزيفًا يحتوي على "فاتورة" إلى نانسي، مع الحزمة الضارة.
  2. توزيع محركات USB المصابة: قد يقرر المهاجم تنفيذ هجوم USB Drop Attack معقد عن طريق طباعة شعار الشركة على محركات USB وإرسالها إلى الشركة، متظاهرًا بأنه عميل يرسل هذه الأجهزة كهدية. يمكنك قراءة المزيد عن هجمات مشابهة في مقال على CSO Online "مجموعة المجرمين الإلكترونيين ترسل وحدات USB ضارة إلى شركات مستهدفة."
  3. هجوم الحفرة المائية (Watering Hole Attack): هو هجوم مستهدف يهدف إلى مجموعة معينة من الأشخاص عن طريق اختراق المواقع التي يزورونها بشكل متكرر ثم توجيههم إلى موقع ضار من اختيار المهاجم. يبحث المهاجم عن ثغرة معروفة في الموقع ويحاول استغلالها. كما يشجع المهاجم الضحايا على زيارة الموقع من خلال إرسال رسائل بريد إلكتروني "غير ضارة" تشير إلى الرابط الضار لجعل الهجوم أكثر كفاءة. بعد زيارة الموقع، يقوم الضحية عن غير قصد بتنزيل برمجيات خبيثة أو تطبيق ضار على جهازه. يُطلق على هذا النوع من الهجمات اسم "تنزيل بالمرور" (drive-by download). مثال على ذلك هو ظهور نافذة منبثقة خبيثة تطلب تنزيل إضافة وهمية للمتصفح.

الاستغلال (Exploitation)
مشاهدة المرفق 14002
لكي يحصل المهاجم على وصول إلى النظام، يحتاج إلى استغلال الثغرة. في هذه المرحلة، كان "شادو" مبدعًا بعض الشيء - فقد أنشأ بريدين إلكترونيين احتياليين، أحدهما يحتوي على رابط احتيالي إلى صفحة تسجيل دخول وهمية لـ Office 365، والآخر يحتوي على مرفق ماكرو يقوم بتشغيل برنامج فدية (ransomware) عند فتحه. نجح "شادو" في إيصال استغلالاته وجعل ضحيتين تنقران على الرابط الضار وتفتحان الملف الضار.

بعد الحصول على الوصول إلى النظام، يمكن للممثل الخبيث استغلال الثغرات في البرمجيات أو الأنظمة أو الخوادم لزيادة الصلاحيات أو التحرك بشكل جانبي عبر الشبكة. وفقًا لـ CrowdStrike، يشير التحرك الجانبي إلى التقنيات التي يستخدمها المهاجم بعد الحصول على الوصول الأولي إلى جهاز الضحية للانتقال أعمق في الشبكة للحصول على بيانات حساسة.
قد يستخدم المهاجم أيضًا "استغلال الثغرات من نوع صفر يوم" (Zero-day Exploit) في هذه المرحلة. وفقًا لـ FireEye، فإن "استغلال الثغرات من نوع صفر يوم هو استغلال غير معروف في العالم الحقيقي يكشف عن ثغرة في البرمجيات أو الأجهزة ويمكن أن يسبب مشاكل معقدة قبل أن يدرك أي شخص أن هناك شيئًا خاطئًا. يترك استغلال الثغرات من نوع صفر يوم فرصة لاكتشافه في البداية."

أمثلة على كيفية تنفيذ المهاجم لعملية الاستغلال:​

  1. يقوم الضحية بتفعيل الاستغلال عن طريق فتح المرفق في البريد الإلكتروني أو النقر على الرابط الضار.​
  2. استخدام استغلال ثغرة من نوع صفر يوم.​
  3. استغلال الثغرات في البرمجيات أو الأجهزة، أو حتى الثغرات البشرية.​
  4. تفعيل الاستغلال لثغرات مرتبطة بالخوادم.​

تثبيت (Installation)
مشاهدة المرفق 14005
في مرحلة تسليح الهجمات، يُعتبر الباب الخلفي(backdoor) وسيلة تُتيح للمهاجم تجاوز تدابير الأمان والوصول المخفي إلى النظام. يُعرف الباب الخلفي أيضًا باسم نقطة الوصول( access point).

عندما يحصل المهاجم على الوصول إلى النظام، فإنه يرغب في إعادة الوصول إلى النظام في حال فقد الاتصال به، أو إذا تم اكتشافه وإزالة الوصول الأولي، أو إذا تم تصحيح النظام لاحقًا. هنا يحتاج المهاجم إلى تثبيت باب خلفي دائم، والذي يتيح له الوصول إلى النظام الذي تم اختراقه سابقًا. يمكنك الاطلاع على غرفة استمرارية ويندوز على TryHackMe لتتعلم كيف يمكن للمهاجم تحقيق الاستمرارية في أنظمة ويندوز.

يمكن تحقيق الاستمرارية من خلال:
  1. تثبيت واجهة ويب على خادم الويب: تُعتبر واجهة الويب نصًا ضارًا مكتوبًا بلغات تطوير الويب مثل ASP أو PHP أو JSP، تُستخدم من قبل المهاجم للحفاظ على الوصول إلى النظام المُخترق. بسبب بساطة واجهة الويب وتنسيق الملفات (.php، .asp، .aspx، .jsp، إلخ)، قد يكون من الصعب اكتشافها وقد تُصنف كشيء غير ضار. يمكنك الاطلاع على مقال ممتاز نشرته مايكروسوفت حول هجمات واجهة الويب.
  2. تثبيت باب خلفي على جهاز الضحية: على سبيل المثال، يمكن للمهاجم استخدام Meterpreter لتثبيت باب خلفي على جهاز الضحية. Meterpreter هو حمولة من إطار عمل Metasploit تمنح المهاجم قشرة تفاعلية للتفاعل مع جهاز الضحية عن بُعد وتنفيذ التعليمات البرمجية الضارة.
  3. إنشاء أو تعديل خدمات ويندوز: تُعرف هذه التقنية باسم T1543.003 في قاعدة بيانات MITRE ATT&CK (MITRE ATT&CK®) هي قاعدة معرفية لتكتيكات وتقنيات المعتدين استنادًا إلى سيناريوهات العالم الحقيقي). يمكن للمهاجم إنشاء أو تعديل خدمات ويندوز لتنفيذ النصوص أو الحمولة الضارة بانتظام كجزء من الاستمرارية. يمكن للمهاجم استخدام أدوات مثل sc.exe (التي تتيح لك إنشاء أو بدء أو إيقاف أو استعلام أو حذف أي خدمة ويندوز) وReg لتعديل تكوينات الخدمة. يمكن للمهاجم أيضًا تمويه الحمولة الضارة باستخدام اسم خدمة يُعرف بأنه مرتبط بنظام التشغيل أو برامج شرعية.
  4. إضافة مدخل إلى "مفاتيح التشغيل" في السجل أو مجلد بدء التشغيل: من خلال القيام بذلك، سيتم تنفيذ الحمولة في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى الكمبيوتر. وفقًا لـ MITRE ATT&CK، هناك موقع لمجلد بدء التشغيل لحسابات المستخدمين الفردية ومجلد بدء تشغيل على مستوى النظام سيتم التحقق منه بغض النظر عن حساب المستخدم الذي يسجل الدخول.
يمكنك قراءة المزيد حول مفاتيح التشغيل في السجل / مجلد بدء التشغيل في تقنيات MITRE ATT&CK.

في هذه المرحلة، يمكن للمهاجم أيضًا استخدام تقنية تغيير الأوقات (Timestomping) لتجنب الكشف من قبل المحققين الجنائيين وجعل البرمجيات الضارة تبدو كجزء من برنامج شرعي. تتيح تقنية تغيير الأوقات للمهاجم تعديل الطوابع الزمنية للملف، بما في ذلك أوقات التعديل والوصول والإنشاء والتغيير.

القيادة والتحكم(Command & Control)
مشاهدة المرفق 14007
بعد تحقيق الاستمرارية وتنفيذ البرمجيات الضارة على جهاز الضحية، يفتح "شادو" قناة التحكم والقيادة (C2) من خلال البرمجيات الضارة للتحكم عن بُعد والتلاعب بالضحية. يُعرف هذا المصطلح أيضًا باسم C&C أو C2 Beaconing، وهو نوع من الاتصالات الضارة بين خادم التحكم والقيادة والبرمجيات الضارة على الجهاز المصاب. يتواصل الجهاز المصاب باستمرار مع خادم C2، ومن هنا جاءت تسمية "Beaconing".

سيقوم الجهاز المخترق بالتواصل مع خادم خارجي تم إعداده من قبل المهاجم لإنشاء قناة التحكم والقيادة. بعد تأسيس الاتصال، يحصل المهاجم على تحكم كامل في جهاز الضحية. حتى وقت قريب، كانت IRC (الدردشة عبر الإنترنت) هي القناة التقليدية المستخدمة من قبل المهاجمين، لكن لم تعد هذه الطريقة فعالة، حيث يمكن للحلول الأمنية الحديثة اكتشاف حركة IRC الضارة بسهولة.

القنوات الأكثر شيوعًا المستخدمة من قبل المعتدين اليوم تشمل:
  1. البروتوكولات HTTP على المنفذ 80 وHTTPS على المنفذ 443: حيث تمتزج الحركة الضارة مع الحركة الشرعية، مما يساعد المهاجم على تجاوز الجدران النارية.
  2. DNS (خادم أسماء النطاقات): حيث يقوم الجهاز المصاب بإجراء طلبات DNS مستمرة إلى خادم DNS يعود للمهاجم، وتُعرف هذه النوعية من الاتصالات بـ DNS Tunneling.

من المهم ملاحظة أن المهاجم أو جهاز آخر مخترق يمكن أن يكون مالك بنية C2 التحتية. وهذا يشير إلى أنه ليس من الضروري أن يكون الخادم الذي يستخدمه المهاجم في مكان بعيد أو منفصل؛ بل يمكن أن يكون جزءًا من شبكة أخرى مخترقة، مما يزيد من تعقيد اكتشاف الأنشطة الضارة




الإجراءات المتعلقة بالأهداف (الترشيح) Actions on Objectives (Exfiltration)
مشاهدة المرفق 14009
بعد المرور عبر ست مراحل من الهجوم، يمكن لـ "شادو" أخيرًا تحقيق أهدافه، مما يعني اتخاذ إجراءات على الأهداف الأصلية. مع الوصول المباشر إلى لوحة المفاتيح، يمكن للمهاجم تحقيق ما يلي:
  1. جمع بيانات اعتماد المستخدمين.​
  2. تصعيد الامتيازات (الحصول على وصول مرتفع مثل الوصول إلى مدير النطاق من محطة العمل عن طريق استغلال الأخطاء في التكوين).​
  3. الاستطلاع الداخلي (على سبيل المثال، يمكن للمهاجم التفاعل مع البرمجيات الداخلية للعثور على ثغراتها).​
  4. الحركة الجانبية في بيئة الشركة.​
  5. جمع وتسريب البيانات الحساسة.​
  6. حذف النسخ الاحتياطية ونسخ الظل. (نسخة الظل- Shadow Copy- : هي تقنية من مايكروسوفت يمكن أن تنشئ نسخ احتياطية، أو لقطات لملفات أو وحدات التخزين).​
  7. كتابة فوق البيانات أو إتلافها.​

تحليل الممارسة (Practice Analysis)
مشاهدة المرفق 14012
السيناريو الواقعي الذي سنعمل عليه هو الهجوم السيبراني الشهير على شركة Target، الذي أدى إلى واحدة من أكبر اختراقات البيانات في التاريخ، والذي حدث في 27 نوفمبر 2013.

في 19 ديسمبر 2013، أصدرت شركة Target بيانًا يؤكد حدوث الاختراق، مشيرةً إلى أن حوالي 40 مليون حساب بطاقة ائتمان وخصم تأثر بين 27 نوفمبر و15 ديسمبر 2013. اضطرت Target لدفع غرامة قدرها 18.5 مليون دولار بموجب شروط اتفاق التسوية بين الولايات، مما يُعتبر أكبر تسوية لاختراق بيانات في التاريخ.

كيف حدث اختراق البيانات؟​

قم بنشر الموقع الثابت المرفق بهذه المهمة وطبق مهاراتك لبناء سلسلة قتل السيبرانية لهذا السيناريو. إليك بعض النصائح لمساعدتك في إكمال المهمة العملية:

أضف كل عنصر من القائمة في النموذج الصحيح ضمن سلسلة القتل على موقع المختبر الثابت:
  • استغلال تطبيقات الواجهة العامة
  • البيانات من النظام المحلي
  • باور شيل (PowerShell)
  • اختطاف الرابط الديناميكي
  • المرفق المستهدف (Spearphishing Attachment)
  • قنوات الطوارئ (Fallback Channels)

خاتمة (Conclusion)
مشاهدة المرفق 14014
يمكن أن تكون سلسلة قتل السيبرانية أداة رائعة لتحسين الدفاعات الشبكية، لكنها ليست مثالية ولا يمكن الاعتماد عليها كأداة وحيدة.
تم تعديل سلسلة قتل السيبرانية التقليدية أو سلسلة قتل لوكهيد مارتن آخر مرة في عام 2011، وهو تاريخ تأسيسها. إن غياب التحديثات والتعديلات يخلق فجوات أمنية.
صُممت سلسلة قتل السيبرانية التقليدية لحماية محيط الشبكة من تهديدات البرمجيات الضارة. لكن تهديدات الأمن السيبراني تطورت بشكل كبير في الوقت الحالي، حيث يقوم المعتدون بدمج تقنيات وأساليب متعددة لتحقيق أهدافهم. يمكن للمعتدين التغلب على معلومات التهديد عن طريق تعديل تجزئة الملفات وعناوين IP. لذا، تقوم شركات حلول الأمان بتطوير تقنيات مثل الذكاء الاصطناعي وخوارزميات مختلفة للكشف عن حتى التغييرات الطفيفة والمريبة.نظرًا لأن التركيز الرئيسي للإطار هو على توصيل البرمجيات الضارة وأمان الشبكة، فإن سلسلة قتل السيبرانية التقليدية لن تكون قادرة على التعرف على تهديدات الداخلين. وفقًا لوكالة الأمن السيبراني والبنية التحتية (CISA)


لذا، يُوصى بعدم الاعتماد فقط على نموذج سلسلة قتل السيبرانية التقليدية، بل أيضًا بالرجوع إلى MITRE ATT&CK وسلسلة القتل الموحدة( Unified Kill Chain) لتطبيق نهج أكثر شمولاً في استراتيجيات الدفاع الخاصة بك.
يعطيك العافية ، جهود مباركة علي 💙
 
بسم الله الرحمن الرحيم

المقدمة (Introduction)

مشاهدة المرفق 13994
سوف نتحدث اليوم عن موضوع مهم في عالم الأمن السيبراني وهو "Cyber Kill Chain" أو سلسلة القتل الإلكترونية.
سلسلة القتل هي مفهوم عسكري يتعلق بهيكل الهجوم، وتتكون من تحديد الهدف، اتخاذ القرار وإصدار الأمر للهجوم، وأخيرًا تدمير الهدف.
بفضل شركة لوكهيد مارتن، تم تأسيس إطار عمل "سلسلة القتل السيبراني(Cyber Kill Chain® framework)" في عام 2011 استنادًا إلى هذا المفهوم العسكري. يحدد الإطار الخطوات المستخدمة من قبل الخصوم أو الفاعلين الخبيثين في الفضاء السيبراني. للنجاح، يحتاج الخصم إلى المرور بجميع مراحل سلسلة القتل.

لماذا من المهم فهم كيفية عمل سلسلة القتل السيبراني؟​

سيساعدك فهم سلسلة القتل على الحماية من هجمات ransomware، اختراقات الأمان، بالإضافة إلى التهديدات المستمرة المتقدمة (APTs). يمكنك استخدام سلسلة القتل لتقييم أمان شبكتك وأنظمتك من خلال تحديد نقاط ضعف الأمان وإغلاق الثغرات بناءً على بنية شركتك.
من خلال فهم سلسلة القتل كأخصائي تحليل مركز العمليات الأمنية (SOC) أو باحث أمني أو صائد تهديدات أو مستجيب للحوادث، ستكون قادرًا على التعرف على محاولات الاقتحام وفهم أهداف المعتدي.

المراحل التي سيتم استكشافها:​

  • الاستطلاع
  • تسليح
  • تسليم
  • استغلال
  • تثبيت
  • القيادة والتحكم
  • إجراءات على الأهداف


الاستطلاع (Reconnaissance)

مشاهدة المرفق 13996
الاستطلاع هو عملية اكتشاف وجمع المعلومات عن النظام والضحية. تعتبر مرحلة الاستطلاع هي مرحلة التخطيط للخصوم.

تندرج المعلومات المفتوحة المصدر (OSINT) تحت فئة الاستطلاع. تُعد OSINT الخطوة الأولى التي يحتاج المهاجم لإنجازها للانتقال إلى مراحل الهجوم التالية. يحتاج المهاجم لدراسة الضحية عن طريق جمع كل المعلومات المتاحة حول الشركة وموظفيها، مثل حجم الشركة، عناوين البريد الإلكتروني، وأرقام الهواتف من الموارد المتاحة للجمهور لتحديد أفضل هدف للهجوم.
دعونا ننظر إلى الأمر من منظور المهاجم الذي لا يعرف في البداية أي شركة يريد مهاجمتها.
لدينا مهاجم خبيث يسمي نفسه "شادو"، قرر تنفيذ هجوم متطور للغاية كان يخطط له لسنوات؛ وقد قام بدراسة وبحث أدوات وتقنيات مختلفة يمكن أن تساعده للوصول إلى المرحلة الأخيرة من سلسلة القتل السيبراني. ولكن أولاً، يحتاج إلى البدء من مرحلة الاستطلاع.
لكي يعمل في هذه المرحلة، يحتاج المهاجم إلى إجراء OSINT. دعونا نلقي نظرة على جمع عناوين البريد الإلكتروني.

جمع عناوين البريد الإلكتروني

جمع عناوين البريد الإلكتروني هو عملية الحصول على عناوين البريد الإلكتروني من خدمات عامة، مدفوعة أو مجانية. يمكن للمهاجم استخدام جمع عناوين البريد الإلكتروني لهجوم تصيد (نوع من هجمات الهندسة الاجتماعية المستخدمة لسرقة البيانات الحساسة، بما في ذلك بيانات تسجيل الدخول وأرقام بطاقات الائتمان). سيحصل المهاجم على مجموعة واسعة من الأدوات المتاحة لأغراض الاستطلاع. إليك بعضًا منها:

  • theHarvester: بجانب جمع البريد الإلكتروني، يمكن لهذه الأداة جمع أسماء، ونطاقات فرعية، وعناوين IP، وروابط باستخدام مصادر بيانات عامة متعددة.​
  • Hunter.io: أداة جمع عناوين البريد الإلكتروني التي ستسمح لك بالحصول على معلومات الاتصال المرتبطة بالنطاق.​
  • OSINT Framework: يوفر مجموعة من أدوات OSINT مصنفة بناءً على فئات مختلفة.​
سيستخدم المهاجم أيضًا مواقع التواصل الاجتماعي مثل LinkedIn وFacebook وTwitter وInstagram لجمع المعلومات عن ضحية معينة يرغب في مهاجمتها أو عن الشركة. يمكن أن تكون المعلومات الموجودة على وسائل التواصل الاجتماعي مفيدة للمهاجم لتنفيذ هجوم تصيد.

يعني بنقدر نحكي انه اي هجوم يحتاج لجمع الكثير من المعلومات .........

التسليح (Weaponization)
مشاهدة المرفق 13998
بعد نجاح مرحلة الاستطلاع، سيعمل "شادو" على إعداد "سلاح دمار (weapon of destruction)". يفضل عدم التفاعل مباشرة مع الضحية، وبدلاً من ذلك، سيقوم بإنشاء "سلاح تسليح(weaponizer)" يجمع بين البرمجيات الخبيثة (malware) واستغلال الثغرات (exploit) في حزمة قابلة للتسليم. غالبًا ما يستخدم المهاجمون أدوات آلية لتوليد البرمجيات الخبيثة أو يشترونها من الشبكة المظلمة (DarkWeb). بينما يقوم الفاعلون الأكثر تطورًا، مثل جماعات التهديد المستمر المتقدمة (APTs) المدعومة من الدول، بكتابة برمجياتهم الخبيثة المخصصة لجعلها فريدة وتفادي اكتشافها من قبل الهدف.

تعريف بعض المصطلحات:​

  • البرمجيات الخبيثة (Malware): برنامج أو برمجية مصممة لإتلاف أو تعطيل أو الحصول على وصول غير مصرح به إلى جهاز كمبيوتر.​
  • استغلال الثغرات (Exploit): برنامج أو كود يستفيد من ثغرة أو عيب في التطبيق أو النظام.​
  • الحزمة (Payload): كود خبيث يقوم المهاجم بتشغيله على النظام.​

ماذا سيختار "شادو"؟​

يختار "شادو" شراء حزمة جاهزة من شخص آخر في الشبكة المظلمة، حتى يتمكن من قضاء المزيد من الوقت في المراحل الأخرى.

في مرحلة التسليح، سيقوم المهاجم بـ:​

  1. إنشاء مستند Microsoft Office مصاب يحتوي على ماكرو خبيث أو سكريبتات VBA (Visual Basic for Applications). إذا كنت تريد معرفة المزيد عن الماكرو وVBA.
  2. يمكن للمهاجم إنشاء حزمة خبيثة أو دودة معقدة، وزرعها على محركات USB، ثم توزيعها في الأماكن العامة.
  3. اختيار تقنيات القيادة والتحكم (C2) لتنفيذ الأوامر على جهاز الضحية أو لتسليم حزم خبيثة إضافية. يمكنك قراءة المزيد عن تقنيات C2 في MITRE ATT&CK.
  4. اختيار زرع باب خلفي (backdoor) للوصول إلى نظام الكمبيوتر، والذي يتضمن تجاوز آليات الأمان.

التسليم (Delivery)
مشاهدة المرفق 14000
مرحلة التسليم هي المرحلة التي يقرر فيها "شادو" اختيار الطريقة لنقل الحزمة أو البرمجيات الخبيثة. لديه العديد من الخيارات المتاحة:
  1. البريد الإلكتروني الاحتيالي: بعد إجراء الاستطلاع وتحديد الأهداف للهجوم، يقوم الفاعل الخبيث بصياغة بريد إلكتروني ضار يستهدف إما شخصًا معينًا (هجوم تصيد موجه) أو عدة أشخاص في الشركة. يتضمن البريد الإلكتروني حزمة أو برمجيات خبيثة. على سبيل المثال، يتعلم "شادو" أن نانسي من قسم المبيعات في الشركة A تعجب دائمًا بالمنشورات على LinkedIn من سكوت، مدير تقديم الخدمات في الشركة B. يظن "شادو" أنهما يتواصلان عبر البريد الإلكتروني. لذا، سيقوم بصياغة بريد إلكتروني يستخدم اسم سكوت الكامل، مما يجعل المجال يبدو مشابهًا لمجال الشركة التي يعمل بها سكوت، ثم يرسل بريدًا مزيفًا يحتوي على "فاتورة" إلى نانسي، مع الحزمة الضارة.
  2. توزيع محركات USB المصابة: قد يقرر المهاجم تنفيذ هجوم USB Drop Attack معقد عن طريق طباعة شعار الشركة على محركات USB وإرسالها إلى الشركة، متظاهرًا بأنه عميل يرسل هذه الأجهزة كهدية. يمكنك قراءة المزيد عن هجمات مشابهة في مقال على CSO Online "مجموعة المجرمين الإلكترونيين ترسل وحدات USB ضارة إلى شركات مستهدفة."
  3. هجوم الحفرة المائية (Watering Hole Attack): هو هجوم مستهدف يهدف إلى مجموعة معينة من الأشخاص عن طريق اختراق المواقع التي يزورونها بشكل متكرر ثم توجيههم إلى موقع ضار من اختيار المهاجم. يبحث المهاجم عن ثغرة معروفة في الموقع ويحاول استغلالها. كما يشجع المهاجم الضحايا على زيارة الموقع من خلال إرسال رسائل بريد إلكتروني "غير ضارة" تشير إلى الرابط الضار لجعل الهجوم أكثر كفاءة. بعد زيارة الموقع، يقوم الضحية عن غير قصد بتنزيل برمجيات خبيثة أو تطبيق ضار على جهازه. يُطلق على هذا النوع من الهجمات اسم "تنزيل بالمرور" (drive-by download). مثال على ذلك هو ظهور نافذة منبثقة خبيثة تطلب تنزيل إضافة وهمية للمتصفح.

الاستغلال (Exploitation)
مشاهدة المرفق 14002
لكي يحصل المهاجم على وصول إلى النظام، يحتاج إلى استغلال الثغرة. في هذه المرحلة، كان "شادو" مبدعًا بعض الشيء - فقد أنشأ بريدين إلكترونيين احتياليين، أحدهما يحتوي على رابط احتيالي إلى صفحة تسجيل دخول وهمية لـ Office 365، والآخر يحتوي على مرفق ماكرو يقوم بتشغيل برنامج فدية (ransomware) عند فتحه. نجح "شادو" في إيصال استغلالاته وجعل ضحيتين تنقران على الرابط الضار وتفتحان الملف الضار.

بعد الحصول على الوصول إلى النظام، يمكن للممثل الخبيث استغلال الثغرات في البرمجيات أو الأنظمة أو الخوادم لزيادة الصلاحيات أو التحرك بشكل جانبي عبر الشبكة. وفقًا لـ CrowdStrike، يشير التحرك الجانبي إلى التقنيات التي يستخدمها المهاجم بعد الحصول على الوصول الأولي إلى جهاز الضحية للانتقال أعمق في الشبكة للحصول على بيانات حساسة.
قد يستخدم المهاجم أيضًا "استغلال الثغرات من نوع صفر يوم" (Zero-day Exploit) في هذه المرحلة. وفقًا لـ FireEye، فإن "استغلال الثغرات من نوع صفر يوم هو استغلال غير معروف في العالم الحقيقي يكشف عن ثغرة في البرمجيات أو الأجهزة ويمكن أن يسبب مشاكل معقدة قبل أن يدرك أي شخص أن هناك شيئًا خاطئًا. يترك استغلال الثغرات من نوع صفر يوم فرصة لاكتشافه في البداية."

أمثلة على كيفية تنفيذ المهاجم لعملية الاستغلال:​

  1. يقوم الضحية بتفعيل الاستغلال عن طريق فتح المرفق في البريد الإلكتروني أو النقر على الرابط الضار.​
  2. استخدام استغلال ثغرة من نوع صفر يوم.​
  3. استغلال الثغرات في البرمجيات أو الأجهزة، أو حتى الثغرات البشرية.​
  4. تفعيل الاستغلال لثغرات مرتبطة بالخوادم.​

تثبيت (Installation)
مشاهدة المرفق 14005
في مرحلة تسليح الهجمات، يُعتبر الباب الخلفي(backdoor) وسيلة تُتيح للمهاجم تجاوز تدابير الأمان والوصول المخفي إلى النظام. يُعرف الباب الخلفي أيضًا باسم نقطة الوصول( access point).

عندما يحصل المهاجم على الوصول إلى النظام، فإنه يرغب في إعادة الوصول إلى النظام في حال فقد الاتصال به، أو إذا تم اكتشافه وإزالة الوصول الأولي، أو إذا تم تصحيح النظام لاحقًا. هنا يحتاج المهاجم إلى تثبيت باب خلفي دائم، والذي يتيح له الوصول إلى النظام الذي تم اختراقه سابقًا. يمكنك الاطلاع على غرفة استمرارية ويندوز على TryHackMe لتتعلم كيف يمكن للمهاجم تحقيق الاستمرارية في أنظمة ويندوز.

يمكن تحقيق الاستمرارية من خلال:
  1. تثبيت واجهة ويب على خادم الويب: تُعتبر واجهة الويب نصًا ضارًا مكتوبًا بلغات تطوير الويب مثل ASP أو PHP أو JSP، تُستخدم من قبل المهاجم للحفاظ على الوصول إلى النظام المُخترق. بسبب بساطة واجهة الويب وتنسيق الملفات (.php، .asp، .aspx، .jsp، إلخ)، قد يكون من الصعب اكتشافها وقد تُصنف كشيء غير ضار. يمكنك الاطلاع على مقال ممتاز نشرته مايكروسوفت حول هجمات واجهة الويب.
  2. تثبيت باب خلفي على جهاز الضحية: على سبيل المثال، يمكن للمهاجم استخدام Meterpreter لتثبيت باب خلفي على جهاز الضحية. Meterpreter هو حمولة من إطار عمل Metasploit تمنح المهاجم قشرة تفاعلية للتفاعل مع جهاز الضحية عن بُعد وتنفيذ التعليمات البرمجية الضارة.
  3. إنشاء أو تعديل خدمات ويندوز: تُعرف هذه التقنية باسم T1543.003 في قاعدة بيانات MITRE ATT&CK (MITRE ATT&CK®) هي قاعدة معرفية لتكتيكات وتقنيات المعتدين استنادًا إلى سيناريوهات العالم الحقيقي). يمكن للمهاجم إنشاء أو تعديل خدمات ويندوز لتنفيذ النصوص أو الحمولة الضارة بانتظام كجزء من الاستمرارية. يمكن للمهاجم استخدام أدوات مثل sc.exe (التي تتيح لك إنشاء أو بدء أو إيقاف أو استعلام أو حذف أي خدمة ويندوز) وReg لتعديل تكوينات الخدمة. يمكن للمهاجم أيضًا تمويه الحمولة الضارة باستخدام اسم خدمة يُعرف بأنه مرتبط بنظام التشغيل أو برامج شرعية.
  4. إضافة مدخل إلى "مفاتيح التشغيل" في السجل أو مجلد بدء التشغيل: من خلال القيام بذلك، سيتم تنفيذ الحمولة في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى الكمبيوتر. وفقًا لـ MITRE ATT&CK، هناك موقع لمجلد بدء التشغيل لحسابات المستخدمين الفردية ومجلد بدء تشغيل على مستوى النظام سيتم التحقق منه بغض النظر عن حساب المستخدم الذي يسجل الدخول.
يمكنك قراءة المزيد حول مفاتيح التشغيل في السجل / مجلد بدء التشغيل في تقنيات MITRE ATT&CK.

في هذه المرحلة، يمكن للمهاجم أيضًا استخدام تقنية تغيير الأوقات (Timestomping) لتجنب الكشف من قبل المحققين الجنائيين وجعل البرمجيات الضارة تبدو كجزء من برنامج شرعي. تتيح تقنية تغيير الأوقات للمهاجم تعديل الطوابع الزمنية للملف، بما في ذلك أوقات التعديل والوصول والإنشاء والتغيير.

القيادة والتحكم(Command & Control)
مشاهدة المرفق 14007
بعد تحقيق الاستمرارية وتنفيذ البرمجيات الضارة على جهاز الضحية، يفتح "شادو" قناة التحكم والقيادة (C2) من خلال البرمجيات الضارة للتحكم عن بُعد والتلاعب بالضحية. يُعرف هذا المصطلح أيضًا باسم C&C أو C2 Beaconing، وهو نوع من الاتصالات الضارة بين خادم التحكم والقيادة والبرمجيات الضارة على الجهاز المصاب. يتواصل الجهاز المصاب باستمرار مع خادم C2، ومن هنا جاءت تسمية "Beaconing".

سيقوم الجهاز المخترق بالتواصل مع خادم خارجي تم إعداده من قبل المهاجم لإنشاء قناة التحكم والقيادة. بعد تأسيس الاتصال، يحصل المهاجم على تحكم كامل في جهاز الضحية. حتى وقت قريب، كانت IRC (الدردشة عبر الإنترنت) هي القناة التقليدية المستخدمة من قبل المهاجمين، لكن لم تعد هذه الطريقة فعالة، حيث يمكن للحلول الأمنية الحديثة اكتشاف حركة IRC الضارة بسهولة.

القنوات الأكثر شيوعًا المستخدمة من قبل المعتدين اليوم تشمل:
  1. البروتوكولات HTTP على المنفذ 80 وHTTPS على المنفذ 443: حيث تمتزج الحركة الضارة مع الحركة الشرعية، مما يساعد المهاجم على تجاوز الجدران النارية.
  2. DNS (خادم أسماء النطاقات): حيث يقوم الجهاز المصاب بإجراء طلبات DNS مستمرة إلى خادم DNS يعود للمهاجم، وتُعرف هذه النوعية من الاتصالات بـ DNS Tunneling.

من المهم ملاحظة أن المهاجم أو جهاز آخر مخترق يمكن أن يكون مالك بنية C2 التحتية. وهذا يشير إلى أنه ليس من الضروري أن يكون الخادم الذي يستخدمه المهاجم في مكان بعيد أو منفصل؛ بل يمكن أن يكون جزءًا من شبكة أخرى مخترقة، مما يزيد من تعقيد اكتشاف الأنشطة الضارة




الإجراءات المتعلقة بالأهداف (الترشيح) Actions on Objectives (Exfiltration)
مشاهدة المرفق 14009
بعد المرور عبر ست مراحل من الهجوم، يمكن لـ "شادو" أخيرًا تحقيق أهدافه، مما يعني اتخاذ إجراءات على الأهداف الأصلية. مع الوصول المباشر إلى لوحة المفاتيح، يمكن للمهاجم تحقيق ما يلي:
  1. جمع بيانات اعتماد المستخدمين.​
  2. تصعيد الامتيازات (الحصول على وصول مرتفع مثل الوصول إلى مدير النطاق من محطة العمل عن طريق استغلال الأخطاء في التكوين).​
  3. الاستطلاع الداخلي (على سبيل المثال، يمكن للمهاجم التفاعل مع البرمجيات الداخلية للعثور على ثغراتها).​
  4. الحركة الجانبية في بيئة الشركة.​
  5. جمع وتسريب البيانات الحساسة.​
  6. حذف النسخ الاحتياطية ونسخ الظل. (نسخة الظل- Shadow Copy- : هي تقنية من مايكروسوفت يمكن أن تنشئ نسخ احتياطية، أو لقطات لملفات أو وحدات التخزين).​
  7. كتابة فوق البيانات أو إتلافها.​

تحليل الممارسة (Practice Analysis)
مشاهدة المرفق 14012
السيناريو الواقعي الذي سنعمل عليه هو الهجوم السيبراني الشهير على شركة Target، الذي أدى إلى واحدة من أكبر اختراقات البيانات في التاريخ، والذي حدث في 27 نوفمبر 2013.

في 19 ديسمبر 2013، أصدرت شركة Target بيانًا يؤكد حدوث الاختراق، مشيرةً إلى أن حوالي 40 مليون حساب بطاقة ائتمان وخصم تأثر بين 27 نوفمبر و15 ديسمبر 2013. اضطرت Target لدفع غرامة قدرها 18.5 مليون دولار بموجب شروط اتفاق التسوية بين الولايات، مما يُعتبر أكبر تسوية لاختراق بيانات في التاريخ.

كيف حدث اختراق البيانات؟​

قم بنشر الموقع الثابت المرفق بهذه المهمة وطبق مهاراتك لبناء سلسلة قتل السيبرانية لهذا السيناريو. إليك بعض النصائح لمساعدتك في إكمال المهمة العملية:

أضف كل عنصر من القائمة في النموذج الصحيح ضمن سلسلة القتل على موقع المختبر الثابت:
  • استغلال تطبيقات الواجهة العامة
  • البيانات من النظام المحلي
  • باور شيل (PowerShell)
  • اختطاف الرابط الديناميكي
  • المرفق المستهدف (Spearphishing Attachment)
  • قنوات الطوارئ (Fallback Channels)

خاتمة (Conclusion)
مشاهدة المرفق 14014
يمكن أن تكون سلسلة قتل السيبرانية أداة رائعة لتحسين الدفاعات الشبكية، لكنها ليست مثالية ولا يمكن الاعتماد عليها كأداة وحيدة.
تم تعديل سلسلة قتل السيبرانية التقليدية أو سلسلة قتل لوكهيد مارتن آخر مرة في عام 2011، وهو تاريخ تأسيسها. إن غياب التحديثات والتعديلات يخلق فجوات أمنية.
صُممت سلسلة قتل السيبرانية التقليدية لحماية محيط الشبكة من تهديدات البرمجيات الضارة. لكن تهديدات الأمن السيبراني تطورت بشكل كبير في الوقت الحالي، حيث يقوم المعتدون بدمج تقنيات وأساليب متعددة لتحقيق أهدافهم. يمكن للمعتدين التغلب على معلومات التهديد عن طريق تعديل تجزئة الملفات وعناوين IP. لذا، تقوم شركات حلول الأمان بتطوير تقنيات مثل الذكاء الاصطناعي وخوارزميات مختلفة للكشف عن حتى التغييرات الطفيفة والمريبة.نظرًا لأن التركيز الرئيسي للإطار هو على توصيل البرمجيات الضارة وأمان الشبكة، فإن سلسلة قتل السيبرانية التقليدية لن تكون قادرة على التعرف على تهديدات الداخلين. وفقًا لوكالة الأمن السيبراني والبنية التحتية (CISA)


لذا، يُوصى بعدم الاعتماد فقط على نموذج سلسلة قتل السيبرانية التقليدية، بل أيضًا بالرجوع إلى MITRE ATT&CK وسلسلة القتل الموحدة( Unified Kill Chain) لتطبيق نهج أكثر شمولاً في استراتيجيات الدفاع الخاصة بك.
ما شاء الله تبارك الرحمن
الله يعطيك الف عافية ويبارك فيك على هذه المعلومات
 
ما شاء الله تبارك الرحمن
الله يعطيك الف عافية ويبارك فيك على هذه المعلومات
الله يعافيكِ وإن شاء الله استفدتي ❤️
 
بسم الله الرحمن الرحيم

المقدمة (Introduction)

مشاهدة المرفق 13994
سوف نتحدث اليوم عن موضوع مهم في عالم الأمن السيبراني وهو "Cyber Kill Chain" أو سلسلة القتل الإلكترونية.
سلسلة القتل هي مفهوم عسكري يتعلق بهيكل الهجوم، وتتكون من تحديد الهدف، اتخاذ القرار وإصدار الأمر للهجوم، وأخيرًا تدمير الهدف.
بفضل شركة لوكهيد مارتن، تم تأسيس إطار عمل "سلسلة القتل السيبراني(Cyber Kill Chain® framework)" في عام 2011 استنادًا إلى هذا المفهوم العسكري. يحدد الإطار الخطوات المستخدمة من قبل الخصوم أو الفاعلين الخبيثين في الفضاء السيبراني. للنجاح، يحتاج الخصم إلى المرور بجميع مراحل سلسلة القتل.

لماذا من المهم فهم كيفية عمل سلسلة القتل السيبراني؟​

سيساعدك فهم سلسلة القتل على الحماية من هجمات ransomware، اختراقات الأمان، بالإضافة إلى التهديدات المستمرة المتقدمة (APTs). يمكنك استخدام سلسلة القتل لتقييم أمان شبكتك وأنظمتك من خلال تحديد نقاط ضعف الأمان وإغلاق الثغرات بناءً على بنية شركتك.
من خلال فهم سلسلة القتل كأخصائي تحليل مركز العمليات الأمنية (SOC) أو باحث أمني أو صائد تهديدات أو مستجيب للحوادث، ستكون قادرًا على التعرف على محاولات الاقتحام وفهم أهداف المعتدي.

المراحل التي سيتم استكشافها:​

  • الاستطلاع
  • تسليح
  • تسليم
  • استغلال
  • تثبيت
  • القيادة والتحكم
  • إجراءات على الأهداف


الاستطلاع (Reconnaissance)

مشاهدة المرفق 13996
الاستطلاع هو عملية اكتشاف وجمع المعلومات عن النظام والضحية. تعتبر مرحلة الاستطلاع هي مرحلة التخطيط للخصوم.

تندرج المعلومات المفتوحة المصدر (OSINT) تحت فئة الاستطلاع. تُعد OSINT الخطوة الأولى التي يحتاج المهاجم لإنجازها للانتقال إلى مراحل الهجوم التالية. يحتاج المهاجم لدراسة الضحية عن طريق جمع كل المعلومات المتاحة حول الشركة وموظفيها، مثل حجم الشركة، عناوين البريد الإلكتروني، وأرقام الهواتف من الموارد المتاحة للجمهور لتحديد أفضل هدف للهجوم.
دعونا ننظر إلى الأمر من منظور المهاجم الذي لا يعرف في البداية أي شركة يريد مهاجمتها.
لدينا مهاجم خبيث يسمي نفسه "شادو"، قرر تنفيذ هجوم متطور للغاية كان يخطط له لسنوات؛ وقد قام بدراسة وبحث أدوات وتقنيات مختلفة يمكن أن تساعده للوصول إلى المرحلة الأخيرة من سلسلة القتل السيبراني. ولكن أولاً، يحتاج إلى البدء من مرحلة الاستطلاع.
لكي يعمل في هذه المرحلة، يحتاج المهاجم إلى إجراء OSINT. دعونا نلقي نظرة على جمع عناوين البريد الإلكتروني.

جمع عناوين البريد الإلكتروني

جمع عناوين البريد الإلكتروني هو عملية الحصول على عناوين البريد الإلكتروني من خدمات عامة، مدفوعة أو مجانية. يمكن للمهاجم استخدام جمع عناوين البريد الإلكتروني لهجوم تصيد (نوع من هجمات الهندسة الاجتماعية المستخدمة لسرقة البيانات الحساسة، بما في ذلك بيانات تسجيل الدخول وأرقام بطاقات الائتمان). سيحصل المهاجم على مجموعة واسعة من الأدوات المتاحة لأغراض الاستطلاع. إليك بعضًا منها:

  • theHarvester: بجانب جمع البريد الإلكتروني، يمكن لهذه الأداة جمع أسماء، ونطاقات فرعية، وعناوين IP، وروابط باستخدام مصادر بيانات عامة متعددة.​
  • Hunter.io: أداة جمع عناوين البريد الإلكتروني التي ستسمح لك بالحصول على معلومات الاتصال المرتبطة بالنطاق.​
  • OSINT Framework: يوفر مجموعة من أدوات OSINT مصنفة بناءً على فئات مختلفة.​
سيستخدم المهاجم أيضًا مواقع التواصل الاجتماعي مثل LinkedIn وFacebook وTwitter وInstagram لجمع المعلومات عن ضحية معينة يرغب في مهاجمتها أو عن الشركة. يمكن أن تكون المعلومات الموجودة على وسائل التواصل الاجتماعي مفيدة للمهاجم لتنفيذ هجوم تصيد.

يعني بنقدر نحكي انه اي هجوم يحتاج لجمع الكثير من المعلومات .........

التسليح (Weaponization)
مشاهدة المرفق 13998
بعد نجاح مرحلة الاستطلاع، سيعمل "شادو" على إعداد "سلاح دمار (weapon of destruction)". يفضل عدم التفاعل مباشرة مع الضحية، وبدلاً من ذلك، سيقوم بإنشاء "سلاح تسليح(weaponizer)" يجمع بين البرمجيات الخبيثة (malware) واستغلال الثغرات (exploit) في حزمة قابلة للتسليم. غالبًا ما يستخدم المهاجمون أدوات آلية لتوليد البرمجيات الخبيثة أو يشترونها من الشبكة المظلمة (DarkWeb). بينما يقوم الفاعلون الأكثر تطورًا، مثل جماعات التهديد المستمر المتقدمة (APTs) المدعومة من الدول، بكتابة برمجياتهم الخبيثة المخصصة لجعلها فريدة وتفادي اكتشافها من قبل الهدف.

تعريف بعض المصطلحات:​

  • البرمجيات الخبيثة (Malware): برنامج أو برمجية مصممة لإتلاف أو تعطيل أو الحصول على وصول غير مصرح به إلى جهاز كمبيوتر.​
  • استغلال الثغرات (Exploit): برنامج أو كود يستفيد من ثغرة أو عيب في التطبيق أو النظام.​
  • الحزمة (Payload): كود خبيث يقوم المهاجم بتشغيله على النظام.​

ماذا سيختار "شادو"؟​

يختار "شادو" شراء حزمة جاهزة من شخص آخر في الشبكة المظلمة، حتى يتمكن من قضاء المزيد من الوقت في المراحل الأخرى.

في مرحلة التسليح، سيقوم المهاجم بـ:​

  1. إنشاء مستند Microsoft Office مصاب يحتوي على ماكرو خبيث أو سكريبتات VBA (Visual Basic for Applications). إذا كنت تريد معرفة المزيد عن الماكرو وVBA.
  2. يمكن للمهاجم إنشاء حزمة خبيثة أو دودة معقدة، وزرعها على محركات USB، ثم توزيعها في الأماكن العامة.
  3. اختيار تقنيات القيادة والتحكم (C2) لتنفيذ الأوامر على جهاز الضحية أو لتسليم حزم خبيثة إضافية. يمكنك قراءة المزيد عن تقنيات C2 في MITRE ATT&CK.
  4. اختيار زرع باب خلفي (backdoor) للوصول إلى نظام الكمبيوتر، والذي يتضمن تجاوز آليات الأمان.

التسليم (Delivery)
مشاهدة المرفق 14000
مرحلة التسليم هي المرحلة التي يقرر فيها "شادو" اختيار الطريقة لنقل الحزمة أو البرمجيات الخبيثة. لديه العديد من الخيارات المتاحة:
  1. البريد الإلكتروني الاحتيالي: بعد إجراء الاستطلاع وتحديد الأهداف للهجوم، يقوم الفاعل الخبيث بصياغة بريد إلكتروني ضار يستهدف إما شخصًا معينًا (هجوم تصيد موجه) أو عدة أشخاص في الشركة. يتضمن البريد الإلكتروني حزمة أو برمجيات خبيثة. على سبيل المثال، يتعلم "شادو" أن نانسي من قسم المبيعات في الشركة A تعجب دائمًا بالمنشورات على LinkedIn من سكوت، مدير تقديم الخدمات في الشركة B. يظن "شادو" أنهما يتواصلان عبر البريد الإلكتروني. لذا، سيقوم بصياغة بريد إلكتروني يستخدم اسم سكوت الكامل، مما يجعل المجال يبدو مشابهًا لمجال الشركة التي يعمل بها سكوت، ثم يرسل بريدًا مزيفًا يحتوي على "فاتورة" إلى نانسي، مع الحزمة الضارة.
  2. توزيع محركات USB المصابة: قد يقرر المهاجم تنفيذ هجوم USB Drop Attack معقد عن طريق طباعة شعار الشركة على محركات USB وإرسالها إلى الشركة، متظاهرًا بأنه عميل يرسل هذه الأجهزة كهدية. يمكنك قراءة المزيد عن هجمات مشابهة في مقال على CSO Online "مجموعة المجرمين الإلكترونيين ترسل وحدات USB ضارة إلى شركات مستهدفة."
  3. هجوم الحفرة المائية (Watering Hole Attack): هو هجوم مستهدف يهدف إلى مجموعة معينة من الأشخاص عن طريق اختراق المواقع التي يزورونها بشكل متكرر ثم توجيههم إلى موقع ضار من اختيار المهاجم. يبحث المهاجم عن ثغرة معروفة في الموقع ويحاول استغلالها. كما يشجع المهاجم الضحايا على زيارة الموقع من خلال إرسال رسائل بريد إلكتروني "غير ضارة" تشير إلى الرابط الضار لجعل الهجوم أكثر كفاءة. بعد زيارة الموقع، يقوم الضحية عن غير قصد بتنزيل برمجيات خبيثة أو تطبيق ضار على جهازه. يُطلق على هذا النوع من الهجمات اسم "تنزيل بالمرور" (drive-by download). مثال على ذلك هو ظهور نافذة منبثقة خبيثة تطلب تنزيل إضافة وهمية للمتصفح.

الاستغلال (Exploitation)
مشاهدة المرفق 14002
لكي يحصل المهاجم على وصول إلى النظام، يحتاج إلى استغلال الثغرة. في هذه المرحلة، كان "شادو" مبدعًا بعض الشيء - فقد أنشأ بريدين إلكترونيين احتياليين، أحدهما يحتوي على رابط احتيالي إلى صفحة تسجيل دخول وهمية لـ Office 365، والآخر يحتوي على مرفق ماكرو يقوم بتشغيل برنامج فدية (ransomware) عند فتحه. نجح "شادو" في إيصال استغلالاته وجعل ضحيتين تنقران على الرابط الضار وتفتحان الملف الضار.

بعد الحصول على الوصول إلى النظام، يمكن للممثل الخبيث استغلال الثغرات في البرمجيات أو الأنظمة أو الخوادم لزيادة الصلاحيات أو التحرك بشكل جانبي عبر الشبكة. وفقًا لـ CrowdStrike، يشير التحرك الجانبي إلى التقنيات التي يستخدمها المهاجم بعد الحصول على الوصول الأولي إلى جهاز الضحية للانتقال أعمق في الشبكة للحصول على بيانات حساسة.
قد يستخدم المهاجم أيضًا "استغلال الثغرات من نوع صفر يوم" (Zero-day Exploit) في هذه المرحلة. وفقًا لـ FireEye، فإن "استغلال الثغرات من نوع صفر يوم هو استغلال غير معروف في العالم الحقيقي يكشف عن ثغرة في البرمجيات أو الأجهزة ويمكن أن يسبب مشاكل معقدة قبل أن يدرك أي شخص أن هناك شيئًا خاطئًا. يترك استغلال الثغرات من نوع صفر يوم فرصة لاكتشافه في البداية."

أمثلة على كيفية تنفيذ المهاجم لعملية الاستغلال:​

  1. يقوم الضحية بتفعيل الاستغلال عن طريق فتح المرفق في البريد الإلكتروني أو النقر على الرابط الضار.​
  2. استخدام استغلال ثغرة من نوع صفر يوم.​
  3. استغلال الثغرات في البرمجيات أو الأجهزة، أو حتى الثغرات البشرية.​
  4. تفعيل الاستغلال لثغرات مرتبطة بالخوادم.​

تثبيت (Installation)
مشاهدة المرفق 14005
في مرحلة تسليح الهجمات، يُعتبر الباب الخلفي(backdoor) وسيلة تُتيح للمهاجم تجاوز تدابير الأمان والوصول المخفي إلى النظام. يُعرف الباب الخلفي أيضًا باسم نقطة الوصول( access point).

عندما يحصل المهاجم على الوصول إلى النظام، فإنه يرغب في إعادة الوصول إلى النظام في حال فقد الاتصال به، أو إذا تم اكتشافه وإزالة الوصول الأولي، أو إذا تم تصحيح النظام لاحقًا. هنا يحتاج المهاجم إلى تثبيت باب خلفي دائم، والذي يتيح له الوصول إلى النظام الذي تم اختراقه سابقًا. يمكنك الاطلاع على غرفة استمرارية ويندوز على TryHackMe لتتعلم كيف يمكن للمهاجم تحقيق الاستمرارية في أنظمة ويندوز.

يمكن تحقيق الاستمرارية من خلال:
  1. تثبيت واجهة ويب على خادم الويب: تُعتبر واجهة الويب نصًا ضارًا مكتوبًا بلغات تطوير الويب مثل ASP أو PHP أو JSP، تُستخدم من قبل المهاجم للحفاظ على الوصول إلى النظام المُخترق. بسبب بساطة واجهة الويب وتنسيق الملفات (.php، .asp، .aspx، .jsp، إلخ)، قد يكون من الصعب اكتشافها وقد تُصنف كشيء غير ضار. يمكنك الاطلاع على مقال ممتاز نشرته مايكروسوفت حول هجمات واجهة الويب.
  2. تثبيت باب خلفي على جهاز الضحية: على سبيل المثال، يمكن للمهاجم استخدام Meterpreter لتثبيت باب خلفي على جهاز الضحية. Meterpreter هو حمولة من إطار عمل Metasploit تمنح المهاجم قشرة تفاعلية للتفاعل مع جهاز الضحية عن بُعد وتنفيذ التعليمات البرمجية الضارة.
  3. إنشاء أو تعديل خدمات ويندوز: تُعرف هذه التقنية باسم T1543.003 في قاعدة بيانات MITRE ATT&CK (MITRE ATT&CK®) هي قاعدة معرفية لتكتيكات وتقنيات المعتدين استنادًا إلى سيناريوهات العالم الحقيقي). يمكن للمهاجم إنشاء أو تعديل خدمات ويندوز لتنفيذ النصوص أو الحمولة الضارة بانتظام كجزء من الاستمرارية. يمكن للمهاجم استخدام أدوات مثل sc.exe (التي تتيح لك إنشاء أو بدء أو إيقاف أو استعلام أو حذف أي خدمة ويندوز) وReg لتعديل تكوينات الخدمة. يمكن للمهاجم أيضًا تمويه الحمولة الضارة باستخدام اسم خدمة يُعرف بأنه مرتبط بنظام التشغيل أو برامج شرعية.
  4. إضافة مدخل إلى "مفاتيح التشغيل" في السجل أو مجلد بدء التشغيل: من خلال القيام بذلك، سيتم تنفيذ الحمولة في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى الكمبيوتر. وفقًا لـ MITRE ATT&CK، هناك موقع لمجلد بدء التشغيل لحسابات المستخدمين الفردية ومجلد بدء تشغيل على مستوى النظام سيتم التحقق منه بغض النظر عن حساب المستخدم الذي يسجل الدخول.
يمكنك قراءة المزيد حول مفاتيح التشغيل في السجل / مجلد بدء التشغيل في تقنيات MITRE ATT&CK.

في هذه المرحلة، يمكن للمهاجم أيضًا استخدام تقنية تغيير الأوقات (Timestomping) لتجنب الكشف من قبل المحققين الجنائيين وجعل البرمجيات الضارة تبدو كجزء من برنامج شرعي. تتيح تقنية تغيير الأوقات للمهاجم تعديل الطوابع الزمنية للملف، بما في ذلك أوقات التعديل والوصول والإنشاء والتغيير.

القيادة والتحكم(Command & Control)
مشاهدة المرفق 14007
بعد تحقيق الاستمرارية وتنفيذ البرمجيات الضارة على جهاز الضحية، يفتح "شادو" قناة التحكم والقيادة (C2) من خلال البرمجيات الضارة للتحكم عن بُعد والتلاعب بالضحية. يُعرف هذا المصطلح أيضًا باسم C&C أو C2 Beaconing، وهو نوع من الاتصالات الضارة بين خادم التحكم والقيادة والبرمجيات الضارة على الجهاز المصاب. يتواصل الجهاز المصاب باستمرار مع خادم C2، ومن هنا جاءت تسمية "Beaconing".

سيقوم الجهاز المخترق بالتواصل مع خادم خارجي تم إعداده من قبل المهاجم لإنشاء قناة التحكم والقيادة. بعد تأسيس الاتصال، يحصل المهاجم على تحكم كامل في جهاز الضحية. حتى وقت قريب، كانت IRC (الدردشة عبر الإنترنت) هي القناة التقليدية المستخدمة من قبل المهاجمين، لكن لم تعد هذه الطريقة فعالة، حيث يمكن للحلول الأمنية الحديثة اكتشاف حركة IRC الضارة بسهولة.

القنوات الأكثر شيوعًا المستخدمة من قبل المعتدين اليوم تشمل:
  1. البروتوكولات HTTP على المنفذ 80 وHTTPS على المنفذ 443: حيث تمتزج الحركة الضارة مع الحركة الشرعية، مما يساعد المهاجم على تجاوز الجدران النارية.
  2. DNS (خادم أسماء النطاقات): حيث يقوم الجهاز المصاب بإجراء طلبات DNS مستمرة إلى خادم DNS يعود للمهاجم، وتُعرف هذه النوعية من الاتصالات بـ DNS Tunneling.

من المهم ملاحظة أن المهاجم أو جهاز آخر مخترق يمكن أن يكون مالك بنية C2 التحتية. وهذا يشير إلى أنه ليس من الضروري أن يكون الخادم الذي يستخدمه المهاجم في مكان بعيد أو منفصل؛ بل يمكن أن يكون جزءًا من شبكة أخرى مخترقة، مما يزيد من تعقيد اكتشاف الأنشطة الضارة




الإجراءات المتعلقة بالأهداف (الترشيح) Actions on Objectives (Exfiltration)
مشاهدة المرفق 14009
بعد المرور عبر ست مراحل من الهجوم، يمكن لـ "شادو" أخيرًا تحقيق أهدافه، مما يعني اتخاذ إجراءات على الأهداف الأصلية. مع الوصول المباشر إلى لوحة المفاتيح، يمكن للمهاجم تحقيق ما يلي:
  1. جمع بيانات اعتماد المستخدمين.​
  2. تصعيد الامتيازات (الحصول على وصول مرتفع مثل الوصول إلى مدير النطاق من محطة العمل عن طريق استغلال الأخطاء في التكوين).​
  3. الاستطلاع الداخلي (على سبيل المثال، يمكن للمهاجم التفاعل مع البرمجيات الداخلية للعثور على ثغراتها).​
  4. الحركة الجانبية في بيئة الشركة.​
  5. جمع وتسريب البيانات الحساسة.​
  6. حذف النسخ الاحتياطية ونسخ الظل. (نسخة الظل- Shadow Copy- : هي تقنية من مايكروسوفت يمكن أن تنشئ نسخ احتياطية، أو لقطات لملفات أو وحدات التخزين).​
  7. كتابة فوق البيانات أو إتلافها.​

تحليل الممارسة (Practice Analysis)
مشاهدة المرفق 14012
السيناريو الواقعي الذي سنعمل عليه هو الهجوم السيبراني الشهير على شركة Target، الذي أدى إلى واحدة من أكبر اختراقات البيانات في التاريخ، والذي حدث في 27 نوفمبر 2013.

في 19 ديسمبر 2013، أصدرت شركة Target بيانًا يؤكد حدوث الاختراق، مشيرةً إلى أن حوالي 40 مليون حساب بطاقة ائتمان وخصم تأثر بين 27 نوفمبر و15 ديسمبر 2013. اضطرت Target لدفع غرامة قدرها 18.5 مليون دولار بموجب شروط اتفاق التسوية بين الولايات، مما يُعتبر أكبر تسوية لاختراق بيانات في التاريخ.

كيف حدث اختراق البيانات؟​

قم بنشر الموقع الثابت المرفق بهذه المهمة وطبق مهاراتك لبناء سلسلة قتل السيبرانية لهذا السيناريو. إليك بعض النصائح لمساعدتك في إكمال المهمة العملية:

أضف كل عنصر من القائمة في النموذج الصحيح ضمن سلسلة القتل على موقع المختبر الثابت:
  • استغلال تطبيقات الواجهة العامة
  • البيانات من النظام المحلي
  • باور شيل (PowerShell)
  • اختطاف الرابط الديناميكي
  • المرفق المستهدف (Spearphishing Attachment)
  • قنوات الطوارئ (Fallback Channels)

خاتمة (Conclusion)
مشاهدة المرفق 14014
يمكن أن تكون سلسلة قتل السيبرانية أداة رائعة لتحسين الدفاعات الشبكية، لكنها ليست مثالية ولا يمكن الاعتماد عليها كأداة وحيدة.
تم تعديل سلسلة قتل السيبرانية التقليدية أو سلسلة قتل لوكهيد مارتن آخر مرة في عام 2011، وهو تاريخ تأسيسها. إن غياب التحديثات والتعديلات يخلق فجوات أمنية.
صُممت سلسلة قتل السيبرانية التقليدية لحماية محيط الشبكة من تهديدات البرمجيات الضارة. لكن تهديدات الأمن السيبراني تطورت بشكل كبير في الوقت الحالي، حيث يقوم المعتدون بدمج تقنيات وأساليب متعددة لتحقيق أهدافهم. يمكن للمعتدين التغلب على معلومات التهديد عن طريق تعديل تجزئة الملفات وعناوين IP. لذا، تقوم شركات حلول الأمان بتطوير تقنيات مثل الذكاء الاصطناعي وخوارزميات مختلفة للكشف عن حتى التغييرات الطفيفة والمريبة.نظرًا لأن التركيز الرئيسي للإطار هو على توصيل البرمجيات الضارة وأمان الشبكة، فإن سلسلة قتل السيبرانية التقليدية لن تكون قادرة على التعرف على تهديدات الداخلين. وفقًا لوكالة الأمن السيبراني والبنية التحتية (CISA)


لذا، يُوصى بعدم الاعتماد فقط على نموذج سلسلة قتل السيبرانية التقليدية، بل أيضًا بالرجوع إلى MITRE ATT&CK وسلسلة القتل الموحدة( Unified Kill Chain) لتطبيق نهج أكثر شمولاً في استراتيجيات الدفاع الخاصة بك.
الله يعطيك العافيه شادو شرح مبدع 🥰🔥
 
بسم الله الرحمن الرحيم

المقدمة (Introduction)

مشاهدة المرفق 13994
سوف نتحدث اليوم عن موضوع مهم في عالم الأمن السيبراني وهو "Cyber Kill Chain" أو سلسلة القتل الإلكترونية.
سلسلة القتل هي مفهوم عسكري يتعلق بهيكل الهجوم، وتتكون من تحديد الهدف، اتخاذ القرار وإصدار الأمر للهجوم، وأخيرًا تدمير الهدف.
بفضل شركة لوكهيد مارتن، تم تأسيس إطار عمل "سلسلة القتل السيبراني(Cyber Kill Chain® framework)" في عام 2011 استنادًا إلى هذا المفهوم العسكري. يحدد الإطار الخطوات المستخدمة من قبل الخصوم أو الفاعلين الخبيثين في الفضاء السيبراني. للنجاح، يحتاج الخصم إلى المرور بجميع مراحل سلسلة القتل.

لماذا من المهم فهم كيفية عمل سلسلة القتل السيبراني؟​

سيساعدك فهم سلسلة القتل على الحماية من هجمات ransomware، اختراقات الأمان، بالإضافة إلى التهديدات المستمرة المتقدمة (APTs). يمكنك استخدام سلسلة القتل لتقييم أمان شبكتك وأنظمتك من خلال تحديد نقاط ضعف الأمان وإغلاق الثغرات بناءً على بنية شركتك.
من خلال فهم سلسلة القتل كأخصائي تحليل مركز العمليات الأمنية (SOC) أو باحث أمني أو صائد تهديدات أو مستجيب للحوادث، ستكون قادرًا على التعرف على محاولات الاقتحام وفهم أهداف المعتدي.

المراحل التي سيتم استكشافها:​

  • الاستطلاع
  • تسليح
  • تسليم
  • استغلال
  • تثبيت
  • القيادة والتحكم
  • إجراءات على الأهداف


الاستطلاع (Reconnaissance)

مشاهدة المرفق 13996
الاستطلاع هو عملية اكتشاف وجمع المعلومات عن النظام والضحية. تعتبر مرحلة الاستطلاع هي مرحلة التخطيط للخصوم.

تندرج المعلومات المفتوحة المصدر (OSINT) تحت فئة الاستطلاع. تُعد OSINT الخطوة الأولى التي يحتاج المهاجم لإنجازها للانتقال إلى مراحل الهجوم التالية. يحتاج المهاجم لدراسة الضحية عن طريق جمع كل المعلومات المتاحة حول الشركة وموظفيها، مثل حجم الشركة، عناوين البريد الإلكتروني، وأرقام الهواتف من الموارد المتاحة للجمهور لتحديد أفضل هدف للهجوم.
دعونا ننظر إلى الأمر من منظور المهاجم الذي لا يعرف في البداية أي شركة يريد مهاجمتها.
لدينا مهاجم خبيث يسمي نفسه "شادو"، قرر تنفيذ هجوم متطور للغاية كان يخطط له لسنوات؛ وقد قام بدراسة وبحث أدوات وتقنيات مختلفة يمكن أن تساعده للوصول إلى المرحلة الأخيرة من سلسلة القتل السيبراني. ولكن أولاً، يحتاج إلى البدء من مرحلة الاستطلاع.
لكي يعمل في هذه المرحلة، يحتاج المهاجم إلى إجراء OSINT. دعونا نلقي نظرة على جمع عناوين البريد الإلكتروني.

جمع عناوين البريد الإلكتروني

جمع عناوين البريد الإلكتروني هو عملية الحصول على عناوين البريد الإلكتروني من خدمات عامة، مدفوعة أو مجانية. يمكن للمهاجم استخدام جمع عناوين البريد الإلكتروني لهجوم تصيد (نوع من هجمات الهندسة الاجتماعية المستخدمة لسرقة البيانات الحساسة، بما في ذلك بيانات تسجيل الدخول وأرقام بطاقات الائتمان). سيحصل المهاجم على مجموعة واسعة من الأدوات المتاحة لأغراض الاستطلاع. إليك بعضًا منها:

  • theHarvester: بجانب جمع البريد الإلكتروني، يمكن لهذه الأداة جمع أسماء، ونطاقات فرعية، وعناوين IP، وروابط باستخدام مصادر بيانات عامة متعددة.​
  • Hunter.io: أداة جمع عناوين البريد الإلكتروني التي ستسمح لك بالحصول على معلومات الاتصال المرتبطة بالنطاق.​
  • OSINT Framework: يوفر مجموعة من أدوات OSINT مصنفة بناءً على فئات مختلفة.​
سيستخدم المهاجم أيضًا مواقع التواصل الاجتماعي مثل LinkedIn وFacebook وTwitter وInstagram لجمع المعلومات عن ضحية معينة يرغب في مهاجمتها أو عن الشركة. يمكن أن تكون المعلومات الموجودة على وسائل التواصل الاجتماعي مفيدة للمهاجم لتنفيذ هجوم تصيد.

يعني بنقدر نحكي انه اي هجوم يحتاج لجمع الكثير من المعلومات .........

التسليح (Weaponization)
مشاهدة المرفق 13998
بعد نجاح مرحلة الاستطلاع، سيعمل "شادو" على إعداد "سلاح دمار (weapon of destruction)". يفضل عدم التفاعل مباشرة مع الضحية، وبدلاً من ذلك، سيقوم بإنشاء "سلاح تسليح(weaponizer)" يجمع بين البرمجيات الخبيثة (malware) واستغلال الثغرات (exploit) في حزمة قابلة للتسليم. غالبًا ما يستخدم المهاجمون أدوات آلية لتوليد البرمجيات الخبيثة أو يشترونها من الشبكة المظلمة (DarkWeb). بينما يقوم الفاعلون الأكثر تطورًا، مثل جماعات التهديد المستمر المتقدمة (APTs) المدعومة من الدول، بكتابة برمجياتهم الخبيثة المخصصة لجعلها فريدة وتفادي اكتشافها من قبل الهدف.

تعريف بعض المصطلحات:​

  • البرمجيات الخبيثة (Malware): برنامج أو برمجية مصممة لإتلاف أو تعطيل أو الحصول على وصول غير مصرح به إلى جهاز كمبيوتر.​
  • استغلال الثغرات (Exploit): برنامج أو كود يستفيد من ثغرة أو عيب في التطبيق أو النظام.​
  • الحزمة (Payload): كود خبيث يقوم المهاجم بتشغيله على النظام.​

ماذا سيختار "شادو"؟​

يختار "شادو" شراء حزمة جاهزة من شخص آخر في الشبكة المظلمة، حتى يتمكن من قضاء المزيد من الوقت في المراحل الأخرى.

في مرحلة التسليح، سيقوم المهاجم بـ:​

  1. إنشاء مستند Microsoft Office مصاب يحتوي على ماكرو خبيث أو سكريبتات VBA (Visual Basic for Applications). إذا كنت تريد معرفة المزيد عن الماكرو وVBA.
  2. يمكن للمهاجم إنشاء حزمة خبيثة أو دودة معقدة، وزرعها على محركات USB، ثم توزيعها في الأماكن العامة.
  3. اختيار تقنيات القيادة والتحكم (C2) لتنفيذ الأوامر على جهاز الضحية أو لتسليم حزم خبيثة إضافية. يمكنك قراءة المزيد عن تقنيات C2 في MITRE ATT&CK.
  4. اختيار زرع باب خلفي (backdoor) للوصول إلى نظام الكمبيوتر، والذي يتضمن تجاوز آليات الأمان.

التسليم (Delivery)
مشاهدة المرفق 14000
مرحلة التسليم هي المرحلة التي يقرر فيها "شادو" اختيار الطريقة لنقل الحزمة أو البرمجيات الخبيثة. لديه العديد من الخيارات المتاحة:
  1. البريد الإلكتروني الاحتيالي: بعد إجراء الاستطلاع وتحديد الأهداف للهجوم، يقوم الفاعل الخبيث بصياغة بريد إلكتروني ضار يستهدف إما شخصًا معينًا (هجوم تصيد موجه) أو عدة أشخاص في الشركة. يتضمن البريد الإلكتروني حزمة أو برمجيات خبيثة. على سبيل المثال، يتعلم "شادو" أن نانسي من قسم المبيعات في الشركة A تعجب دائمًا بالمنشورات على LinkedIn من سكوت، مدير تقديم الخدمات في الشركة B. يظن "شادو" أنهما يتواصلان عبر البريد الإلكتروني. لذا، سيقوم بصياغة بريد إلكتروني يستخدم اسم سكوت الكامل، مما يجعل المجال يبدو مشابهًا لمجال الشركة التي يعمل بها سكوت، ثم يرسل بريدًا مزيفًا يحتوي على "فاتورة" إلى نانسي، مع الحزمة الضارة.
  2. توزيع محركات USB المصابة: قد يقرر المهاجم تنفيذ هجوم USB Drop Attack معقد عن طريق طباعة شعار الشركة على محركات USB وإرسالها إلى الشركة، متظاهرًا بأنه عميل يرسل هذه الأجهزة كهدية. يمكنك قراءة المزيد عن هجمات مشابهة في مقال على CSO Online "مجموعة المجرمين الإلكترونيين ترسل وحدات USB ضارة إلى شركات مستهدفة."
  3. هجوم الحفرة المائية (Watering Hole Attack): هو هجوم مستهدف يهدف إلى مجموعة معينة من الأشخاص عن طريق اختراق المواقع التي يزورونها بشكل متكرر ثم توجيههم إلى موقع ضار من اختيار المهاجم. يبحث المهاجم عن ثغرة معروفة في الموقع ويحاول استغلالها. كما يشجع المهاجم الضحايا على زيارة الموقع من خلال إرسال رسائل بريد إلكتروني "غير ضارة" تشير إلى الرابط الضار لجعل الهجوم أكثر كفاءة. بعد زيارة الموقع، يقوم الضحية عن غير قصد بتنزيل برمجيات خبيثة أو تطبيق ضار على جهازه. يُطلق على هذا النوع من الهجمات اسم "تنزيل بالمرور" (drive-by download). مثال على ذلك هو ظهور نافذة منبثقة خبيثة تطلب تنزيل إضافة وهمية للمتصفح.

الاستغلال (Exploitation)
مشاهدة المرفق 14002
لكي يحصل المهاجم على وصول إلى النظام، يحتاج إلى استغلال الثغرة. في هذه المرحلة، كان "شادو" مبدعًا بعض الشيء - فقد أنشأ بريدين إلكترونيين احتياليين، أحدهما يحتوي على رابط احتيالي إلى صفحة تسجيل دخول وهمية لـ Office 365، والآخر يحتوي على مرفق ماكرو يقوم بتشغيل برنامج فدية (ransomware) عند فتحه. نجح "شادو" في إيصال استغلالاته وجعل ضحيتين تنقران على الرابط الضار وتفتحان الملف الضار.

بعد الحصول على الوصول إلى النظام، يمكن للممثل الخبيث استغلال الثغرات في البرمجيات أو الأنظمة أو الخوادم لزيادة الصلاحيات أو التحرك بشكل جانبي عبر الشبكة. وفقًا لـ CrowdStrike، يشير التحرك الجانبي إلى التقنيات التي يستخدمها المهاجم بعد الحصول على الوصول الأولي إلى جهاز الضحية للانتقال أعمق في الشبكة للحصول على بيانات حساسة.
قد يستخدم المهاجم أيضًا "استغلال الثغرات من نوع صفر يوم" (Zero-day Exploit) في هذه المرحلة. وفقًا لـ FireEye، فإن "استغلال الثغرات من نوع صفر يوم هو استغلال غير معروف في العالم الحقيقي يكشف عن ثغرة في البرمجيات أو الأجهزة ويمكن أن يسبب مشاكل معقدة قبل أن يدرك أي شخص أن هناك شيئًا خاطئًا. يترك استغلال الثغرات من نوع صفر يوم فرصة لاكتشافه في البداية."

أمثلة على كيفية تنفيذ المهاجم لعملية الاستغلال:​

  1. يقوم الضحية بتفعيل الاستغلال عن طريق فتح المرفق في البريد الإلكتروني أو النقر على الرابط الضار.​
  2. استخدام استغلال ثغرة من نوع صفر يوم.​
  3. استغلال الثغرات في البرمجيات أو الأجهزة، أو حتى الثغرات البشرية.​
  4. تفعيل الاستغلال لثغرات مرتبطة بالخوادم.​

تثبيت (Installation)
مشاهدة المرفق 14005
في مرحلة تسليح الهجمات، يُعتبر الباب الخلفي(backdoor) وسيلة تُتيح للمهاجم تجاوز تدابير الأمان والوصول المخفي إلى النظام. يُعرف الباب الخلفي أيضًا باسم نقطة الوصول( access point).

عندما يحصل المهاجم على الوصول إلى النظام، فإنه يرغب في إعادة الوصول إلى النظام في حال فقد الاتصال به، أو إذا تم اكتشافه وإزالة الوصول الأولي، أو إذا تم تصحيح النظام لاحقًا. هنا يحتاج المهاجم إلى تثبيت باب خلفي دائم، والذي يتيح له الوصول إلى النظام الذي تم اختراقه سابقًا. يمكنك الاطلاع على غرفة استمرارية ويندوز على TryHackMe لتتعلم كيف يمكن للمهاجم تحقيق الاستمرارية في أنظمة ويندوز.

يمكن تحقيق الاستمرارية من خلال:
  1. تثبيت واجهة ويب على خادم الويب: تُعتبر واجهة الويب نصًا ضارًا مكتوبًا بلغات تطوير الويب مثل ASP أو PHP أو JSP، تُستخدم من قبل المهاجم للحفاظ على الوصول إلى النظام المُخترق. بسبب بساطة واجهة الويب وتنسيق الملفات (.php، .asp، .aspx، .jsp، إلخ)، قد يكون من الصعب اكتشافها وقد تُصنف كشيء غير ضار. يمكنك الاطلاع على مقال ممتاز نشرته مايكروسوفت حول هجمات واجهة الويب.
  2. تثبيت باب خلفي على جهاز الضحية: على سبيل المثال، يمكن للمهاجم استخدام Meterpreter لتثبيت باب خلفي على جهاز الضحية. Meterpreter هو حمولة من إطار عمل Metasploit تمنح المهاجم قشرة تفاعلية للتفاعل مع جهاز الضحية عن بُعد وتنفيذ التعليمات البرمجية الضارة.
  3. إنشاء أو تعديل خدمات ويندوز: تُعرف هذه التقنية باسم T1543.003 في قاعدة بيانات MITRE ATT&CK (MITRE ATT&CK®) هي قاعدة معرفية لتكتيكات وتقنيات المعتدين استنادًا إلى سيناريوهات العالم الحقيقي). يمكن للمهاجم إنشاء أو تعديل خدمات ويندوز لتنفيذ النصوص أو الحمولة الضارة بانتظام كجزء من الاستمرارية. يمكن للمهاجم استخدام أدوات مثل sc.exe (التي تتيح لك إنشاء أو بدء أو إيقاف أو استعلام أو حذف أي خدمة ويندوز) وReg لتعديل تكوينات الخدمة. يمكن للمهاجم أيضًا تمويه الحمولة الضارة باستخدام اسم خدمة يُعرف بأنه مرتبط بنظام التشغيل أو برامج شرعية.
  4. إضافة مدخل إلى "مفاتيح التشغيل" في السجل أو مجلد بدء التشغيل: من خلال القيام بذلك، سيتم تنفيذ الحمولة في كل مرة يقوم فيها المستخدم بتسجيل الدخول إلى الكمبيوتر. وفقًا لـ MITRE ATT&CK، هناك موقع لمجلد بدء التشغيل لحسابات المستخدمين الفردية ومجلد بدء تشغيل على مستوى النظام سيتم التحقق منه بغض النظر عن حساب المستخدم الذي يسجل الدخول.
يمكنك قراءة المزيد حول مفاتيح التشغيل في السجل / مجلد بدء التشغيل في تقنيات MITRE ATT&CK.

في هذه المرحلة، يمكن للمهاجم أيضًا استخدام تقنية تغيير الأوقات (Timestomping) لتجنب الكشف من قبل المحققين الجنائيين وجعل البرمجيات الضارة تبدو كجزء من برنامج شرعي. تتيح تقنية تغيير الأوقات للمهاجم تعديل الطوابع الزمنية للملف، بما في ذلك أوقات التعديل والوصول والإنشاء والتغيير.

القيادة والتحكم(Command & Control)
مشاهدة المرفق 14007
بعد تحقيق الاستمرارية وتنفيذ البرمجيات الضارة على جهاز الضحية، يفتح "شادو" قناة التحكم والقيادة (C2) من خلال البرمجيات الضارة للتحكم عن بُعد والتلاعب بالضحية. يُعرف هذا المصطلح أيضًا باسم C&C أو C2 Beaconing، وهو نوع من الاتصالات الضارة بين خادم التحكم والقيادة والبرمجيات الضارة على الجهاز المصاب. يتواصل الجهاز المصاب باستمرار مع خادم C2، ومن هنا جاءت تسمية "Beaconing".

سيقوم الجهاز المخترق بالتواصل مع خادم خارجي تم إعداده من قبل المهاجم لإنشاء قناة التحكم والقيادة. بعد تأسيس الاتصال، يحصل المهاجم على تحكم كامل في جهاز الضحية. حتى وقت قريب، كانت IRC (الدردشة عبر الإنترنت) هي القناة التقليدية المستخدمة من قبل المهاجمين، لكن لم تعد هذه الطريقة فعالة، حيث يمكن للحلول الأمنية الحديثة اكتشاف حركة IRC الضارة بسهولة.

القنوات الأكثر شيوعًا المستخدمة من قبل المعتدين اليوم تشمل:
  1. البروتوكولات HTTP على المنفذ 80 وHTTPS على المنفذ 443: حيث تمتزج الحركة الضارة مع الحركة الشرعية، مما يساعد المهاجم على تجاوز الجدران النارية.
  2. DNS (خادم أسماء النطاقات): حيث يقوم الجهاز المصاب بإجراء طلبات DNS مستمرة إلى خادم DNS يعود للمهاجم، وتُعرف هذه النوعية من الاتصالات بـ DNS Tunneling.

من المهم ملاحظة أن المهاجم أو جهاز آخر مخترق يمكن أن يكون مالك بنية C2 التحتية. وهذا يشير إلى أنه ليس من الضروري أن يكون الخادم الذي يستخدمه المهاجم في مكان بعيد أو منفصل؛ بل يمكن أن يكون جزءًا من شبكة أخرى مخترقة، مما يزيد من تعقيد اكتشاف الأنشطة الضارة




الإجراءات المتعلقة بالأهداف (الترشيح) Actions on Objectives (Exfiltration)
مشاهدة المرفق 14009
بعد المرور عبر ست مراحل من الهجوم، يمكن لـ "شادو" أخيرًا تحقيق أهدافه، مما يعني اتخاذ إجراءات على الأهداف الأصلية. مع الوصول المباشر إلى لوحة المفاتيح، يمكن للمهاجم تحقيق ما يلي:
  1. جمع بيانات اعتماد المستخدمين.​
  2. تصعيد الامتيازات (الحصول على وصول مرتفع مثل الوصول إلى مدير النطاق من محطة العمل عن طريق استغلال الأخطاء في التكوين).​
  3. الاستطلاع الداخلي (على سبيل المثال، يمكن للمهاجم التفاعل مع البرمجيات الداخلية للعثور على ثغراتها).​
  4. الحركة الجانبية في بيئة الشركة.​
  5. جمع وتسريب البيانات الحساسة.​
  6. حذف النسخ الاحتياطية ونسخ الظل. (نسخة الظل- Shadow Copy- : هي تقنية من مايكروسوفت يمكن أن تنشئ نسخ احتياطية، أو لقطات لملفات أو وحدات التخزين).​
  7. كتابة فوق البيانات أو إتلافها.​

تحليل الممارسة (Practice Analysis)
مشاهدة المرفق 14012
السيناريو الواقعي الذي سنعمل عليه هو الهجوم السيبراني الشهير على شركة Target، الذي أدى إلى واحدة من أكبر اختراقات البيانات في التاريخ، والذي حدث في 27 نوفمبر 2013.

في 19 ديسمبر 2013، أصدرت شركة Target بيانًا يؤكد حدوث الاختراق، مشيرةً إلى أن حوالي 40 مليون حساب بطاقة ائتمان وخصم تأثر بين 27 نوفمبر و15 ديسمبر 2013. اضطرت Target لدفع غرامة قدرها 18.5 مليون دولار بموجب شروط اتفاق التسوية بين الولايات، مما يُعتبر أكبر تسوية لاختراق بيانات في التاريخ.

كيف حدث اختراق البيانات؟​

قم بنشر الموقع الثابت المرفق بهذه المهمة وطبق مهاراتك لبناء سلسلة قتل السيبرانية لهذا السيناريو. إليك بعض النصائح لمساعدتك في إكمال المهمة العملية:

أضف كل عنصر من القائمة في النموذج الصحيح ضمن سلسلة القتل على موقع المختبر الثابت:
  • استغلال تطبيقات الواجهة العامة
  • البيانات من النظام المحلي
  • باور شيل (PowerShell)
  • اختطاف الرابط الديناميكي
  • المرفق المستهدف (Spearphishing Attachment)
  • قنوات الطوارئ (Fallback Channels)

خاتمة (Conclusion)
مشاهدة المرفق 14014
يمكن أن تكون سلسلة قتل السيبرانية أداة رائعة لتحسين الدفاعات الشبكية، لكنها ليست مثالية ولا يمكن الاعتماد عليها كأداة وحيدة.
تم تعديل سلسلة قتل السيبرانية التقليدية أو سلسلة قتل لوكهيد مارتن آخر مرة في عام 2011، وهو تاريخ تأسيسها. إن غياب التحديثات والتعديلات يخلق فجوات أمنية.
صُممت سلسلة قتل السيبرانية التقليدية لحماية محيط الشبكة من تهديدات البرمجيات الضارة. لكن تهديدات الأمن السيبراني تطورت بشكل كبير في الوقت الحالي، حيث يقوم المعتدون بدمج تقنيات وأساليب متعددة لتحقيق أهدافهم. يمكن للمعتدين التغلب على معلومات التهديد عن طريق تعديل تجزئة الملفات وعناوين IP. لذا، تقوم شركات حلول الأمان بتطوير تقنيات مثل الذكاء الاصطناعي وخوارزميات مختلفة للكشف عن حتى التغييرات الطفيفة والمريبة.نظرًا لأن التركيز الرئيسي للإطار هو على توصيل البرمجيات الضارة وأمان الشبكة، فإن سلسلة قتل السيبرانية التقليدية لن تكون قادرة على التعرف على تهديدات الداخلين. وفقًا لوكالة الأمن السيبراني والبنية التحتية (CISA)


لذا، يُوصى بعدم الاعتماد فقط على نموذج سلسلة قتل السيبرانية التقليدية، بل أيضًا بالرجوع إلى MITRE ATT&CK وسلسلة القتل الموحدة( Unified Kill Chain) لتطبيق نهج أكثر شمولاً في استراتيجيات الدفاع الخاصة بك.
الله يكثر خيرك ويعطيك الف عافية على كل حرف كتبته والله يجعل هاد المقال في ميزان حسناتك يا استاذي وأخي الكريم، حياك الله وتحياتي للجميع 🌹
بننتظر جديدك يا استاذ 🔥
 
بارك الله فيك اخي على هذا الطرح وجزاك الله كل خير
ننتظر جديد ابداعاتك دائماً
 

آخر المشاركات

عودة
أعلى