Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L60
الفرق الزرقاء — الدفاعخبير90mL60

DFIR Triage — أول ساعة بتقرر كل حاجة

KAPE و Velociraptor و Volatility و Timeline analysis

#DFIR#KAPE#Velociraptor#Volatility

الاستجابة للحوادث (DFIR): الساعة الأولى اللي بتحدد هل أنت مسيطر.. ولا "بتعك"؟

التليفون رنّ.. فيه مصيبة. تعمل إيه؟ تجري على السيرفر؟ تعمل reboot يمكن يتصلح؟ تشغّل antivirus "ينضّف"؟ تقطع الإنترنت من الـ switch؟

لو إجابتك "أيوه" على أي واحدة من دول، يبقى انت لسه ما فهمتش اللعبة.

المهاجم جوه. الـ Alerts بتضرب في كل حتة. وقدامك ساعة واحدة بس هي اللي هتحدد فيها مصير الشركة كلها: هل هتقدر تحجم الضرر وتعرف مين دخل؟ ولا هتمسح الأدلة بإيدك وانت فاكر إنك بتصلح الدنيا؟

في الـ DFIR، انت مش بس مهندس. انت "محقق جنائي" في مسرح جريمة بيتحرق قدامك. لو ما لحقتش تجمع الأدلة المتطايرة (Volatile Data) في الدقايق دي، انساها للأبد.

[!info] صراع الوقت فيه ساعتين شغالين ضدك في نفس اللحظة:

  1. ساعة الاحتواء (Containment): كل دقيقة بتعدّي، المهاجم بيتحرّك "جانبي" أكتر جوه الشبكة.
  2. ساعة الأدلة (Evidence): كل دقيقة بتعدّي، البيانات اللي في الذاكرة (RAM) ممكن تتمسح.

الشطارة إنك توازن بين الاتنين من غير ما "تعك" الدنيا.

أول 10 دقائق: بلاش اندفاع

أول حاجة بتعملها مش إنك تدخل تمسح ملفات. أول حاجة هي "الفرز" (Triage). لازم تسأل الأسئلة دي وبسرعة:

  • إيه اللي حصل بالظبط؟ إيميل تصيد؟ ولا سيرفر مخترق؟ ولا alert من الـ EDR؟
  • المهاجم لسه موجود وبيلعب؟ ولا خلص وخرج؟
  • مين "جواهر التاج" (Crown Jewels) اللي اتمست؟ بيانات عملاء؟ باسوردات؟ كود مصدر؟
  • أهم سؤال: هل فيه حد "عبقري" عمل reboot للجهاز أو شغّل antivirus scan؟ لو حصل، يبقى نص الأدلة ضاعت خلاص. ابدأ تعتذر للقاضي.

القاعدة الذهبية: إياك والـ Reboot

لو عملت ريستارت للجهاز عشان "تجرّب" يمكن يتصلح، فأنت رسمياً قتلت التحقيق.

ليه؟

  • الـ malware اللي شغّال في الذاكرة (RAM) هيتمسح. خصوصاً الـ fileless malware اللي عمره ما لمس الـ disk.
  • الاتصالات المفتوحة مع الـ C2 بتاع المهاجم هتقفل. كنت ممكن تشوف عنوان السيرفر اللي بيتحكم فيه — راح.
  • الملفات اللي المهاجم مسحها بس لسه شغّالة في الـ process (deleted-but-running) هتختفي.
  • الـ encryption keys اللي ساعات بتبقى في الذاكرة بس — لو الهجوم ransomware، انت رميت مفتاح فك التشفير في الزبالة.

اجمع الذاكرة الأول.. وبعدين اعمل اللي انت عايزه.

1. جمع البيانات المتطايرة (Live Analysis)

قبل ما تشدّ الفيشة، لازم تاخد "لقطة" للحال اللي الجهاز عليه دلوقتي:

# على Linux: شوف مين شغّال ومين فاتح اتصالات
$ ps -auxfww          # العمليات الشجاعة اللي شغّالة — هرمياً
$ ss -tunap           # مين بيكلم مين بره الشبكة؟ ليه webserver عمّال يكلم IP في رومانيا؟
$ ls -la /proc/*/exe | grep deleted  # برامج شغّالة وهي ممسوحة من على القرص = trick قديم لإخفاء malware
$ lsof -p <PID>       # كل الـ handles المفتوحة للعملية المشبوهة

كل أمر من دول "ليه" ورا. مش بنشغّلهم لأنهم في checklist، بنشغّلهم لأن كل واحد بيجاوب على سؤال محدد.

2. التحقيق في "المريض صفر" (Patient Zero)

عشان توقف النزيف، لازم تعرف "الخرم" فين. مين أول جهاز اتصاب؟

استخدم الـ telemetry اللي عندك (EDR/Logs) وارجع بالزمن:

  • مين أول يوزر جاله إيميل من الدومين المشبوه ده؟
  • مين أول جهاز كلّم الـ IP بتاع الـ C2؟
  • ابحث في نطاق 15 دقيقة قبل وبعد أول تنبيه جالك. هتلاقي هناك مربط الفرس.

غلطة شائعة: الناس بتركّز على آخر جهاز ضرب alert. ده آخر حلقة في السلسلة، مش أولها. لو ركّزت عليه بس، هتنضّفه ومتنساش الـ patient zero اللي لسه عمّال يصدّر مالوير.

3. الاحتواء (Containment) بذكاء

انت عايز توقف المهاجم. بس مش عايز تحرقه — لأنه لو حسّ، هيغيّر تكتيكاته ويختفي بشكل أعمق، أو يفعّل ransomware كـ kill-switch.

  • العزل الشبكي (Isolation): اعزل الجهاز عن طريق الـ EDR. الجهاز هيفضل شغّال وتقدر تحقق فيه، بس مش هيقدر يكلم حد بره.
  • تعطيل الحسابات: لو المهاجم داخل بحساب موظف، وقّف الحساب فوراً واعمل revoke لكل الـ sessions. ما تعتمدش على تغيير الباسورد بس — الـ Kerberos ticket لسه شغّال.
  • بلاش تقطع الإنترنت كله: ده زي اللي بيعالج الصداع بقطع الراس.

غلطات الـ junior — حتى "الكبار" بيقعوا فيها

  1. التنظيف قبل التصوير: بيمسح الـ malware بالـ AV قبل ما ياخد نسخة منه للتحليل. طب هتعرف هو كان بيعمل إيه إزاي؟ كده انت بتعالج الأعراض ومتعرفش المرض.
  2. عدم التوثيق: بيشتغل 10 ساعات متواصلة وفي الآخر ينسى هو عمل إيه في أول ساعة. لازم تكتب كل كليك وكل أمر بتنفّذه — مع طابع زمني. لو القضية راحت محكمة، التوثيق ده هو chain of custody.
  3. العمل الفردي: الـ DFIR "مجهود فريق". لو اشتغلت لوحدك 8 ساعات متواصلة، هتتعب وهتغلط، وغلطتك هتبقى بفلوس.
  4. التحدّث في الشات الداخلي: لو الشات نفسه مخترق (Slack, Teams)، انت بتدّي للمهاجم live updates. استخدم قناة out-of-band — تليفون، signal على أجهزة شخصية، أو غرفة فيها ناس بس.
  5. استدعاء الـ vendor قبل الفهم: الـ vendor هيدفعك للحل اللي بيناسبه هو، مش اللي يناسبك انت. افهم الموقف الأول.

الخلاصة الناشفة

الـ DFIR مش بس تقنية. هو ثبات انفعالي.

لو قدرت تحافظ على هدوءك في أول ساعة، وتجمع أدلتك صح، وتمنع "العك" التقني (زي الـ reboot)، فأنت قطعت نص الطريق لحلّ القضية.

والنص التاني؟ توثيق، صبر، وفريق بيشتغل بنظام مش بالحماس.

ملحوظة أخيرة: لو حسيت إن الموقف أكبر منك، اطلب مساعدة بسرعة. مفيش عيب. العيب إنك تحرق قضية كانت ممكن تتحلّ.

السابق
Incident Response — الحادثة وقعت، بتعمل إيه
الوحدة التالية
Malware Analysis & RE — تفك الـ binary