القائمة الرئيسية

الصفحات

تعديل المشاركة

الفيديو #16: الخارطة الشاملة لـ 18 مرحلة اختراق! | شرح Unified Kill Chain #16

 

Task 1 (المقدمة)

🔗 ما هي سلسلة القتل الموحدة (UKC)؟

هي إطار عمل متطور يُستخدم لمساعدتنا في فهم "كيفية" حدوث الهجمات السيبرانية بشكل تفصيلي. تم تصميمها لتلافي القصور في النماذج القديمة وتقديم رؤية أعمق لمراحل الهجوم المعقدة.

🎯 أهداف التعلم في هذه الغرفة (Learning Objectives)

من خلال هذه المهام، سنتمكن من تحقيق الآتي:

  1. الأهمية: فهم لماذا تُعد أطر العمل مثل UKC حيوية وضرورية لتأسيس وضع أمني سيبراني جيد.
  2. التحليل: استخدام الـ UKC لفهم دوافع المهاجمين، ومنهجيات عملهم، وتكتيكاتهم المختلفة.
  3. المراحل: استيعاب المراحل المتنوعة التي تتكون منها هذه السلسلة.
  4. التكامل: اكتشاف كيف أن الـ UKC إطار عمل مكمل لأطر عمل أخرى شهيرة مثل MITRE ATT&CK.

Task 2: What is a "Kill Chain" (ما هي سلسلة القتل)

⚔️ الأصل العسكري

مصطلح "سلسلة القتل" هو في الأصل مصطلح عسكري يُستخدم لشرح المراحل المختلفة للهجوم. في الحرب، إذا قمت بكسر حلقة واحدة من هذه السلسلة، فإن الهجوم بأكمله يفشل.

💻 في عالم الأمن السيبراني

يُستخدم هذا المصطلح لوصف المنهجية أو المسار الذي يتبعه المهاجمون (مثل الهكرز أو مجموعات APT) للاقتراب من الهدف واختراقه.

مثال على سلسلة قتل سيبرانية:

يمكن اختصار عملية اختراق في الخطوات التالية:

  1. المسح (Scanning): البحث عن ثغرات.
  2. الاستغلال (Exploiting): استغلال ثغرة في موقع ويب.
  3. رفع الامتيازات (Escalating privileges): الحصول على صلاحيات المدير.

🎯 الهدف من دراسة هذه السلاسل

لماذا نتعب أنفسنا بدراسة خطوات المهاجم؟ الهدف هو فهم "سلسلة القتل" الخاصة به لكي نتمكن من وضع تدابير دفاعية تحقق الآتي:

  • الحماية الاستباقية: حماية النظام قبل وقوع الهجوم.
  • تعطيل المحاولة: إيقاف المهاجم وتخريب خطته أثناء محاولته التنفيذ.

Task 3: What is "Threat Modelling" (ما هي نمذجة التهديدات)

نمذجة التهديدات في سياق الأمن السيبراني هي سلسلة من الخطوات تهدف في النهاية إلى تحسين أمن النظام. تتمحور هذه العملية حول تحديد المخاطر، وتتلخص في النقاط التالية:

  • تحديد الأصول: معرفة الأنظمة والتطبيقات التي تحتاج لتأمين وما هي وظيفتها في البيئة (مثل: هل النظام حيوي للعمليات اليومية؟ هل يحتوي على معلومات حساسة كبيانات الدفع؟).
  • تقييم الضعف: تقدير الثغرات ونقاط الضعف التي قد تحتوي عليها هذه الأنظمة وكيف يمكن استغلالها.
  • خطة العمل: وضع خطة لتأمين هذه الأنظمة من الثغرات التي تم اكتشافها.
  • وضع السياسات: تطبيق إجراءات تمنع تكرار هذه الثغرات (مثل: اعتماد دورة حياة تطوير برمجيات آمنة SDLC أو تدريب الموظفين على الوعي بالتصيد الاحتيالي).

🛡️ أهمية نمذجة التهديدات وعلاقتها بالـ UKC

تعد نمذجة التهديدات إجراءً هاماً لتقليل المخاطر لأنها ترسم نظرة عامة رفيعة المستوى لأصول تقنية المعلومات في المؤسسة (الأصول هي البرمجيات أو الأجهزة) وتحدد إجراءات حل الثغرات.

كيف تساعد سلسلة القتل الموحدة (UKC) في هذه العملية؟

  • تشجع الـ UKC على نمذجة التهديدات لأنها تساعد في تحديد أسطح الهجوم المحتملة (Attack Surfaces) وتوضح كيف يمكن استغلال هذه الأنظمة.

🧰 أطر عمل مشهورة في نمذجة التهديدات

هناك عدة أطر عمل متخصصة تُستخدم في هذا المجال، منها:

  1. STRIDE: (تُركز على تصنيف التهديدات).
  2. DREAD: (تُركز على تقييم خطورة التهديدات).
  3. CVSS: (نظام تسجيل نقاط الثغرات الأمنية الشائع).

Task 4: Introducing the Unified Kill Chain (سلسلة القتل الموحدة)

تم نشر إطار عمل الـ UKC بواسطة "بول بولز" (Paul Pols) في عام 2017، ويهدف هذا الإطار إلى تكملة أطر العمل الأخرى (مثل Lockheed Martin و MITRE ATT&CK) وليس منافستها.

⛓️ المراحل الـ 18 للهجوم

على عكس السلاسل التقليدية التي تتكون من بضع خطوات، تنص الـ UKC على وجود 18 مرحلة للهجوم. تغطي هذه المراحل كل شيء بدءاً من الاستطلاع الأولي وصولاً إلى استخراج البيانات وفهم دوافع المهاجم.

☝️ نظرة شاملة: توضح الصورة أعلاه التسلسل الكامل للمراحل الـ 18، بدءاً من الاستطلاع (1) وصولاً إلى تحقيق الأهداف الاستراتيجية (18).

🌟 مميزات الـ UKC مقارنة بالأطر الأخرى

تتفوق الـ UKC بعدة جوانب تجعلها أكثر واقعية في التعامل مع التهديدات الحديثة:

الميزة إطار عمل الـ UKC الأطر الأخرى
الحداثة حديثة (صدرت 2017، وحُدثت 2022). قديمة (مثل MITRE التي صدرت في 2013).
التفصيل مفصلة للغاية (18 مرحلة). تحتوي غالباً على عدد قليل من المراحل.
نطاق التغطية تغطي الهجوم بالكامل (استطلاع، استغلال، ما بعد الاستغلال، والدوافع). تغطي عدداً محدوداً من المراحل.
الواقعية تحاكي سيناريوهات الهجوم الواقعية؛ حيث تعترف بأن المهاجم قد يعود لمراحل سابقة (مثل القيام باستطلاع جديد بعد اختراق جهاز للتحرك لجهاز آخر). لا تأخذ في الاعتبار تكرار المراحل أو عودة المهاجم للخلف أثناء الهجوم.

UKC Task 5: Goal: In (Initial Foothold) - الحصول على موطئ قدم

تتضمن هذه المرحلة سلسلة من الخطوات المتكاملة التي تبدأ من البحث وتنتهي بالسيطرة الأولية:

1. الاستطلاع - Reconnaissance (MITRE TA0043)

هي المرحلة التي يجمع فيها المهاجم المعلومات المتعلقة بالهدف سواء عبر الاستطلاع السلبي أو النشط. المعلومات التي تُجمع هنا تُستخدم في جميع المراحل اللاحقة.

  • ما يتم جمعه:
    • اكتشاف الأنظمة والخدمات التي تعمل لدى الهدف (مفيد لمرحلتي التسليح والاستغلال).
    • العثور على قوائم الاتصال أو الموظفين لاستخدامهم في انتحال الشخصية أو التصيد.
    • البحث عن بيانات اعتماد (Credentials) لاستخدامها لاحقاً.
    • فهم طوبولوجيا الشبكة للتمكن من التحرك بداخلها.

2. التسليح - Weaponization (MITRE TA0001)

تصف هذه المرحلة قيام المهاجم بإعداد البنية التحتية اللازمة للهجوم.

  • أمثلة: إعداد خادم "التحكم والسيطرة" (C2) أو نظام قادر على استقبال اتصالات الـ Reverse Shells وتسليم الحمولات الخبيثة.

3. الهندسة الاجتماعية - Social Engineering (MITRE TA0001)

تكتيكات للتلاعب بالموظفين للقيام بأفعال تساعد المهاجم.

  • أمثلة:
    • دفع المستخدم لفتح مرفق خبيث في بريد تصيد.
    • انتحال صفحة ويب لسرقة بيانات الاعتماد.
    • انتحال شخصية مهندس صيانة أو طلب إعادة تعيين كلمة مرور عبر الهاتف.

4. الاستغلال - Exploitation (MITRE TA0002)

هي اللحظة التي يستفيد فيها المهاجم من نقاط الضعف لتنفيذ كود برمجي.

  • أمثلة: رفع وتنفيذ Reverse Shell على تطبيق ويب، أو التلاعب بسكربت تلقائي في النظام.

5. الثبات - Persistence (MITRE TA0003)

تكتيكات لضمان الحفاظ على الوصول للنظام حتى لو تم اكتشاف الدخول الأولي أو إغلاق الثغرة.

  • أمثلة: إنشاء خدمة (Service) على النظام، أو ربط الجهاز بخادم C2 للتحكم عن بُعد في أي وقت.

6. التهرب من الدفاع - Defence Evasion (MITRE TA0005)

من أهم المراحل لفهم كيفية تجاوز المهاجم للإجراءات الأمنية.

  • ما يتم تجاوزه: جدران حماية تطبيقات الويب (WAF)، مضادات الفيروسات، وأنظمة كشف التسلل (IDS).
  • الفائدة: تساعد هذه المرحلة الفرق الدفاعية على فهم كيفية تحسين أنظمتهم في المستقبل.

7. التحكم والسيطرة - Command & Control (MITRE TA0011)

تأسيس اتصالات بين المهاجم والنظام المستهدف لتنفيذ الأوامر أو سرقة البيانات أو التحرك لأنظمة أخرى.

8. المحورية - Pivoting (MITRE TA0008)

تقنية يستخدمها المهاجم للوصول إلى أنظمة داخلية غير معرضة للإنترنت.

  • مثال: المهاجم يخترق خادم ويب عام، ثم يستخدمه كجسر لمهاجمة أنظمة داخل الشبكة لا يمكن الوصول إليها مباشرة من الخارج.

UKC Task 6: Goal: Through (Network Propagation) - العبور والانتشار

في هذه المرحلة، يتخذ المهاجم أحد الأنظمة المخترقة كقاعدة انطلاق (Base) ونقطة محور (Pivot) لجمع المعلومات عن الشبكة الداخلية.

1. المحورية - Pivoting (MITRE TA0008)

  • يستخدم المهاجم النظام المخترق كموقع تجميع (Staging site) ونفق (Tunnel) بين عمليات التحكم الخاصة به وشبكة الضحية.
  • يعمل النظام أيضاً كنقطة توزيع لجميع البرمجيات الخبيثة والأبواب الخلفية في المراحل اللاحقة.

2. الاكتشاف - Discovery (MITRE TA0007)

  • يقوم الخصم بالكشف عن معلومات حول النظام والشبكة المتصل بها.
  • يتم بناء قاعدة معرفية تشمل: حسابات المستخدمين النشطة، الأذونات الممنوحة، التطبيقات والبرامج المستخدمة، نشاط المتصفح، الملفات والمجلدات والمشاركات الشبكية، وإعدادات النظام.

3. رفع الامتيازات - Privilege Escalation (MITRE TA0004)

  • يحاول المهاجم الحصول على أذونات أعلى داخل النظام المحوري (Pivot system) بناءً على المعلومات التي جمعها.
  • يستغل الثغرات والأخطاء في الإعدادات للوصول إلى مستويات عليا مثل:
    • SYSTEM / ROOT.
    • Local Administrator (مدير محلي).
    • حساب مستخدم بصلاحيات تشبه صلاحيات المدير.
    • حساب مستخدم بوظائف أو وصول محدد.

4. التنفيذ - Execution (MITRE TA0002)

  • هنا يتم نشر الكود الخبيث باستخدام النظام المحوري كمضيف (Host).
  • يتم نشر أحصنة طروادة عن بُعد (Remote Trojans)، وسكربتات التحكم (C2)، والروابط الخبيثة، وإنشاء مهام مجدولة (Scheduled tasks) لضمان الوجود المتكرر والثبات في النظام.

5. الوصول إلى بيانات الاعتماد - Credential Access (MITRE TA0006)

  • تعمل هذه المرحلة جنباً إلى جنب مع رفع الامتيازات، حيث يحاول المهاجم سرقة أسماء الحسابات وكلمات المرور.
  • يستخدم طرقاً مثل تسجيل ضربات المفاتيح (Keylogging) أو استخراج بيانات الاعتماد (Credential dumping).
  • تكمن خطورة هذه المرحلة في أن استخدام "بيانات اعتماد شرعية" يجعل اكتشاف المهاجم أمراً صعباً للغاية.

6. التحرك الجانبي - Lateral Movement (MITRE TA0008)

  • باستخدام بيانات الاعتماد والصلاحيات المرتفعة، يسعى المهاجم للتنقل عبر الشبكة والقفز إلى أنظمة مستهدفة أخرى للوصول لهدفه الأساسي.
  • كلما كانت التقنية المستخدمة أكثر تخفياً (Stealthier)، كان ذلك أفضل للمهاجم.

UKC Task 7: Goal: Out (Action on Objectives) - التنفيذ والخروج

في هذه المرحلة، يستخدم المهاجم كامل قوته وصلاحياته لتنفيذ التكتيكات التالية:

1. التجميع - Collection (MITRE TA0009)

بعد كل عمليات البحث عن الوصول والأصول، يسعى الخصم لجمع كل البيانات القيمة ذات الأهمية.

  • الأهداف الرئيسية: تشمل محركات الأقراص، المتصفحات، الصوت، الفيديو، والبريد الإلكتروني.
  • الأثر: يؤدي هذا التكتيك إلى انتهاك سرية البيانات ويمهد للمرحلة التالية وهي التسريب.

2. التسريب - Exfiltration (MITRE TA0010)

يسعى المهاجم هنا لسرقة البيانات المجمعة وإخراجها من الشبكة.

  • الأسلوب: يتم تغليف البيانات باستخدام إجراءات التشفير والضغط لتجنب أي اكتشاف.
  • الأدوات: يعتمد المهاجم بشكل كبير على قنوات التحكم (C2) والأنفاق (Tunnels) التي أنشأها في المراحل السابقة.

3. التأثير - Impact (MITRE TA0040)

يهدف المهاجم في هذه المرحلة إلى ضرب سلامة (Integrity) وتوافر (Availability) الأصول المعلوماتية.

  • الهدف: تعطيل العمليات التجارية والتشغيلية.
  • الأمثلة: تشمل إزالة الوصول إلى الحسابات، مسح الأقراص الصلبة، تشفير البيانات (Ransomware)، تشويه المواقع (Defacement)، وهجمات حجب الخدمة (DoS).

4. الأهداف الاستراتيجية (Objectives)

هنا يحقق المهاجم الغاية الكبرى من هجومه بناءً على دافعه الأصلي:

  • الدافع المالي: تشفير الأنظمة ببرمجيات الفدية والمطالبة بمقابل مادي لإطلاق البيانات.
  • تدمير السمعة: تسريب معلومات خاصة وسرية للجمهور للإضرار بسمعة الشركة.

أخر المواضيع من قسم : SOC L1