Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L59
الفرق الزرقاء — الدفاعمتقدم70mL59

تحليل الترويسات والتصيد الاحتيالي

SPF/DKIM/DMARC، تحليل المرفقات، استخراج المؤشرات

#Email#Phishing#DMARC#BEC#Headers

لماذا تحليل الإيميل أساسي لكل محقّق

~90% من اختراقات المؤسسات تبدأ بإيميل. كمحلّل SOC أو IR، ستفتح user-reported phishing 5–20 مرة في اليوم. هذه المهارة لا تُؤجّل.

تشبيه — شرح مبسط
الإيميل مثل ظرف بريد رسمي. الـ envelope عليه ختم البريد (SMTP servers)، طوابع (DKIM signatures)، عنوان مرسِل ظاهر (From) و آخر فعلي (Return-Path). محلّل ماهر يقرأ الظرف قبل أن يفتح الرسالة.

بنية الـ Email — ما يهمّ فعلاً

Envelope (SMTP)
MAIL FROM, RCPT TO — ما يراه السيرفر فقط. المستخدم لا يراه.
Headers
From, To, Subject, Date — ما يراه المستخدم. قابلة للتزوير بسهولة ما لم يحم DMARC.
Received: chain
سجلّ كل خادم مرّ به الإيميل. اقرأ من الأسفل للأعلى. هذا يكشف أصل الإرسال الحقيقي.
Authentication-Results
نتائج SPF/DKIM/DMARC من mail server المستلم. أهم سطر للمحقّق.
Body
النص + HTML + روابط + مرفقات. المرفقات في base64 داخل MIME parts.
X-Headers
Custom headers من mail providers (X-Mailer, X-Spam-Score, X-Originating-IP). كنز معلومات.

SPF / DKIM / DMARC — الحراس الثلاثة

  • SPF (Sender Policy Framework) — DNS TXT يحدد أي IPs مسموح لها إرسال إيميل لهذا النطاق. يفحص Return-Path.
  • DKIM (DomainKeys Identified Mail) — توقيع cryptographic على parts من الإيميل. مفتاح public في DNS.
  • DMARC — سياسة تحدد ماذا يحدث لو فشل SPF و DKIM (none/quarantine/reject)، و تطلب alignment بين From: و الـ authenticated domain.
text
# سجلات DNS مثال
# SPF
target.gov. TXT "v=spf1 include:_spf.google.com ip4:1.2.3.4 -all"

# DKIM (selector "google")
google._domainkey.target.gov. TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb..."

# DMARC
_dmarc.target.gov. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@target.gov; pct=100; aspf=s; adkim=s"
القراءة السريعة
في Headers ابحث عن Authentication-Results::
spf=pass smtp.mailfrom=...
dkim=pass header.d=...
dmarc=pass action=none header.from=...
ثلاثة pass = الإيميل authentic. أي fail = افحص بعمق.

حيل الـ phishing التي يجب أن تعرفها

  1. Display name spoofing"CEO Name" <random@gmail.com>. الـ From الظاهر صحيح، الفعلي مزيّف. SPF/DMARC لا يفحصان display name.
  2. Lookalike domains (typosquatting)microsoft-support.com, paypa1.com, target-gov.com. حروف Cyrillic مشابهة لـ Latin (homoglyph).
  3. Punycodexn--target-2sa.com يظهر كـ tárget.com.
  4. Compromised legitimate domain — مهاجم اخترق mail server شركة أخرى و يرسل من نطاقها (DMARC pass!).
  5. Reply-to manipulation — From شرعي، Reply-To مختلف. الرد يذهب للمهاجم.
  6. HTML smuggling — مرفق HTML يحوي JavaScript يبني payload في الـ browser محلياً. لا download مرئي.
  7. Link rewriting bypass — استخدام redirector شرعي (Google, t.co, bit.ly، أو حتى موقع Microsoft نفسه عبر safelinks).
  8. QR codes (quishing) — صورة QR تتجاوز URL scanners. المستخدم يمسحها بهاتف خارج الحماية.

منهجية تحليل — خطوة بخطوة

  1. اطلب الإيميل بـ headers كاملة (.eml أو .msg). لا تكتفِ بـ screenshot.
  2. افحص Authentication-Results أولاً. SPF/DKIM/DMARC؟
  3. اقرأ Received chain من الأسفل للأعلى. ما أول mail server؟ هل من نطاق المرسِل المُدّعى؟
  4. قارن From, Reply-To, Return-Path. هل تتطابق؟
  5. افتح في sandbox فقط. لا تشغّل المرفق على workstation.
  6. استخرج IOCs: sender IP, sender domain, URLs (defang!), attachment hashes.
  7. افحص URLs على VirusTotal / urlscan.io. لكن لا تفتح الـ URL مباشرة على شبكة الشركة.
  8. افحص hashes على VT. ابحث في threat intel الداخلي عن مرات سابقة.
  9. وثّق و حدّد scope. كم مستخدم استلم؟ كم نقر؟ هل أحد دخل credentials؟
  10. Containment: حذف من mailboxes (Microsoft 365: Search-Mailbox أو ContentSearch + PurgeAction)، block sender domain، أضف URL لـ blocklist.
Defanging — قاعدة أساسية
عند مشاركة IOCs، عطّل الروابط: https://evil.comhxxps://evil[.]com. بدلاً من @ اكتب [at]. هذا يمنع clicks بالخطأ في reports و chats.

أدوات التحليل

bash
# تحليل headers سريع
# https://mha.azurewebsites.net (Microsoft Header Analyzer)
# https://mailheader.org/

# على CLI
cat phish.eml | grep -E "^(From|To|Subject|Reply-To|Return-Path|Received|Authentication-Results):"

# استخراج URLs
cat phish.eml | grep -oE 'https?://[^[:space:]"<>]+' | sort -u

# استخراج المرفقات
ripmime -i phish.eml -d ./attachments
# أو
munpack phish.eml

# hash المرفق
sha256sum ./attachments/*

# اطّلع على مرفق Office دون فتحه
oletools/olevba.py malicious.docm           # macros
oletools/oleobj.py malicious.docm           # embedded objects
oletools/oleid.py malicious.docm

# إيميل بـ HTML smuggling
grep -E 'window.atob|FileSaver|saveAs' attached.html

# URLs و screenshots بأمان
urlscan.io        # screenshot + DOM + IOCs
any.run           # interactive sandbox للـ malware

# Blue team — Microsoft Defender for Office 365
# Threat Explorer → URL/file/sender filters
# Submissions: report ↔ admin review

Business Email Compromise (BEC) — لا تشبه phishing

BEC لا يحوي malware عادةً. مهاجم يخترق أو ينتحل حساباً تنفيذياً ثم يطلب تحويل أموال، تغيير معلومات بنكية لمورّد، أو تسريب W-2 forms. الضرر السنوي عالمياً > $50 مليار حسب FBI IC3.

مؤشرات BEC
  • إيميل من CEO/CFO يطلب تحويلاً عاجلاً، خارج القناة المعتادة.
  • طلب سرّية مفرط ("don't tell anyone, this is confidential").
  • ضغط زمني ("must be done before market close").
  • تغيير معلومات بنكية لمورد قائم — حتى لو الإيميل يبدو من المورد.
  • Reply-To يختلف عن From.
  • قواعد inbox تُنشأ تلقائياً (mail forwarding rules) — عادة بعد credential phishing.

إجراءات: callback verification برقم معروف مسبقاً (لا الرقم في الإيميل). فعّل MFA على كل executive accounts. راقب Inbox Rules غير المعتادة (Microsoft 365 audit log).

Federal context — IC3 و reporting

ما يجب أن يعرفه محلل فيدرالي
  • IC3 (Internet Crime Complaint Center) — ic3.gov. كل BEC و wire fraud يُبلَّغ هنا. الـ FBI يستطيع طلب recall للتحويل البنكي إذا أُبلِغ خلال 72 ساعة (Financial Fraud Kill Chain).
  • CISA — للحوادث في البنية التحتية الحرجة (CIRCIA reporting).
  • US-CERT — للمؤسسات الفيدرالية.
  • NCFTA — National Cyber-Forensics & Training Alliance — شراكة public/private.

الدفاع — طبقات يجب أن تُبنى

  1. Email gateway (Proofpoint, Mimecast, Microsoft Defender for Office 365) — sandboxing، URL rewriting، attachment detonation.
  2. DMARC على p=reject لكل النطاقات — حتى parked ones.
  3. External email banner — "هذا الإيميل من خارج المؤسسة" — يقلل clicks بنسبة كبيرة.
  4. MFA على كل user — phishing الذي يسرق password وحده يفشل.
  5. Conditional Access — login من device غير معتاد يطلب re-MFA.
  6. User reporting button ("Report Phishing") مدمج في Outlook/Gmail.
  7. Tabletop training — ليس phishing simulation فقط؛ تدريب CFO على verification protocols.
  8. Detection على inbox rules الجديدة (forward-to-external، delete-on-receive).
MITRE ATT&CK
T1566.001 (Spearphishing Attachment) · T1566.002 (Spearphishing Link) · T1566.003 (Spearphishing via Service) · T1534 (Internal Spearphishing) · T1114 (Email Collection).
السابق
التحقيق الجنائي في الشبكة — تحليل حزم البيانات
التالي
أساسيات الاستخبارات السيبرانية وتحليل المؤشرات