Mohmmad_ALmrayat
مشرف سابق
بسم الله الرحمن الرحيم
1 - المقدمة ( Introduction ) :\
فهم كيف يتصرف المهاجم السيبراني، وش هي أهدافه، وكيف ينفذ الهجمات هو شيء ضروري جداً عشان نقدر نحمي أنفسنا بشكل قوي من الهجمات الإلكترونية. وهذا الشيء اللي نسميه الوضع الأمني السيبراني، يعني قوة الدفاع الإلكتروني اللي عندنا.
في هذا الدرس أو "الغرفة"، راح تتعلم عن إطار عمل اسمه UKC (Unified Kill Chain). هذا الإطار هو مثل خريطة تساعدنا نفهم كيف تصير الهجمات الإلكترونية خطوة بخطوة.
الأشياء اللي بتتعلمها:
- فهم ليش الأطر مثل UKC مهمة ومفيدة في بناء وضع أمني سيبراني جيد.
- استخدام UKC لفهم دوافع المهاجمين، أساليبهم، وتكتيكاتهم.
- فهم المراحل المختلفة لإطار UKC.
- اكتشاف أن UKC هو إطار عمل يكمل أطر أخرى مثل MITRE.
الـ "Kill Chain" هو مصطلح جاي من الجيش، ويشرح المراحل اللي يمر فيها أي هجوم. في الأمن السيبراني، نستخدمه عشان نوضح الخطوات اللي يمشي فيها الهاكر أو مجموعة التهديدات المتطورة (APTs) لما يحاولون يخترقون هدف معين.
مثال بسيط: المهاجم يبدأ بفحص النظام عشان يلقى ثغرات، بعدين يستغل ثغرة في موقع ويب، وبعدها يرفع مستوى صلاحياته (يعني يحصل على صلاحيات أعلى عشان يدخل لمعلومات حساسة). هذه الخطوات كلها هي اللي نسميها "Kill Chain".
الهدف من فهم الـ "Kill Chain" هو إنك تعرف كل خطوة يسويها المهاجم، عشان تقدر تحط دفاعات قبل لا يصير الهجوم أو تقطع عليهم الطريق وهم يحاولو يخترقون النظام.
3- ما هو نمذجة التهديد (Threat Modelling ) :
نموذج التهديد هو عملية تهدف إلى تحسين أمان النظام من خلال اتباع سلسلة من الخطوات. يركز هذا النموذج على تحديد المخاطر، ويمكن تلخيصه في النقاط التالية:
خطوات نموذج التهديد:
- تحديد الأنظمة والتطبيقات التي تحتاج إلى تأمين:
- من الضروري معرفة الأنظمة الحيوية لعمليات المؤسسة، مثل الأنظمة التي تحتوي على معلومات حساسة كبيانات الدفع أو العناوين.
- ينبغي تحليل الوظيفة التي تؤديها هذه الأنظمة في البيئة.
- تقييم الثغرات والضعف:
- يجب التعرف على الثغرات المحتملة التي قد تواجهها هذه الأنظمة والتطبيقات.
- يتضمن ذلك دراسة كيف يمكن استغلال هذه الثغرات من قبل المهاجمين.
- إنشاء خطة عمل لتأمين الأنظمة:
- بناءً على الثغرات المكتشفة، يجب وضع خطة واضحة لتأمين الأنظمة والتطبيقات.
- هذه الخطة قد تتضمن التحديثات الأمنية، والتصحيحات، وغيرها من التدابير اللازمة.
- وضع سياسات لمنع الثغرات:
- يمكن تنفيذ سياسات وإجراءات جديدة لمنع حدوث الثغرات مرة أخرى.
- على سبيل المثال، يمكن تنفيذ دورة حياة تطوير البرمجيات (SDLC) أو تدريب الموظفين على الوعي بالهجمات الاحتيالية (phishing).
أهمية نموذج التهديد:
- يساعد نموذج التهديد في تقليل المخاطر داخل النظام أو التطبيق، ويخلق نظرة عامة شاملة عن أصول تكنولوجيا المعلومات في المنظمة.
- يُعتبر الأصل في تكنولوجيا المعلومات قطعة من البرمجيات أو الأجهزة التي تحتاج إلى حماية.
الإطارات المستخدمة في نموذج التهديد:
- UKC (Unified Kill Chain): يعزز نموذج التهديد من خلال مساعدته في تحديد أسطح الهجوم المحتملة وكيف يمكن استغلال هذه الأنظمة.
- STRIDE، DREAD و CVSS: هي إطارات تستخدم بشكل خاص في نموذج التهديد.
4- مقدمة سلسلة القتل الموحدة (Introducing the Unified Kill Chain ) :
ما هو Unified Kill Chain (UKC)؟
Unified Kill Chain هو إطار عمل في مجال الأمن السيبراني وضعه بول بولس في عام 2017. الهدف منه هو تكملة (وليس التنافس مع) الأطر الأخرى مثل Lockheed Martin’s Cyber Kill Chain وMITRE ATT&CK.
ماذا يتضمن UKC؟
UKC يقول إن الهجوم السيبراني يتكون من 18 مرحلة. هذه المراحل تشمل كل شيء من جمع المعلومات (reconnaissance) عن الضحية إلى سرقة البيانات (data exfiltration) وفهم دوافع المهاجم (attacker's motive).توزيع المراحل
علشان نسهّل الفهم، المراحل مقسمة إلى مجموعات مختلفة في هذا المحتوى، لكن بالتأكيد كل مرحلة لها أهميتها.مميزات UKC
- حديث ودقيق: UKC يعتبر إطار حديث لأنه تم تطويره مؤخرًا، وهو يشتمل على تفاصيل أكثر عن الهجمات مقارنة بالإطارات الأخرى، مثل Lockheed Martin وMITRE، التي قد تحتوي على عدد أقل من المراحل.
- تفصيل كبير: مع وجود 18 مرحلة، UKC يعطي تفاصيل أكثر عن كيفية حدوث الهجمات وما الذي يدور خلف الكواليس.
فوائد إطار العمل الخاص بسلسلة القتل الموحدة (UKC)
- حديث
- تم إصدار هذا الإطار في عام 2017 وتم تحديثه في عام 2022. يعني إنه مو بس قديم، لكن تم تطويره ليتناسب مع التغييرات في عالم الأمن السيبراني.
- تفاصيل دقيقة:
- يحتوي الـ UKC على 18 مرحلة مختلفة، مما يجعله شامل جداً مقارنةً بالإطارات الأخرى.
- تغطية شاملة للهجمات:
- يغطي الإطار كامل مراحل الهجوم، بدءًا من الاستطلاع (reconnaissance) إلى الاستغلال (exploitation)، وما بعد الاستغلال (post-exploitation)، بما في ذلك فهم دوافع المهاجم.
- سيناريوهات هجوم أكثر واقعية:
- يُبرز الإطار سيناريوهات الهجمات التي يمكن أن تتكرر عدة مرات. مثلاً، بعد ما يستغل المهاجم جهازاً ما، ممكن يبدأ من جديد بعملية الاستطلاع للبحث عن نظام آخر.
كيف تقارن الإطارات الأخرى؟
- الإصدارات القديمة:
- بعض الإطارات، مثل إطار MITRE، تم إصدارها في عام 2013، عندما كان عالم الأمن السيبراني مختلف كثيرًا.
- عدد المراحل القليل:
- غالبًا ما تحتوي الإطارات الأخرى على عدد قليل من المراحل، مما يعني إنها قد لا تكون شاملة مثل الـ UKC.
- تغطية محدودة:
- تركز الإطارات الأخرى على عدد محدد من المراحل فقط، لذا قد تفوت بعض الجوانب المهمة للهجوم.
- عدم حساب الانتقالات بين المراحل:
- لا تأخذ الإطارات الأخرى بعين الاعتبار إنه ممكن المهاجم يرجع وينتقل بين المراحل المختلفة خلال الهجوم، بينما الـ UKC يتعامل مع هذه الحقيقة بشكل أفضل.
5 - Phase: In (Initial Foothold)
الهدف الرئيسي من هذه المراحل هو أن يحاول المهاجم الوصول إلى نظام أو بيئة شبكية.
المهاجم يستخدم عدة أساليب لاستكشاف النظام بحثًا عن ثغرات يمكن استغلالها للتمكن من اختراق النظام. على سبيل المثال، واحدة من الأساليب الشائعة هي استخدام الاستطلاع (reconnaissance) لاكتشاف نقاط الضعف المحتملة (مثل التطبيقات والخدمات) التي يمكن أن تكون مداخل لهجمات لاحقة.
هذا الجزء من المراحل يأخذ في الاعتبار أيضاً أن المهاجم قد يقوم بإنشاء استمرارية للوصول (مثل ملفات أو عمليات تسمح له بالاتصال بالجهاز في أي وقت). وأخيراً، يأخذ UKC في الحسبان أن المهاجمين غالباً ما يستخدمون مجموعة من التكتيكات المذكورة أعلاه.
سنستعرض المراحل المختلفة من هذا الجزء من UKC في العناوين أدناه:
1- Reconnaissance (MITRE Tactic TA0043)
المرحلة الأولى من UKC تتعلق بالاستطلاع أو جمع المعلومات عن الهدف. هذه المرحلة تصف الأساليب التي يستخدمها المهاجم لجمع معلومات عن النظام المستهدف. يمكن القيام بذلك باستخدام طرق الاستطلاع النشطة أو السلبية. يتم استخدام المعلومات التي يتم جمعها خلال هذه المرحلة في المراحل التالية من الهجوم.
تشمل المعلومات التي قد يتم جمعها في هذه المرحلة:
- معرفة الأنظمة والخدمات التي تعمل على الهدف، وهي معلومات مفيدة جداً في مراحل التسلح (weaponization) والاستغلال (exploitation).
- العثور على قوائم جهات الاتصال أو الموظفين الذين يمكن انتحال هويتهم أو استهدافهم بهجمات الهندسة الاجتماعية أو التصيد (phishing).
- البحث عن بيانات الاعتماد (credentials) التي يمكن استخدامها في المراحل اللاحقة مثل الوصول الأولي أو التنقل داخل الشبكة (pivoting).
- فهم هيكلية الشبكة (network topology) والأنظمة المتصلة بالشبكة التي يمكن استخدامها للوصول إلى أهداف أخرى داخل الشبكة.
في هذه المرحلة من UKC، يقوم المهاجم بتحضير البنية التحتية اللازمة لتنفيذ الهجوم. يعني ذلك تجهيز الأدوات والخوادم التي ستساعده في السيطرة على النظام المستهدف. على سبيل المثال، يمكن للمهاجم إعداد خادم للتحكم والسيطرة (Command & Control server) أو إنشاء نظام لاستقبال أوامر الـ"reverse shell" (عندما يتصل النظام المخترق بالخادم للتحكم) وتوجيه البرمجيات الخبيثة أو الأكواد الضارة إلى النظام المستهدف.
3- Social Engineering (MITRE Tactic TA0001)
في هذه المرحلة من UKC، يستخدم المهاجم تقنيات الهندسة الاجتماعية للتلاعب بالموظفين من أجل مساعدته في تنفيذ هجومه. الهندسة الاجتماعية تعتمد على استغلال العنصر البشري بدلاً من الثغرات التقنية. بعض الأمثلة على هجمات الهندسة الاجتماعية تشمل:
- جعل المستخدم يفتح مرفقاً ضاراً يحتوي على برمجيات خبيثة.
- انتحال صفحة ويب مزيفة وإقناع المستخدم بإدخال بياناته السرية مثل كلمات المرور.
- الاتصال بالهدف أو زيارته شخصياً والتظاهر بأنه مستخدم شرعي (على سبيل المثال، طلب إعادة تعيين كلمة المرور) أو محاولة الدخول إلى أماكن لا يمكن للمهاجم الوصول إليها عادة (مثل انتحال شخصية مهندس صيانة).
في هذه المرحلة من UKC، يركز المهاجم على استغلال نقاط الضعف أو الثغرات الموجودة في النظام. يتم تعريف "الاستغلال" في UKC على أنه إساءة استخدام الثغرات لأداء تنفيذ الشيفرة. بعض الأمثلة على ذلك تشمل:
- رفع وتنفيذ شل عكسي (Reverse Shell) على تطبيق ويب: حيث يقوم المهاجم بتحميل شيفرة خبيثة على التطبيق تمكنه من الحصول على تحكم كامل عن بعد.
- التدخل في نص تلقائي (Automated Script) على النظام لتنفيذ الشيفرة: يمكن للمهاجم إحداث تغييرات في العمليات الآلية الحالية لتحقيق أهدافه.
- استغلال ثغرة في تطبيق ويب لتنفيذ شيفرة على النظام.
5- Persistence (MITRE Tactic TA0003)
تعتبر هذه المرحلة من UKC قصيرة وبسيطة نسبياً. تحدد هذه المرحلة بالتحديد التقنيات التي يستخدمها المهاجم للحفاظ على الوصول إلى النظام الذي تمكن من الدخول إليه في البداية. بعض الأمثلة على ذلك تشمل:
- إنشاء خدمة على النظام المستهدف: يمكن للمهاجم إنشاء خدمة تتيح له استعادة الوصول إلى النظام في أي وقت.
- إضافة النظام المستهدف إلى خادم القيادة والتحكم (Command & Control): حيث يمكن تنفيذ الأوامر عن بُعد في أي وقت. هذا يمنح المهاجم تحكمًا مستمرًا في النظام.
- ترك أشكال أخرى من الأبواب الخلفية (Backdoors): يتم برمجة هذه الأبواب الخلفية لتنفيذ شيفرة معينة عند حدوث عمل معين على النظام. على سبيل المثال، يمكن أن يتم تنفيذ شل عكسي عندما يقوم أحد مديري النظام بتسجيل الدخول.
تعتبر مرحلة "تجنب الدفاع" واحدة من المراحل الأكثر قيمة في نموذج UKC. تركز هذه المرحلة بشكل خاص على فهم التقنيات التي يستخدمها المهاجم لتفادي الإجراءات الدفاعية التي تم وضعها في النظام أو الشبكة. بعض الأمثلة على ذلك تشمل:
- جدران الحماية لتطبيقات الويب.
- جدران الحماية الشبكية.
- أنظمة مضادات الفيروسات على الجهاز المستهدف.
- أنظمة كشف التسلل.
7-Command & Control (MITRE Tactic TA0011)
مرحلة "التحكم والقيادة" في نموذج UKC تجمع بين الجهود التي بذلها المهاجم خلال مرحلة "التسليح" لتأسيس اتصالات بين المهاجم والنظام المستهدف.
يمكن للمهاجم أن يؤسس السيطرة على النظام المستهدف لتحقيق أهدافه، ومن الأمثلة على ذلك:
- تنفيذ الأوامر: يمكن للمهاجم إرسال أوامر إلى النظام المستهدف لتنفيذ إجراءات معينة، مثل تثبيت برمجيات خبيثة أو جمع معلومات.
- سرقة البيانات: يمكنه الوصول إلى البيانات الحساسة وكلمات المرور والمعلومات الأخرى وسرقتها.
- استخدام الخادم المسيطر للانتقال إلى أنظمة أخرى في الشبكة: يمكن للمهاجم استخدام النظام الذي يتحكم فيه للوصول إلى أنظمة أخرى على الشبكة، والتي قد تحتوي على بيانات قيمة أو تكون أقل أمانًا.
"التدوير" هو أسلوب يستخدمه المهاجمون للوصول إلى أنظمة أخرى ضمن نفس الشبكة والتي قد تكون غير متاحة مباشرة (مثل الأنظمة التي لا تتعرض للإنترنت). في العديد من الشبكات، هناك أنظمة كثيرة لا يمكن الوصول إليها بسهولة، وغالبًا ما تحتوي هذه الأنظمة على معلومات مهمة أو تكون أمانها ضعيف.
6- Phase: Through (Network Propagation)
هذه المرحلة تأتي بعد ما ينجح المهاجم في الدخول إلى الشبكة المستهدفة. بعد ما يكون عنده موطئ قدم، يبدأ يسعى للحصول على وصول وامتيازات أعلى على أنظمة وبيانات أكثر، عشان يحقق أهدافه. يقوم المهاجم بإنشاء نقطة دوران على أحد الأنظمة، تستخدم كنقطة انطلاق لجمع معلومات عن الشبكة الداخلية. من خلال هذه النقطة، يقدر ينفذ هجمات جديدة ويجمع معلومات حساسة، مما يعزز من فرصه في تحقيق أهدافه.
تدوير Pivoting (MITRE Tactic TA0008)
بعد ما يحصل المهاجم على الوصول إلى النظام، يبدأ يستخدمه كنقطة انطلاق أو قاعدة. يعني، يستخدم هذا النظام كحلقة وصل بين العمليات الهجومية الخاصة به والشبكة المستهدفة. النظام هذا يُستخدم كمنصة لتوزيع جميع البرمجيات الخبيثة والأبواب الخلفية في مراحل لاحقة.
استكشاف (MITRE Tactic TA0007) Discovery
في هذه المرحلة، يسعى المهاجم للحصول على معلومات حول النظام والشبكة المتصلة به. هنا، يتم بناء قاعدة معرفية تتضمن حسابات المستخدمين النشطة، والأذونات الممنوحة، والتطبيقات والبرامج المستخدمة، ونشاط متصفح الويب، والملفات، والمجلدات، والمشاركة في الشبكة، وتكوينات النظام. كل هذه المعلومات تفيد المهاجم لفهم البيئة المستهدفة بشكل أفضل.
رفع الامتيازات (MITRE Tactic TA0004) Privilege Escalation
بعد جمع المعلومات، يحاول المهاجم الحصول على صلاحيات أكبر داخل النظام الذي قام بتدويره. يستفيد المهاجم من المعلومات عن الحسابات التي تحتوي على ثغرات أو تكوينات غير صحيحة لرفع وصوله إلى أحد المستويات الأعلى التالية:
- نظام التشغيل (SYSTEM/ROOT).
- المسؤول المحلي (Local Administrator).
- حساب مستخدم مع صلاحيات مشابهة للإدارة.
- حساب مستخدم له وصول أو وظائف محددة.
في هذه المرحلة، يقوم المهاجم بنشر الكود الخبيث باستخدام النظام المدور كمنصة له. يتم نشر برامج خبيثة مثل Trojans، سكريبتات C2، روابط خبيثة، ومهام مجدولة لإنشاء وجود مستمر على النظام والحفاظ على الوصول المستمر.
الوصول إلى بيانات الاعتماد (MITRE Tactic TA0006) Credential Access
بالتعاون مع مرحلة رفع الامتيازات، يحاول المهاجم سرقة أسماء الحسابات وكلمات المرور بطرق متنوعة، مثل تسجيل ضغطات المفاتيح (Keylogging) وعمليات تفريغ بيانات الاعتماد (Credential Dumping). هذا يجعل من الصعب اكتشافهم أثناء الهجوم، لأنهم سيستخدمون بيانات اعتماد مشروعة.
الحركة الجانبية (MITRE Tactic TA0008) Lateral Movement
مع وجود بيانات الاعتماد والصلاحيات المرتفعة، يسعى المهاجم للانتقال عبر الشبكة والقفز إلى أنظمة مستهدفة أخرى لتحقيق أهدافه الرئيسية. كلما كانت التقنية المستخدمة أكثر خفاءً، كانت أفضل.
7- Phase: Out (Action on Objectives)
هذه المرحلة تختتم رحلة هجوم الخصم على بيئة معينة، حيث يحصل على وصول إلى الأصول الحساسة ويمكنه تحقيق أهداف هجومه. عادةً ما تكون هذه الأهداف موجهة نحو التأثير على الثالوث المعروف بالسرية (Confidentiality) والنزاهة (Integrity) والتوفر (Availability)، المعروف بـ CIA.
تكتيكات الهجوم تشمل:
1. جمع المعلومات (MITRE Tactic TA0009 ) Collection: بعد البحث عن الوصول والأصول، يسعى الخصم لجمع البيانات القيمة. هذا يعرض سرية البيانات للخطر ويقود إلى مرحلة التهريب. المصادر تشمل محركات الأقراص، المتصفحات، ملفات الصوت والفيديو، والبريد الإلكتروني.
2. التهريب (MITRE Tactic TA0010) Exfiltration :يسعى الخصم لسرقة البيانات، مستخدمًا التشفير والضغط لتجنب الكشف. القناة وأداة الاتصال (C2) التي تم إعدادها في المراحل السابقة ستكون مفيدة.
3. التأثير (MITRE Tactic TA0040) Impact : إذا كان الهدف هو التأثير على نزاهة وتوفر البيانات، يسعى الخصم لتعديل، تعطيل، أو تدمير الأصول. هذا قد يتضمن إزالة الوصول إلى الحسابات، مسح الأقراص، أو تشفير البيانات باستخدام برامج الفدية.
الأهداف:
مع السيطرة على الأنظمة والشبكة، يسعى المهاجم لتحقيق أهدافه الاستراتيجية. مثلًا، قد يسعى لتشفير الملفات وطلب فدية، أو نشر معلومات خاصة للإضرار بسمعة الشركة.
8- Practical
المرفقات
التعديل الأخير:
