القائمة الرئيسية

الصفحات

تعديل المشاركة

الفيديو #15: كيف تكسر خطة الهاكر؟ مراحل الـ Cyber Kill Chain | شرح Cyber Kill Chain #15

 

Cyber Kill Chain: Task 1 (المقدمة)

⚔️ ما هو أصل مصطلح Kill Chain؟

المصطلح في الأصل هو مفهوم عسكري يتعلق بهيكلية الهجوم، ويتكون من: تحديد الهدف، اتخاذ القرار والأمر بمهاجمته، وأخيراً تدمير الهدف.

🛡️ إطار العمل السيبراني

بفضل شركة Lockheed Martin، تم تأسيس إطار عمل Cyber Kill Chain® لصناعة الأمن السيبراني في عام 2011 بناءً على المفهوم العسكري.

  • الهدف: تعريف الخطوات التي يستخدمها المهاجمون في الفضاء السيبراني.
  • قاعدة النجاح: لكي ينجح المهاجم، يجب عليه اجتياز جميع مراحل سلسلة القتل بالترتيب.

🎯 لماذا من المهم فهم سلسلة القتل؟

فهم هذا الإطار يساعدك كـ (محلل SOC، أو صائد تهديدات، أو مستجيب للحوادث) على:

  1. الحماية: الحماية من هجمات الفدية (Ransomware)، والخرقات الأمنية، والتهديدات المتقدمة المستمرة (APTs).
  2. التقييم: تقييم أمن شبكتك وتحديد الضوابط الأمنية المفقودة وسد الثغرات بناءً على بنية شركتك.
  3. التعرف: التعرف على محاولات التسلل وفهم أهداف المهاجم وغاياته.

🧱 المراحل السبع التي سنستكشفها

سوف نغوص في كل مرحلة من مراحل الهجوم التالية:

  1. Reconnaissance (الاستطلاع)
  2. Weaponization (التسليح)
  3. Delivery (التسليم)
  4. Exploitation (الاستغلال)
  5. Installation (التثبيت)
  6. Command & Control (التحكم والسيطرة)
  7. Actions on Objectives (التنفيذ على الأهداف)

Task 2: Reconnaissance (الاستطلاع)

🧐 ما هي مرحلة الاستطلاع؟

هي مرحلة البحث والتخطيط للهجوم ضد نظام أو ضحية. يستخدم المهاجمون هذه المرحلة لجمع أكبر قدر من المعلومات لتحديد خطواتهم التالية.

  • المعلومات المستهدفة: تفاصيل البنية التحتية، بيانات الموظفين، العمليات التجارية، والتقنيات المكشوفة للإنترنت.
  • الأهمية: الاستطلاع الضعيف يؤدي لهجمات عشوائية فاشلة، بينما الاستطلاع الجيد يساعد المهاجم في إنشاء هجمات دقيقة ومقنعة تزيد فرص نجاحه.
  • السرية: غالباً ما تكون هذه المرحلة سلبية وغير مكتشفة من قبل الضحية.

🌐 استخبارات المصادر المفتوحة (OSINT)

تعتبر الـ OSINT كنزاً للمهاجمين، وهي جمع المعلومات من المصادر المتاحة علنًا للجمهور. وتشمل هذه المصادر:

  • محركات البحث (مثل Google و Bing).
  • وسائل الإعلام المطبوعة وعبر الإنترنت.
  • حسابات التواصل الاجتماعي (LinkedIn هو المفضل لجمع بيانات الموظفين).
  • المنتديات والمدونات العامة.
  • سجلات WHOIS والبيانات الفنية للنطاقات.

🛠️ أنواع الاستطلاع (Reconnaissance Types)

ينقسم الاستطلاع إلى نوعين رئيسيين بناءً على كيفية التفاعل مع الهدف:

النوع الوصف أمثلة
استطلاع سلبي (Passive) لا يوجد تفاعل مباشر مع الهدف. البحث في وسائل التواصل، مراجعة بيانات الاختراقات المسربة.
استطلاع نشط (Active) تفاعل مباشر مع أنظمة الهدف. فحص المنافذ (Port Scanning)، الهندسة الاجتماعية، فحص الخدمات المفتوحة.

📧 جمع رسائل البريد الإلكتروني (Email Harvesting)

هذه العملية تهدف للحصول على عناوين البريد الإلكتروني من الخدمات العامة أو المدفوعة. يستخدم المهاجم هذه العناوين لاحقاً في هجمات التصيد (Phishing) لسرقة البيانات الحساسة أو بيانات الاعتماد.

أبرز أدوات الاستطلاع:

  1. أداة the Harvester: أداة قوية لجمع رسائل البريد، والأسماء، والنطاقات الفرعية، وعناوين IP من مصادر عامة متعددة.
  2. أداة Hunter.io: أداة متخصصة في البحث عن رسائل البريد الإلكتروني المرتبطة بنطاق (Domain) معين.
  3. أداة OSINT Framework: موقع يجمع كمية ضخمة من أدوات الاستطلاع مقسمة حسب الفئات.

المرحلة الثالثة: التسليح (Weaponization)

في هذه المرحلة، يعمل المهاجم على دمج البرمجيات الخبيثة (Malware) والاستغلالات (Exploits) داخل حمولة (Payload) جاهزة للتنفيذ.

🛠️ كيف يحصل المهاجمون على أسلحتهم؟

تختلف الطرق حسب مهارة المهاجم وميزانيته:

  • الأدوات الآلية: استخدام برامج تولد البرمجيات الخبيثة تلقائياً.
  • الويب المظلم (DarkWeb): شراء برمجيات جاهزة من متاجر غير قانونية.
  • التطوير المخصص: تقوم المجموعات المتقدمة (مثل APTs) بكتابة برمجياتها الخاصة لتكون فريدة وتتجنب كشفها من قبل برامج الحماية.
في سيناريو "Megatron"، اختار شراء حمولة جاهزة من الويب المظلم ليوفر وقته للمراحل القادمة.

📚 مصطلحات أساسية يجب معرفتها

قبل إكمال السيناريو، لنعرف الفرق بين هذه الأدوات الثلاث:

المصطلح التعريف
البرمجيات الخبيثة (Malware) برامج مصممة لإلحاق الضرر أو تعطيل أو الوصول غير المصرح به للنظام.
الاستغلال (Exploit) كود برمجي يستغل ثغرة أو خطأ في تطبيق أو نظام معين.
الحمولة (Payload) الكود الخبيث الفعلي الذي ينفذه المهاجم على جهاز الضحية.

🎯 تكتيكات مرحلة التسليح

يمكن للمهاجم اعتماد عدة أساليب لتجهيز سلاحه:

  • مستندات Office مفخخة: إنشاء ملفات Word أو Excel تحتوي على وحدات ماكرو (Macros) خبيثة أو سكربتات VBA.
  • وحدات USB ملغومة: وضع دودة حاسوبية أو حمولة خبيثة على فلاشات USB وتوزيعها في أماكن عامة.
  • إنشاء بنية C2: تجهيز بنية "التحكم والسيطرة" (Command and Control) لإرسال الأوامر لجهاز الضحية لاحقاً.
  • الأبواب الخلفية (Backdoors): تجهيز برمجية توفر وصولاً دائماً للنظام وتتجاوز آليات الحماية.
  • قوالب التصيد: تصميم صفحات إيميل أو تطبيقات (OAuth) تبدو شرعية لخدع الضحية.

المرحلة الرابعة: التسليم (Delivery)

في هذه المرحلة، يختار المهاجم الطريقة الأمثل لنقل الحمولة الخبيثة أو البرمجيات الضارة إلى البيئة المستهدفة.

إليك أبرز الطرق التي يمكن لـ "Megatron" استخدامها لتنفيذ عملية التسليم:

1. البريد الإلكتروني الاحتيالي (Phishing Email) 📧

  • التكتيك: صياغة رسالة بريد إلكتروني خبيثة تستهدف أشخاصاً محددين.
  • الأنواع:
    • التصيد الموجه (Spear Phishing): يستهدف شخصاً واحداً بعينه بناءً على معلومات دقيقة.
    • التصيد العام: يستهدف مجموعة كبيرة من الموظفين في الشركة.
  • المحتوى: تحتوي الرسالة على رابط خبيث أو مرفق ملغم يؤدي إلى اختراق الجهاز بمجرد الضغط عليه.

2. إلقاء وحدات التخزين (USB Drops) 💾

  • التكتيك: استخدام وسط مادي لتوصيل البرمجيات الخبيثة في الأماكن العامة مثل المقاهي، مواقف السيارات، أو الشوارع.
  • أسلوب متطور: قد يقوم المهاجم بطباعة شعار الشركة على وحدات الـ USB وإرسالها بالبريد إلى الموظفين، مدعياً أنه عميل يرسل هدايا للشركة ليخدعهم ويجعلهم يثقون في الجهاز.

3. هجوم "حفرة المياه" (Watering Hole Attack) 💧

  • التكتيك: استهداف مجموعة معينة من الأشخاص عبر اختراق الموقع الإلكتروني الذي اعتادوا زيارته باستمرار.
  • الآلية:
    • يتم توجيه الزوار إلى موقع خبيث أنشأه المهاجم.
    • يقوم الضحايا بتحميل البرمجيات الخبيثة دون قصد (تنزيل عابر أو Drive-by download).
  • مثال: ظهور نافذة منبثقة (Pop-up) تطلب من المستخدم تحميل إضافة "وهمية" للمتصفح.

المرحلة الخامسة: الاستغلال (Exploitation)

الاستغلال هو اللحظة التي يتم فيها تنفيذ كود المهاجم على الجهاز المستهدف. يتم ذلك عبر الاستفادة من ثغرة أمنية معروفة في النظام أو التطبيقات.

🛠️ تقنيات الاستغلال الرئيسية

يمكن لـ "Megatron" اختيار عدة طرق للوصول إلى النظام:

  • تنفيذ الماكرو الخبيث (Malicious Macro): يتم ذلك عادةً عبر رسالة تصيد؛ حيث يؤدي فتح الضحية للمستند إلى تنفيذ برمجية فدية (Ransomware).
  • ثغرات اليوم الصفر (Zero-day Exploits): استغلال عيوب غير معروفة للمطورين ولم يتم إصدار تحديثات لها بعد، مما يجعل اكتشافها في البداية شبه مستحيل.
  • ثغرات CVE المعروفة: استغلال الثغرات العامة المنشورة التي لم يقم المسؤولون في بيئة الهدف بتثبيت التحديثات الأمنية (Patches) الخاصة بها حتى الآن.

🧗 ما بعد الدخول: رفع الامتيازات والتحرك الجانبي

بمجرد اكتساب المهاجم وصولاً أولياً للنظام، فإنه لا يتوقف عند ذلك الحد:

  1. رفع الامتيازات (Privilege Escalation): استغلال ثغرات في البرامج أو الخوادم للحصول على صلاحيات "مسؤول" (Admin/Root).
  2. التحرك الجانبي (Lateral Movement): التنقل عبر الشبكة من جهاز إلى آخر للوصول إلى أهداف أكثر قيمة.

🔍 علامات الاستغلال (ماذا يراقب محلل الSOC؟)

يجب على المحلل الأمني البحث عن المؤشرات التالية لكشف وقوع عملية استغلال:

  • ظهور عمليات (Processes) غير متوقعة في النظام.
  • تغييرات في سجل النظام (Registry) أو إنشاء خدمات (Services) جديدة بشكل مريب.
  • وسطاء أوامر (Command-line arguments) مشبوهة تظهر في سجلات النظام.

المرحلة السادسة: التثبيت (Installation)

الهدف الرئيسي في هذه المرحلة هو تثبيت باب خلفي مستمر (Persistent Backdoor)، وهو نقطة وصول تسمح للمهاجم بالعودة إلى النظام المخترق في أي وقت مستقبلاً، حتى بعد إعادة تشغيل الجهاز أو سد الثغرة الأصلية.

🛠️ طرق تحقيق البقاء (Persistence Techniques)

يستخدم المهاجمون عدة أساليب لضمان استمرار وصولهم إلى النظام:

  • تثبيت واجهة ويب (Web Shell): هي سكربتات خبيثة بلغات برمجة مثل (ASP, PHP, JSP) يتم زرعها في خادم الويب. نظراً لبساطتها وتنسيقاتها المألوفة، قد يصعب اكتشافها وتُصنف أحياناً كملفات سليمة.
  • زرع الأبواب الخلفية (Backdoors): استخدام أدوات مثل Meterpreter (حمولة ضمن إطار عمل Metasploit) لتوفير واجهة تفاعلية (Shell) تسمح للمهاجم بالتحكم عن بُعد وتنفيذ الأكواد.
  • إنشاء أو تعديل خدمات ويندوز (Windows Services): تُعرف هذه التقنية بـ T1543.003 في مصفوفة MITRE ATT&CK. يقوم المهاجم بإنشاء خدمة جديدة أو تعديل خدمة قائمة لتنفيذ السكربتات الخبيثة بشكل دوري.
    • يستخدم المهاجم أدوات مثل sc.exe لإنشاء أو حذف الخدمات، أو أداة Reg لتعديل إعداداتها.
    • قد يلجأ المهاجم إلى "التنكر" (Masquerading) عبر تسمية الخدمة بأسماء توحي بأنها جزء من نظام التشغيل أو برامج موثوقة.
  • مفاتيح التشغيل التلقائي (Registry Run Keys) ومجلد البدء (Startup Folder): إضافة مدخلات في سجل النظام (Registry) أو وضع الملف في مجلد البدء ليتم تنفيذه تلقائياً في كل مرة يسجل فيها المستخدم دخوله. توجد هذه المجلدات للحسابات الفردية وللنظام ككل.

🕵️ التخفي من التحقيق الجنائي (Anti-Forensics)

يلجأ المهاجم في هذه المرحلة لتقنية تسمى Timestomping لتجنب اكتشافه من قبل المحققين الجنائيين:

  • تسمح هذه التقنية للمهاجم بتعديل الطوابع الزمنية للملفات (تاريخ الإنشاء، التعديل، الوصول).
  • الهدف هو جعل البرمجية الخبيثة تبدو وكأنها جزء قديم وشرعي من برامج النظام الأصلية.

المرحلة السابعة: التحكم والسيطرة (Command & Control)

بمجرد تنفيذ البرمجية الخبيثة وتأمين البقاء، يفتح المهاجم قناة C2 للتحكم في الضحية والتلاعب بها عن بُعد. يُعرف هذا المصطلح أيضاً باسم C&C أو C2 Beaconing.

ما هو الـ Beaconing؟

  • يُقصد به التواصل المستمر والمتكرر بين الجهاز المصاب وخادم الـ C2 الخاص بالمهاجم.
  • سُمي بهذا الاسم (Beaconing) لأن الجهاز المصاب يرسل "إشارات" منتظمة للخادم ليخبره بأنه جاهز لتلقي الأوامر.
  • بمجرد استقرار هذا الاتصال، يمتلك المهاجم سيطرة كاملة على جهاز الضحية.

تطور قنوات الاتصال

في الماضي، كان المهاجمون يستخدمون بروتوكول IRC (Internet Relay Chat) كقناة تقليدية للتحكم، ولكن الحلول الأمنية الحديثة أصبحت تكتشف هذا النوع من حركة المرور بسهولة. لذا، انتقل المهاجمون لقنوات أكثر ذكاءً:

  • بروتوكولات HTTP و HTTPS:
    • يتم استخدام المنفذ 80 (HTTP) والمنفذ 443 (HTTPS).
    • الميزة: يختلط هذا الاتصال الخبيث مع حركة مرور الويب الطبيعية والشرعية، مما يساعد المهاجم على تجاوز جدران الحماية (Firewalls) دون إثارة الشكوك.
  • بروتوكول DNS (نظام أسماء النطاقات):
    • يقوم الجهاز المصاب بإرسال طلبات DNS مستمرة إلى خادم يملكه المهاجم.
    • تُعرف هذه الطريقة باسم DNS Tunneling (نفق DNS).

من يملك البنية التحتية للـ C2؟

ليس بالضرورة أن يكون المهاجم هو المالك المباشر للخادم؛ فقد يكون خادم الـ C2 ملكاً للمهاجم نفسه، أو قد يكون جهازاً آخر مخترقاً يستخدمه المهاجم كجسر للتحكم في ضحايا جدد.

المرحلة الثامنة: التنفيذ على الأهداف (Actions on Objectives)

بمجرد استقرار المهاجم داخل النظام وامتلاكه وصولاً مباشراً (Hands-on keyboard access)، يمكنه القيام بمجموعة من الأنشطة التخريبية لتحقيق غاياته النهائية:

🎯 ماذا يفعل المهاجم في هذه المرحلة؟

  • جمع بيانات الاعتماد (Credentials): سرقة أسماء المستخدمين وكلمات المرور الخاصة بالموظفين.
  • رفع الامتيازات (Privilege Escalation): محاولة الحصول على صلاحيات عالية (مثل صلاحيات "مدير النطاق" - Domain Administrator) عبر استغلال الأخطاء في الإعدادات.
  • الاستطلاع الداخلي (Internal Reconnaissance): فحص البرمجيات والأنظمة الداخلية للشركة لاكتشاف ثغرات جديدة فيها.
  • التحرك الجانبي (Lateral Movement): التنقل بين أجهزة الشركة المختلفة للوصول إلى الخوادم الحساسة.
  • سرقة البيانات (Data Exfiltration): جمع وتسريب البيانات الحساسة والسرية خارج الشركة.
  • تدمير النسخ الاحتياطية: حذف النسخ الاحتياطية ونسخ الظل (Shadow Copies)، وهي تقنية من مايكروسوفت لإنشاء لقطات فورية للملفات.
  • تخريب البيانات: الكتابة فوق البيانات أو إتلافها لجعلها غير قابلة للاستخدام.

Task 9: Practice Analysis (تحليل عملي لاختراق Target)

لبناء "سلسلة القتل" لهذا السيناريو بنجاح، يجب وضع كل تقنية في مرحلتها الصحيحة كالتالي:

المرحلة (Phase) العنصر المناسب (Item) التبرير المنطقي
1. Reconnaissance (لا يوجد عنصر في القائمة) البحث عن معلومات الموظفين والموردين.
2. Weaponization (لا يوجد عنصر في القائمة) تجهيز البرمجية الخبيثة وتشفيرها.
3. Delivery (التسليم) spearphishing attachment المهاجم أرسل بريداً إلكترونياً بملف ملغم لأحد الموردين.
4. Exploitation (الاستغلال) exploit public-facing application استغلال ثغرة في تطبيق متاح للإنترنت للوصول إلى الشبكة الداخلية.
5. Installation (التثبيت) powershell أو dynamic linker hijacking استخدام أدوات النظام (PowerShell) لزرع الأكواد وضمان البقاء (Persistence).
6. Command & Control fallback channels إنشاء قنوات اتصال احتياطية للتواصل مع المهاجم في حال تم حظر القناة الرئيسية.
7. Actions on Objectives data from local system الوصول للهدف النهائي وهو سحب بيانات 40 مليون بطاقة ائتمان من الأجهزة المحلية.

💡 نصائح لإتمام المعمل:

  1. التركيز على الهدف: تذكر أن مرحلة Actions on Objectives دائماً ما تتعلق بالبيانات (Data) أو التخريب النهائي.
  2. التثبيت (Installation): أي أداة تساعد المهاجم على تنفيذ أوامره بشكل دائم أو خفي داخل النظام (مثل PowerShell أو تلاعب المكتبات) توضع هنا.
  3. الاستغلال (Exploitation): ابحث عن الكلمة المفتاحية "Exploit" أو "Vulnerability" لوضعها في هذا القسم.

Task 10: Conclusion (الخلاصة والنقد)

⚠️ هل سلسلة القتل التقليدية كافية وحدها؟

الإجابة المختصرة هي لا. إليك الأسباب التي تجعل الاعتماد عليها وحدها مخاطرة أمنية:

  1. غياب التحديثات: لم يتم تعديل نموذج Lockheed Martin التقليدي منذ تأسيسه في عام 2011. هذا الانقطاع عن التحديث خلق فجوات أمنية لأن التهديدات تطورت بشكل مذهل منذ ذلك الحين.
  2. التركيز المحدود: صُمم النموذج التقليدي أساساً لتأمين محيط الشبكة والحماية من تهديدات البرمجيات الخبيثة (Malware) فقط.
  3. تطور المهاجمين: يجمع المهاجمون اليوم بين تكتيكات وتقنيات وإجراءات (TTPs) متعددة ومعقدة لتحقيق أهدافهم. كما أنهم قادرون على خداع أنظمة "استخبارات التهديدات" عبر تغيير قيم الهاش وعناوين IP باستمرار.

🕵️ الثغرة الكبرى: التهديدات الداخلية (Insider Threats)

بما أن التركيز الأساسي لسلسلة القتل هو كيفية "دخول" المهاجم عبر الشبكة وتوصيل البرمجيات الخبيثة، فإنها تفشل في التعرف على التهديدات الداخلية.

تعريف التهديد الداخلي (حسب CISA): هو احتمال قيام شخص من داخل المنظمة باستخدام وصوله المصرح به أو فهمه للمنظمة لإلحاق الضرر بها.

🛠️ التوصيات: المنهج الشامل للدفاع

للحصول على رؤية دفاعية متكاملة، لا يجب الاكتفاء بسلسلة القتل التقليدية، بل يوصى بدمجها مع أطر عمل أخرى:

إطار العمل الفائدة الرئيسية
Cyber Kill Chain فهم المراحل العامة للهجوم الخارجي.
MITRE ATT&CK قاعدة معرفية ضخمة للتكتيكات والتقنيات بناءً على سيناريوهات حقيقية.
Unified Kill Chain نهج أكثر شمولاً يجمع بين مزايا الأطر المختلفة.

أخر المواضيع من قسم : SOC L1