Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L01
الأساسياتأساسي45mL01

عقلية المهاجم وسلسلة الهجوم السيبراني

عقلية المخترق، سلسلة الهجوم، وإطار MITRE ATT&CK

#Kill Chain#ATT&CK#Lab Setup

ما الذي يفصل الـ Hacker الحقيقي عن غيره؟

قبل أن نتعلم أي أداة، يجب أن نفهم أن الاختراق ليس «كتابة أوامر» بل طريقة تفكير. الـ Hacker المحترف لا يبحث عن باب ليفتحه، بل يدرس البيت كله — النوافذ، أنبوب الغاز، عامل النظافة، ساعي البريد — حتى يجد الطريق الأقل حراسة.

تشبيه — شرح مبسط
تخيّل أن لديك خزينة كبيرة في بيتك. اللص الذكي لا يحاول كسر الباب الحديدي، بل يبحث: هل تركتَ المفتاح تحت السجادة؟ هل ابن الجيران يعرف الرقم السري؟ هل النافذة الخلفية مفتوحة؟ السطح الأوسع للهجوم = أكبر فرصة للنجاح.

أنواع القبعات (Hats)

🟥 Red Hat / Black Hat
مهاجمون. الأسود يهاجم لأهداف إجرامية أو سياسية، و الأحمر مهاجم عدواني يلاحق المهاجمين الآخرين بأساليب هجومية.
🟦 White Hat / Blue Team
مدافعون و مختبرو اختراق بإذن قانوني. هدفهم اكتشاف الثغرات قبل الأشرار، و بناء طبقات الدفاع، و الاستجابة للحوادث.
🟨 Gray Hat
بين الاثنين — يكتشف ثغرات بدون إذن لكنه يبلّغ عنها. قانونياً يبقى عمله مخالفاً في معظم الدول.
🟩 Purple Team
دمج الفريقين في تمارين مشتركة لتحسين الدفاع بناءً على هجوم حقيقي محاكى.

سلسلة الهجوم — Cyber Kill Chain

طوّرت Lockheed Martin هذا النموذج لوصف مراحل أي هجوم متقدم (APT):

  1. الاستطلاع — Reconnaissance — جمع كل ما يخص الهدف.
  2. التسليح — Weaponization — إعداد البرمجية الخبيثة.
  3. التوصيل — Delivery — إيصالها (بريد، USB، رابط).
  4. الاستغلال — Exploitation — تشغيل الثغرة.
  5. التثبيت — Installation — تثبيت باب خلفي.
  6. القيادة و التحكم — C2 — قناة بين المهاجم و الجهاز.
  7. الفعل على الهدف — Actions on Objectives — سرقة، تشفير، تخريب.
لماذا تهمنا هذه السلسلة؟
لأن كسر أي حلقة = فشل الهجوم بأكمله. الدفاع الذكي يضع طبقة في كل مرحلة.

MITRE ATT&CK — اللغة المشتركة

MITRE ATT&CK هو موسوعة عملية لكل Tactics, Techniques & Procedures (TTPs) المشاهدة في الواقع. يستخدمه فريق الهجوم لتخطيط، و فريق الدفاع لكشف.

  • Tactic = الهدف (مثلاً Persistence).
  • Technique = الأسلوب (مثلاً Scheduled Task / cron).
  • Procedure = التطبيق الفعلي لمجموعة معينة (APT29).

بناء معمل التدريب — Lab Setup

لا تُجرّب أي شيء إلا في بيئة معزولة. الإعداد الموصى به:

01
نظام المهاجم
Kali Linux أو Parrot OS داخل VirtualBox / VMware على شبكة Host-Only.
02
أنظمة الضحية
Metasploitable 2/3، DVWA، OWASP Juice Shop، VulnHub، و سيرفر Ubuntu نظيف للتجارب الخاصة.
03
بيئة سحابية معزولة
حساب AWS منفصل عن الإنتاج للتدرّب على CloudGoat و flaws.cloud.
04
مخابر مجانية على الإنترنت
HackTheBox، TryHackMe، RangeForce، PortSwigger Web Academy.
$ sudo apt install -y nmap nuclei ffuf gobuster sqlmap
$ docker run -d -p 80:80 vulnerables/web-dvwa
DVWA up on http://127.0.0.1 — login: admin/password

الأخلاقيات و القانون

القاعدة الذهبية
لا تختبر هدفاً لا تملك إذناً مكتوباً عليه. اختراق نظام بدون تفويض جريمة في كل الدول و قد تصل العقوبة لسنوات سجن.
  • كل اختبار اختراق يبدأ بـ Rules of Engagement (RoE).
  • وثيقة Scope تحدد بالضبط ما يُختبر و ما يُستثنى.
  • كل أداة و كل فعل يُسجّل في Engagement Log.
السابق
أساسيات الشبكات للأمن السيبراني
التالي
الاستطلاع وجمع المعلومات الاستخباراتية