Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L82
العمليات والتقصيخبير90mL82

Attribution & Counter-Intel — تعرف اللي ضربك مين

TTPs و IOCs و Honeytokens — وCounter-OSINT

#TTPs#IOC#Honeytokens#Attribution

مين المهاجم؟ — فن الـ Attribution، أو فخ الـ Attribution؟

- يا حضرتك، أنا لقيت comment بالروسي في الكود.. الفاعل روسي صح؟

- ولو الـ compile timestamp بتوقيت بكين، يبقى صيني؟

- ولو IP من St. Petersburg، خلاص نقفل القضية؟

يا مستجد. لأ. ولا واحدة من دول.

كل واحدة من الإشارات دي ممكن تكون مزروعة قصد عشان تضلّلك. الـ Attribution مش لعبة بصمات — هي لعبة احتمالات على شبكة من الأدلة، كل دليل لوحده ضعيف، الأدلة كلها مع بعض ممكن تشاور.

تشبيه — شرح مبسط
المحقق في مسرح الجريمة مش بيدور على البصمة بس. هو بيدور على أسلوب الجريمة، نوع السلاح، ميعاد التنفيذ، حتى ريحة المعطف. كدة بنتبع المهاجم: مش IP واحد، إحنا بندور على باترن كامل.
اوعى — الـ Attribution فخ كبير
المحترفين بيستخدموا false flags بطرق متطورة جداً. متبنيش قرار قانوني — أو تصريح علني — على دليل واحد لوحده. الـ Attribution احتمالي. دايماً.
غلطات الـ junior في الـ attribution
  • بيشوف Russian comment في الكود ويصيح "APT28!". والـ APT الصيني كان بيقصد ده بالظبط.
  • بيعتمد على IP geolocation. الـ residential proxies حلّت الموضوع ده من 5 سنين.
  • بيخلط بين "التشابه" و "الإسناد". مجرد إن الـ TTPs تشبه APT29 ما بتعنيش هما.
  • بيـ publish attribution على Twitter قبل ما يكون عنده أدلة كافية. ويوم الكارثة يلاقي إنه اتهم البلد الغلط.

قصة الـ false flags الكبرى — Olympic Destroyer 2018

فبراير 2018. أوليمبياد PyeongChang الشتوية. حفل الافتتاح. ساعات قبل البدء، malware اسمه Olympic Destroyer ضرب البنية التحتية للأوليمبياد. مواقع الفعالية وقعت، Wi-Fi بطل، شاشات العرض اتعطّلت، وكل ده مع الـ Pre-show التلفزيوني العالمي.

أول تحليل: "Lazarus! كوريا الشمالية!". ليه؟ لأن الـ malware فيه كود يشبه Lazarus، فيه strings بكورية، وفيه نفس persistence patterns.

تاني تحليل (بعد أيام): "لأ، ده APT3 الصيني!". لأن أجزاء من الـ wiper code شبه APT3.

تالت تحليل: "لأ! مفيش! هما Sandworm الروس!". لأن النمط الكلي بيشبه شغل GRU.

الإجابة الأخيرة (بعد شهور من تحليل Kaspersky و Cisco Talos): Sandworm الروس. هما اللي عملوها. وهما اللي زرعوا الأدلة الكورية والصينية بـ قصد — كل سطر من الـ false flags كان مدروس.

ده الفرق. مش هكر بيخبّي، ده عمليات استخباراتية بتستخدم الـ malware كأداة سياسية. لو كانت Attribution طلعت كورية أو صينية، كان دبلوماسياً موقف مختلف.

Igor Soumenkov من Kaspersky عمل الـ talk الأسطوري "The Devil's in the Rich Header" في BlueHat 2019 شرح فيه إزاي اكتشفوا الخدعة. اقراه. لو هتدخل مجال forensics، ده compulsory reading.

Lazarus بتقلّد Sandworm — والعكس صحيح

Lazarus (كوريا الشمالية) في عمليات كتيرة بتزرع أدلة بترمي للروس. ليه؟ لأن لو الـ Attribution كورية شمالية، الـ sanctions هتزيد عليهم. لو روسية، Lazarus بتنفّذ المهمة وأمريكا بتعاقب موسكو. كسب مزدوج.

وكمان Sandworm في NotPetya 2017 زرعوا strings تشبه Petya القديم (criminal ransomware) عشان النية الأولى تبان مالية مش سياسية.

Pyramid of Pain من David Bianco (2014) مهم جداً هنا: الـ IOCs البسيطة (hashes, IPs) سهل المهاجم يغيّرها. الـ TTPs (السلوكيات) أصعب. الـ Tradecraft و culture (إزاي الفريق بيفكّر) أصعب حاجة في الإسناد.

هرم الأدلة والـ TTPs

إحنا بنلم المؤشرات (IOCs) والسلوكيات (TTPs) ونقارنهم بمكتبة الـ threat actors المعروفين (APT28, APT29, Lazarus, Conti...).

  • Diamond Model — Adversary, Capability, Infrastructure, Victim.
  • MITRE ATT&CK Mapping — مطابقة كل خطوة بتقنية.
  • Cyber Kill Chain — أين كانت الفجوات.

جمع معلومات عن المهاجم وهو شغال

1. على مستوى الشبكة

  • عناوين IP والـ ASN — هل هو VPS ولا Tor ولا residential proxy؟
  • بصمات JA3 / JA4 للـ TLS client — بتكشف الأداة المستخدمة.
  • بصمات الـ User-Agent وترتيب الـ HTTP headers.
  • توقيت الـ requests (timezone analysis) — هو بيشتغل امتى؟

2. على مستوى الأدوات

  • هاش الـ payload وقارنه في VirusTotal, MalwareBazaar, ANY.RUN.
  • الميتاداتا جوه الـ implant (PDB path, compile timestamp, language pack).
  • إعادة استخدام C2 domains — راجع RiskIQ / DomainTools / Censys.
  • أنماط الكود — خوارزمية تشفير فريدة، أخطاء إملائية بتتكرر.

3. على مستوى السلوك

  • ساعات الشغل (لو 9-5 بتوقيت موسكو، ده باترن APT28/29).
  • أسلوب الـ post-exploitation (بيستخدم PsExec ولا WMIexec؟).
  • اختيار الأهداف جوه الشبكة (DC ولا mail server ولا backup؟).

Honeytokens & Beacons — خلي المهاجم يكشف نفسه

دي أعظم أدوات تتبع. خليه هو اللي يقولك بنفسه إنه دخل، ومن فين، وبيعمل إيه.

Web Bugs
رابط مخفي في الصفحة، اليوزر العادي مش هيوصله. أي spider بيفتحه = إنذار.
DNS Tokens
دومين فريد لكل ضحية. أول DNS lookup له، إنت كشفته.
AWS Tokens
مفتاح AWS مزيف جوه ملف .env. أول مرة يستخدمه، الإنذار بيوصل ومعاه IP المهاجم.
Office Document Tokens
ملف .docx فيه صورة بتجيب من URL مراقَب — بيكشف لك مين فتح الملف.

تتبع الـ exfiltration

  • حط ملفات "طعم" فيها tracking pixels.
  • استخدم watermarking — كل نسخة من الملف فيها معرف مخفي يكشف مصدر التسريب.

OSINT معكوس — تحقيق على المهاجم نفسه

01
من الـ IP / Domain / Wallet
recon on attacker
# WHOIS history
whoisxml.com / domaintools.com
# Same IP hosted what?
shodan host 1.2.3.4
viewdns.info reverseip
# Passive DNS
mnemonic.no / circl.lu / VirusTotal Graph
# Linked to a known APT?
malpedia.caad.fkie.fraunhofer.de
mitre.org/groups
02
من ملف خبيث
ارفعه على ANY.RUN, Joe Sandbox, Tria.ge, Hatching Triage. دور على: مسارات PDB، تعليقات بلغة معينة، C2 servers، أسماء الـ mutex.
03
من العملة المشفرة (لو فدية)
Chainalysis, TRM Labs, blockchain.info — اتبع المحفظة. كل mixer بيضعّف الإخفاء شوية، بس مش بيلغيه.
04
من نشاط على المنتديات
راقب BreachForums, XSS, Exploit.in, Telegram channels — هما بيستخدموا نفس الـ handles ونفس PGP fingerprints وjabber IDs على مدار سنين.

مشاركة واستهلاك الـ Threat Intelligence

  • MISP — منصة مفتوحة لمشاركة IOCs/TTPs.
  • STIX/TAXII — معايير الصيغة والنقل.
  • المصادر: AlienVault OTX, Mandiant Advantage, Recorded Future, MS Threat Intel, CISA AIS.
  • جدول CISA KEV — ثغرات بتتستغل فعلياً، رتب أولويات الترقيع منه.

إنت كـ White Hat تقدر تعمل إيه ومتقدرش تعمل إيه

ممنوع قانونياً
  • تخترق سيرفر المهاجم (hack-back) — مخالف للقانون في أغلب الدول.
  • تعمل DoS على بنيته التحتية.
  • تتنكر بشخصيته.
مسموح
  • تجمع كل المعلومات من OSINT ومن السجلات بتاعتك.
  • تتواصل مع CERT الوطني وجهات إنفاذ القانون.
  • تطلب إنزال البنية التحتية للمهاجم عن طريق الـ registrars / hosting providers (abuse@ + spamhaus / shadowserver).
  • تشارك IOCs مع المجتمع عشان تحمي ضحايا تانيين.

لو وصلت لبنية المهاجم بإذن قانوني

تحت أمر قضائي أو بتنسيق مع CERT وطني، جهة إنفاذ القانون ممكن تستولي على سيرفر C2. ساعتها لازم:

  1. تحافظ على سلسلة الحفظ (chain of custody) — كل لمسة موثقة.
  2. تاخد forensic image كاملة قبل أي حاجة.
  3. تحلل قاعدة الضحايا، تسترجع البيانات المسروقة، تبلغ المتأثرين.
  4. تحول الـ C2 لـ sinkhole عشان تجمع المؤشرات (بتنسيق دولي).

مثال تطبيقي مختصر

  1. الهجوم: phishing → macro → Cobalt Strike beacon → privesc → domain admin → exfil على MEGA.
  2. الكشف: Sysmon شاف winword.exe → powershell.exe -enc؛ Sentinel رفع تنبيه.
  3. الاحتواء: عزل الجهاز عبر Defender؛ إلغاء الـ tokens؛ بلوك دومين الـ C2.
  4. التتبع: بصمة JA3 + ميتاداتا الـ payload طابقت FIN7.
  5. تتبع موسع: Canarytoken جوه ملف وهمي اتنزل — كشف الـ IP الحقيقي قبل ما المهاجم يدخل VPN.
  6. التقرير: شاركنا الـ IOCs في MISP مع الـ CERT.

الخلاصة الناشفة

الـ Attribution مش لعبة CSI. هي لعبة احتمالات.

أي Attribution في تقرير محترم بييجي بمستوى ثقة: high / moderate / low confidence. الـ "low confidence" مش ضعف، ده أمانة فكرية.

المهاجم اللي بيهمّك Attribution بتاعه = APT بيستخدم false flags بكفاءة. والـ false flag ده مش حادثة — هو جزء أصيل من العملية.

اللي يفرق فعلاً هو تتبّع الـ TTPs على مدى وقت طويل. مفيش APT بتقدر تغيّر شخصيتها كاملة. هي بتشتغل بأنماط، والأنماط دي بتظهر عبر عشرات العمليات.

وأخيراً: Attribution مش هدفها "نقول مين الفاعل". هدفها منع الكارثة الجاية. لو وصلت لـ Attribution وما عندكش خطة استجابة، الـ Attribution مالهاش لازمة.

اكتبها على غلاف التقرير قبل ما تبعته:

Attribution من غير confidence level = إشاعة بـ logo شركة. اوعى تحرق سمعتك على tweet.

السابق
Nation-State Tradecraft — لما الدول هي اللي بتهاجم
الوحدة التالية
Mobile Spyware — Pegasus و Predator على مستوى الدول