Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L11
العمليات والتقصيخبير90mL11

إسناد الهجمات والاستخبارات المضادة

تحديد هوية المهاجم، استخبارات التهديدات، والتمويه

#TTPs#IOC#Honeytokens#Attribution

مَن المهاجم؟ — فن نسب الهجمات

تشبيه — شرح مبسط
المحقق في مسرح الجريمة لا يبحث عن البصمة فقط، بل عن أسلوب الجريمة، نوع السلاح، ساعة الوقوع، حتى رائحة المعطف. هكذا نتتبع المهاجم: ليس IP واحد بل نمط كامل.
تحذير مهم
الـ attribution صعب و كثيراً ما يكون احتمالياً لا قاطعاً. المهاجمون المحترفون يستخدمون false flags لتوجيه التهمة لجهة أخرى. لا تبني قراراً قانونياً على دليل واحد.

هرم الأدلة و TTPs

نسعى لجمع المؤشرات (IOCs) و سلوكيات (TTPs) و مقارنتها بمكتبة الـ threat actors المعروفة (APT28, APT29, Lazarus, Conti...).

  • Diamond Model — Adversary, Capability, Infrastructure, Victim.
  • MITRE ATT&CK Mapping — مطابقة كل خطوة بتقنية.
  • Cyber Kill Chain — أين كانت الفجوات.

جمع المعلومات عن المهاجم خلال الهجوم

1. على مستوى الشبكة

  • عناوين IP و ASN — هل هو VPS, Tor, residential proxy؟
  • بصمات JA3 / JA4 للـ TLS client — تكشف الأداة المستخدمة.
  • بصمات User-Agent و ترتيب الـ HTTP headers.
  • توقيت الطلبات (timezone analysis) — متى يكون نشطاً غالباً؟

2. على مستوى الأدوات

  • هاش الـ payload + قارن في VirusTotal, MalwareBazaar, ANY.RUN.
  • ميتاداتا في الـ implant (PDB path, compile timestamp, language pack).
  • إعادة استخدام C2 domains — راجع RiskIQ / DomainTools / Censys.
  • أنماط الكود — خوارزمية تشفير فريدة، أخطاء إملائية ثابتة.

3. على مستوى السلوك

  • وقت العمل (مثلاً 9-5 بتوقيت موسكو يشير لـ APT28/29).
  • أسلوب الـ post-exploitation (هل يستخدم PsExec أم WMIexec؟).
  • اختيار الأهداف داخل الشبكة (DC, mail server, backup؟).

Honeytokens & Beacons — جذب المهاجم لكشف نفسه

أعظم أدوات تتبع المهاجم — تجعله يخبرك بنفسه أنه دخل، و من أين، و ماذا يفعل.

Web Bugs
رابط مخفي في صفحة لا يظهر للمستخدم العادي. أي spider يفتحه = إنذار.
DNS Tokens
دومين فريد لكل ضحية. أول DNS lookup له = هويتك مكشوفة.
AWS Token
مفتاح AWS مزيف في ملف .env. استخدامه يولّد إنذاراً مع IP المهاجم.
Office Document Tokens
ملف .docx يحوي صورة ترتبط بـ URL مراقَب — يكشف من فتحه.

تتبع الـ exfiltration

  • ضع ملفات «طُعم» تحتوي tracking pixels.
  • استخدم watermarking — كل نسخة من الملف تحوي معرّفاً مخفياً يكشف مصدر التسرب.

OSINT المعكوس — تحقيق على المهاجم

01
من الـ IP / Domain / Wallet
recon on attacker
# WHOIS history
whoisxml.com / domaintools.com
# Same IP hosted what?
shodan host 1.2.3.4
viewdns.info reverseip
# Passive DNS
mnemonic.no / circl.lu / VirusTotal Graph
# Linked to a known APT?
malpedia.caad.fkie.fraunhofer.de
mitre.org/groups
02
من ملف خبيث
ارفعه في ANY.RUN, Joe Sandbox, Tria.ge, Hatching Triage. ابحث عن: مسارات PDB، تعليقات لغة، خوادم C2، مفاتيح mutex.
03
من العملة المشفرة (لو فدية)
Chainalysis, TRM Labs, blockchain.info — تتبع المحفظة. كل mixer يضعف الإخفاء قليلاً.
04
من نشاط على المنتديات
مراقبة BreachForums, XSS, Exploit.in, Telegram channels لاستخدامهم نفس الـ handles, PGP fingerprints, jabber IDs عبر سنوات.

مشاركة و استهلاك Threat Intelligence

  • MISP — منصة مفتوحة لمشاركة IOCs/TTPs.
  • STIX/TAXII — معايير صيغة و نقل.
  • المصادر: AlienVault OTX, Mandiant Advantage, Recorded Future, MS Threat Intel, CISA AIS.
  • جدول CISA KEV — ثغرات تُستغل فعلياً، رتّب الترقيع بحسبه.

ماذا تستطيع و ماذا لا تستطيع كـ White Hat

ما يُمنع قانونياً
  • اختراق سيرفر المهاجم (hack-back) — مخالف للقانون في معظم الدول.
  • تنفيذ DoS على بنيته.
  • التظاهر بشخصيته.
ما يُسمح به
  • جمع كل المعلومات من OSINT و سجلاتك.
  • التواصل مع CERT الوطني و جهات إنفاذ القانون.
  • طلب إنزال البنية التحتية للمهاجم عبر registrars / hosting providers (abuse@ + spamhaus / shadowserver).
  • مشاركة IOCs مع المجتمع لمنع ضحايا آخرين.

إن استطعت الوصول لبنية المهاجم بإذن قانوني

تحت أمر قضائي / تنسيق مع CERT وطني، قد تتمكن جهة إنفاذ القانون من الاستيلاء على سيرفر C2. عند ذلك يجب:

  1. الحفاظ على سلسلة الحفظ (chain of custody) — كل لمسة موثقة.
  2. عمل forensic image كاملة قبل أي شيء.
  3. تحليل قاعدة الضحايا، استرجاع البيانات المسروقة، إخطار المتأثرين.
  4. تحويل الـ C2 إلى sinkhole لتجميع المؤشرات (مع تنسيق دولي).

مثال تطبيقي مختصر

  1. الهجوم: phishing → macro → Cobalt Strike beacon → privesc → domain admin → exfil عبر MEGA.
  2. الكشف: Sysmon رصد winword.exe → powershell.exe -enc؛ تنبيه Sentinel.
  3. الاحتواء: عزل الجهاز عبر Defender؛ إبطال tokens؛ حظر دومين الـ C2.
  4. التتبع: بصمة JA3 + ميتاداتا الـ payload طابقت FIN7.
  5. التتبع الموسع: Canarytoken داخل ملف وهمي تم تنزيله — أعطى IP حقيقياً قبل دخوله الـ VPN.
  6. التقرير: مشاركة الـ IOCs في MISP مع CERT.
السابق
الاستجابة للحوادث السيبرانية
التالي
هجمات Active Directory المتقدمة