القائمة الرئيسية

الصفحات

تعديل المشاركة

الفيديو #14: كيف تسبب "الألم الحقيقي" للهاكر؟ | شرح Pyramid of Pain #14

 

Task 1 (المقدمة)

🔺 ما هو هرم الألم؟

هو مفهوم ذائع الصيت في عالم الأمن السيبراني، يُستخدم لترتيب "مؤشرات الاختراق" (IoCs) بناءً على مدى الألم أو الصعوبة التي يواجهها المهاجم عندما يقوم المدافعون بحظرها.

🛠️ أين يُستخدم؟

يتم تطبيق هذا المفهوم حالياً في أقوى الحلول الأمنية العالمية لتحسين فاعلية استخبارات التهديدات (CTI)، وعمليات صيد التهديدات (Threat Hunting)، والاستجابة للحوادث، ومن أمثلة هذه الحلول:

  • Cisco Security.
  • SentinelOne.
  • SOCRadar.

🎯 لماذا يجب أن تتعلمه؟

إذا كنت تطمح للعمل كـ:

  1. محلل SOC: لتعرف أي التنبيهات أكثر قيمة.
  2. صائد تهديدات (Threat Hunter): لتركز بحثك على سلوكيات المهاجمين الصعبة.
  3. مستجيب للحوادث (Incident Responder): لتضع خطط احتواء فعالة تدوم طويلاً.

Task 2: Hash Values (Trivial) - قيم الهاش

🔢 ما هي قيمة الهاش؟

وفقاً لشركة مايكروسوفت، قيمة الهاش هي قيمة عددية ذات طول ثابت تحدد البيانات بشكل فريد، وهي نتاج خوارزمية تشفير معينة.

أشهر خوارزميات الهاش:

  • الـ MD5: تنتج قيمة بطول 128 بت. لم تعد تعتبر آمنة تشفيرياً بسبب هجمات "التصادم" (Hash Collision).
  • الـ SHA-1: تنتج قيمة بطول 160 بت (سلسلة من 40 رقماً سداسي عشر). استبعدتها المنظمات الأمنية (NIST) منذ 2011 لضعفها أمام هجمات القوة الغاشمة.
  • الـ SHA-2: وأشهر أنواعها SHA-256 التي تنتج قيمة بطول 256 بت (64 رقماً سداسي عشر). صُممت لتكون بديلاً آمناً لـ SHA-1.

🛡️ كيف يستخدمها محترفو الأمن؟

يستخدم خبراء الأمن قيم الهاش كبصمة فريدة لـ:

  1. تحديد عينات البرمجيات الخبيثة بدقة (Malware Identification).
  2. مشاركة تقارير التهديدات؛ حيث تضع الشركات (مثل The DFIR Report) قيم الهاش في نهاية تقاريرها كدليل (IOC) للمحققين الآخرين.

أدوات البحث عن الهاش (Hash Lookup Tools):

يمكنك ببساطة نسخ الهاش والبحث عنه في مواقع عالمية لتعرف ما إذا كان الملف خبيثاً أم لا:

  • VirusTotal: يعرض لك نتيجة فحص الملف من عشرات المحركات الأمنية.
    ☝️ نلاحظ هنا أن 14 محركاً أمنياً صنفوا هذا الهاش كملف خبيث (Trojan/Generic).
  • MetaDefender Cloud: أداة أخرى قوية من شركة OPSWAT للبحث عن التهديدات.

⚠️ لماذا هي "تافهة" (Trivial) في هرم الألم؟

رغم دقة الهاش في تحديد الملف، إلا أنه أضعف وسيلة دفاعية ضد مهاجم ذكي.

  • السبب: تغيير بت واحد فقط في ملف خبيث (مثل إضافة مسافة أو حرف تافه في نهاية الملف) سيؤدي لإنتاج قيمة هاش مختلفة تماماً.
  • مثال عملي: المهاجم يمكنه استخدام أمر بسيط مثل echo لإضافة نص في نهاية ملفه الخبيث، وبذلك يهرب من جميع أنظمة الحماية التي تبحث عن الهاش القديم.
📝 خلاصة: الاعتماد على الهاش فقط في "صيد التهديدات" (Threat Hunting) أمر صعب جداً، لأن المهاجم يمكنه صنع آلاف النسخ من نفس الملف بهاشات مختلفة بضغطة زر واحدة.

Task 3: IP Address (Easy) - عناوين الـ IP

🌐 ما هو عنوان الـ IP في هذا السياق؟

عنوان الـ IP يُستخدم لتحديد أي جهاز متصل بالشبكة، سواء كان حاسوباً، خادماً، أو حتى كاميرات مراقبة. نحن نعتمد عليه لإرسال واستقبال المعلومات عبر الشبكة.

🛡️ لماذا يعتبر مستوى "سهلاً" (Easy)؟

من وجهة نظر دفاعية، معرفة عناوين الـ IP التي يستخدمها المهاجم هي معلومة قيمة جداً:

  • التكتيك الدفاعي: هو ببساطة حظر (Block) أو إسقاط (Drop) الطلبات الواردة من هذه العناوين عبر جدار الحماية (Firewall).
  • لماذا هو "سهل" للمهاجم؟: لأن المهاجم المتمرس يمكنه ببساطة تغيير عنوان الـ IP العام الخاص به واستعادة قدرته على الهجوم في وقت قصير جداً.

يمكنك رؤية كيف يتم تتبع اتصالات الـ IP المشبوهة في أدوات مثل any.run في الصورة أدناه:

☝️ شرح الصورة: تعرض هذه اللوحة الاتصالات الصادرة من ملف مشبوه، وتوضح بروتوكول الاتصال (TCP)، واسم العملية، وعنوان الـ IP المستهدف مع دولته.

🏎️ تقنية "التدفق السريع" (Fast Flux)

لجعل عملية الحظر صعبة على المحللين الأمنيين، يستخدم المهاجمون تقنيات متطورة مثل Fast Flux.

  • التعريف: هي تقنية DNS تستخدمها شبكات البوتنت (Botnets) لإخفاء أنشطة التصيد، وتوزيع البرمجيات الخبيثة، والتواصل مع خادم التحكم (C&C).
  • الهدف: إخفاء الاتصال بين البرمجية الخبيثة وخادم التحكم الخاص بها ليصعب اكتشافه.
  • كيف تعمل؟: يتم ربط اسم نطاق (Domain Name) واحد بمجموعة كبيرة من عناوين الـ IP التي تتغير باستمرار وبسرعة كبيرة.

Task 4: Domain Names (Simple) - أسماء النطاقات

🌐 ما هو اسم النطاق؟

هو ببساطة نص مقروء يتم تعيينه لعنوان IP ليسهل حفظه (مثل evilcorp.com).

  • لماذا هو أصعب للمهاجم؟: لأنه يحتاج إلى شراء النطاق، وتسجيله، وتعديل سجلات DNS الخاصة به.
  • تحدي المدافعين: للأسف، العديد من مزودي خدمة DNS لديهم معايير مرنة ويوفرون واجهات برمجة تطبيقات (APIs) تجعل من السهل على المهاجم تغيير النطاق بسرعة.

🎭 هجمات Punycode (التمويه بالحروف)

يستخدم المهاجمون تقنية تسمى Punycode لتحويل الكلمات التي لا يمكن كتابتها بتنسيق ASCII إلى ترميز Unicode ASCII.

قارن بين هذين الموقعين:

  1. موقع خبيث: adıdas.de
  2. موقع شرعي: adidas.de
💡 ملاحظة: المتصفحات الحديثة أصبحت قوية الآن في ترجمة هذه الحروف المموهة وإظهار اسم النطاق الحقيقي للمستخدم لتنبيهه.

🔗 مخفي الروابط (URL Shorteners)

يخفي المهاجمون نطاقاتهم الخبيثة خلف خدمات تقصير الروابط (مثل bit.ly أو goo.gl) لخداع المستخدمين.

🛠️ خدعة الـ (+): لرؤية الرابط الحقيقي الذي سيوجهك إليه الرابط المختصر دون الضغط عليه، ببساطة أضف علامة "+" في نهاية الرابط في شريط العنوان.

☝️ شرح الصورة: توضح الأمثلة كيف يمكنك إضافة "+" لنهاية الروابط المختصرة لكشف الوجهة الحقيقية.

🔍 تحليل الشبكة في Any.run

عند تحليل ملف مشبوه في Any.run، يمكنك فحص تبويب Networking لمراقبة الاتصالات:

  • الـ HTTP Requests: تعرض الموارد التي يحاول الفيروس تحميلها من الإنترنت.
  • الـ Connections: تعرض أي تواصل مباشر بين العمليات وجهاز آخر (مثل رفع أو تحميل ملفات).
  • الـ DNS Requests: تعرض الطلبات التي يقوم بها الفيروس للتحقق من وجود اتصال بالإنترنت.

Task 5: Host Artifacts (Annoying) - مخلفات الجهاز المضيف

🟨 لماذا هو مستوى "مزعج"؟

عندما يتمكن المحللون الأمنيون من كشف الهجوم في هذا المستوى، يشعر المهاجم بالإحباط والانزعاج الشديد:

  • تغيير المنهجية: يضطر المهاجم للعودة إلى نقطة الصفر لتغيير أدواته الهجومية ومنهجيات العمل الخاصة به.
  • استهلاك الموارد: هذه العملية تستهلك الكثير من الوقت والجهد والمال من قبل المهاجم لإعادة بناء أدوات قادرة على التخفي مرة أخرى.

🔍 ما هي الـ Host Artifacts؟

هي الآثار أو الأدلة التي يتركها المهاجمون خلفهم داخل النظام المستهدف، ومن أمثلتها:

  • قيم سجل النظام (Registry Values) المشبوهة.
  • تشغيل عمليات (Processes) غير معتادة.
  • أنماط الهجوم أو مؤشرات الاختراق (IOCs).
  • الملفات التي تسقطها (Drop) البرمجيات الخبيثة.

إليك أمثلة عملية من الصور المرفقة في المهمة:

1️⃣ تنفيذ عمليات مشبوهة (Suspicious Process Execution)

غالباً ما تبدأ الهجمات بملف وورد (Word) يحتوي على ماكرو خبيث، والذي بدوره يقوم بتشغيل عمليات أخرى غير منطقية.

☝️ شرح الصورة: نلاحظ هنا عملية WINWORD.EXE وهي مرتبطة بعمليات أخرى مشبوهة، وهذا نمط كلاسيكي لهجمات التصيد.

2️⃣ أحداث مشبوهة عند فتح تطبيقات خبيثة

عند تشغيل تطبيق خبيث، تظهر قائمة بالعمليات والهاشات الخاصة بها في النظام.

☝️ شرح الصورة: تعرض هذه اللوحة قائمة بعمليات مثل POWersheLL.exe بمسارات غير معتادة، مع عرض قيم الـ MD5 والـ SHA256 الخاصة بها لتسهيل تتبعها.

3️⃣ تعديل أو إسقاط الملفات (Files Modified/Dropped)

البرمجيات الخبيثة تحتاج لكتابة ملفات على القرص لتثبيت نفسها أو تحميل أدوات إضافية.

☝️ شرح الصورة: يوضح هذا السجل عمليات WriteFile التي قامت بها أداة POWersheLL.exe لإنشاء ملفات جديدة في مجلدات المستخدم، وهي علامة قوية على نشاط خبيث.

Task 6: Network Artifacts (Annoying) - مخلفات الشبكة

⛓️ ما هي مخلفات الشبكة؟

هي أي أثر يتركه المهاجم أثناء تواصله عبر الشبكة، مثل:

  • سلسلة User-Agent (وكيل المستخدم).
  • معلومات خادم التحكم (C2 information).
  • أنماط الروابط (URI patterns) المتبوعة بطلبات HTTP POST.

سلسلة User-Agent

تُعرف حسب المعيار RFC2616 بأنها حقل في ترويسة الطلب (Request-header) يحتوي على معلومات حول الجهاز أو البرنامج الذي أرسل الطلب. قد يستخدم المهاجم User-Agent غريب أو غير معتاد في بيئتك.

🔍 كيف نكتشف هذه المخلفات؟

يمكن رصد هذه الآثار في ملفات الـ PCAP (التي تحتوي على بيانات حزم الشبكة) باستخدام:

  1. برامج تحليل الشبكة: مثل Wireshark أو أداة السطر البرمجي TShark.
  2. أنظمة كشف التسلل (IDS): مثل Snort.

إليك مثال على طلبات HTTP POST تحتوي على سلاسل نصية مشبوهة وخصائص روابط (URIs) طويلة وغير منطقية:

☝️ شرح الصورة: تظهر هنا طلبات POST متجهة لعناوين IP مختلفة بمسارات (URLs) عشوائية وطويلة جداً، وهي علامة قوية على تواصل برمجية خبيثة مع خادمها.

🛠️ استخدام TShark للتحليل

يمكننا استخدام أداة TShark لاستخراج سلاسل الـ User-Agent من ملفات الحزم عبر هذا الأمر:

tshark --Y http.request -T fields -e http.host -e http.user_agent -r analysis_file.pcap

عند تنفيذ الأمر، قد تظهر نتائج مثل هذه:

☝️ شرح الصورة: تعرض مخرجات الأداة سلاسل User-Agent شائعة جداً مرتبطة بتروجان Emotet Downloader.

Task 7: Tools (Challenging) - الأدوات

🛠️ لماذا يعتبر هذا المستوى "تحدياً" للمهاجم؟

عندما تصل قدراتك الدفاعية إلى كشف الأدوات التي يستخدمها المهاجم، فإنك تضعه في مأزق حقيقي:

  • الاستسلام أو البدء من جديد: غالباً ما يتخلى المهاجم عن محاولة اختراق شبكتك أو يضطر للعودة لإنشاء أداة جديدة تماماً تخدم نفس الغرض.
  • استثمار الموارد: يتطلب بناء أداة جديدة استثماراً مالياً كبيراً، أو وقتاً طويلاً للبحث عن أداة بديلة بنفس القوة، أو حتى الحصول على تدريب إضافي لإتقان أداة جديدة.

🦠 أمثلة على الأدوات التي يستخدمها المهاجمون

يستخدم المهاجمون مرافق (Utilities) متنوعة لتنفيذ هجماتهم، مثل:

  • مستندات الماكرو الخبيثة (Maldocs) لهجمات التصيد الموجه (Spearphishing).
  • الأبواب الخلفية (Backdoors) لإنشاء بنية تحتية للتحكم والسيطرة (C2).
  • ملفات تنفيذية (.EXE) أو مكتبات (.DLL) مخصصة، وحمولات خبيثة (Payloads)، أو برامج كسر كلمات المرور.

إليك مثال على تروجان قام بإسقاط ملف مشبوه باسم "Stealer.exe" في مجلد الملفات المؤقتة (Temp):

☝️ شرح الصورة: يوضح المتصفح داخل المجلد الملف المشبوه Stealer.exe الذي تم إنشاؤه في مسار الـ Temp الخاص بالمستخدم.

وعند محاولة تشغيل هذا الملف التنفيذي المشبوه:

🛡️ أسلحتك الدفاعية في هذا المستوى

لكي تكون فعالاً ضد أدوات المهاجمين، يمكنك استخدام:

  1. قواعد الكشف (Detection Rules): مثل توقيعات الأنتي فيروس وقواعد YARA.
  2. المنصات التعليمية والمشاركة: توفر مواقع مثل MalwareBazaar و Malshare عينات من البرمجيات الخبيثة ونتائج قواعد YARA التي تساعد في "صيد التهديدات".
  3. الـ SOC Prime: منصة رائعة لمشاركة قواعد الكشف عن أحدث الثغرات (CVEs) التي يستغلها المهاجمون.

🧬 الهاش الضبابي (Fuzzy Hashing)

يعتبر سلاحاً قوياً جداً ضد أدوات المهاجمين. يساعدك الـ Fuzzy Hashing (مثل استخدام أداة SSDeep) على إجراء تحليل التشابه؛ أي مطابقة ملفين بينهما اختلافات طفيفة بناءً على قيم الهاش الضبابي.

إليك مثال لقيمة SSDeep كما تظهر في موقع VirusTotal:

☝️ شرح الصورة: يظهر الحقل SSDeep وهو يعرض سلسلة طويلة من البيانات التي تمثل "بصمة تشابه" للملف، مما يسمح للمحللين بربط هذا الملف بملفات خبيثة أخرى مشابهة له برمجياً.

Task 8: TTPs (Tough) - التكتيكات والتقنيات والإجراءات

🎯 ما هي الـ TTPs؟

يرمز الاختصار إلى Tactics, Techniques & Procedures.

  • Tactics (التكتيكات): الهدف العالي للمهاجم (مثلاً: الوصول الأولي، أو سرقة البيانات).
  • Techniques (التقنيات): كيف يحقق الهدف؟ (مثلاً: استخدام التصيد الاحتيالي).
  • Procedures (الإجراءات): الخطوات المحددة التي يتبعها (مثلاً: إرسال إيميل يحتوي على رابط معين في وقت محدد).

هذا المستوى يشمل مصفوفة MITRE ATT&CK بالكامل، والتي تغطي كل خطوة يتخذها الخصم، بدءاً من محاولات التصيد وصولاً إلى ضمان البقاء في النظام (Persistence) وتسريب البيانات (Exfiltration).

🛡️ لماذا يسبب هذا المستوى "ألماً" لا يُحتمل للمهاجم؟

إذا تمكنت من كشف الاستراتيجية والسلوك الذي يتبعه المهاجم، فإنك لا تترك له أي فرصة تقريباً للمقاومة.

مثال عملي: هجوم Pass-the-Hash

  • السيناريو: إذا قمت بمراقبة سجلات أحداث ويندوز (Windows Event Log) وكشفت محاولة هجوم Pass-the-Hash.
  • النتيجة: ستتمكن من العثور على الجهاز المخترق بسرعة فائقة وإيقاف الحركة الجانبية (Lateral Movement) داخل شبكتك فوراً.

🏳️ خيارات المهاجم عند كشف سلوكه

عندما تحرق "أسلوبه في العمل"، يجد المهاجم نفسه أمام خيارين أحلاهما مر:

  1. العودة للصفر: القيام بمزيد من الأبحاث والتدريب، وإعادة تهيئة أدواته المخصصة بالكامل.
  2. الاستسلام: البحث عن هدف آخر أسهل.
💡 الحقيقة: الخيار الثاني (الاستسلام) هو الأرجح دائماً، لأنه الأقل استهلاكاً للوقت والموارد.

أخر المواضيع من قسم : SOC L1