Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L01
الأساسياتأساسي45mL01

Hacker Mindset — إزاي بيفكر اللي هيخترقك

Kill Chain و MITRE ATT&CK من جوّه — مش من PDF

#Kill Chain#ATT&CK#Lab Setup

ايه اللي بيفرّق الـ Hacker الحقيقي عن أي حد تاني؟

تعالى نتفاهم من الأول.

هو الـ hacker بيكتب أوامر؟
ولا بيحفظ payloads؟
ولا بيشغّل Metasploit ويستنى الميركل تحصل؟

لا. ولا واحدة من دول.

الـ hacker الحقيقي بيفكّر بطريقة مختلفة. ده mindset، مش toolset. الأدوات بتتغيّر كل ست شهور. التفكير بيفضل.

أنا عملت الغلط ده لما كنت بادي. قعدت أسبوعين أحفظ أوامر nmap. وبعدين دخلت أول engagement حقيقي ولقيت نفسي مش عارف من أنهي ناحية أبدأ. الأوامر معايا. التفكير لأ.

تشبيه — شرح مبسط
بُص. تخيّل في خزنة كبيرة في بيتك. الحرامي العبيط بيحاول يكسر باب الحديد بشاكوش. الحرامي الشاطر بيدوّر:
المفتاح تحت السجادة؟
ابن الجيران عارف الرقم لأن جدتك بتقوله قدامه؟
شباك الحمام الخلفي مفتوح؟
الـ alarm بطاريته خلصت من سنة؟
أكبر بقعة مكشوفة = أكبر فرصة نجاح. والباب الحديد؟ ده آخر حاجة بيبص فيها.

الواقع vs المفروض

في فرق كبير بين الواقع وبين المفروض، ولازم تفهم ده من اليوم الأول.

المفروض: المهاجم يدوّر على الـ exploit الجديد، يطلّع zero-day، يكسر الـ firewall.

الواقع: المهاجم بيدوّر على واحد كاتب password "Welcome123!" على account فيه domain admin، ومش ملغيه من سنتين.

المدافع المبتدئ بيقعد يفكّر إزاي يقفل APT بحزام نووي.
المدافع الشاطر بيسأل: مين فاتح RDP على الإنترنت من غير MFA؟

الهجمات الحقيقية مش أفلام. اللي بيدخل الشركات في 2026 — وفي 2024، و2020، وعلى أيامنا — هو نفسه: phishing، credentials مسرّبة، patch فايت من سنة، ومسؤول كسلان حاطط الـ backup على نفس الـ domain.

الخلاصة الناشفة
المهاجم بيدوّر على أرخى نقطة في المنظومة. مش على الباب الحديد. لو إنت كمدافع بتحط فلوسك كلها على الـ EDR وسايب Active Directory وحش، يبقى انت بتلعب الشطرنج وعينك على بيدق واحد بس. اكتبها على الحيطة اللي قصاد مكتبك: الـ adversary بيحب أرخى نقطة، مش أصعب نقطة.

أنواع القبعات — مين بيلبس ايه؟

الناس بتحب تحط الـ hackers في خانات. وكل خانة لها لون.

بُص الأنواع، بس ما تاخدهاش حرفياً قوي — الواقع أعقد من ده.

Red Hat / Black Hat
المهاجمين. الأسود بيهاجم لفلوس أو لسياسة أو لانتقام. الأحمر مهاجم عدواني، بيلاحق مهاجمين تانيين بأساليب هجومية. الاتنين خارج القانون لو مش معاهم تفويض.
White Hat / Blue Team
المدافعين، والـ pentesters اللي معاهم ورق. شغلهم يلاقوا الثغرة قبل الوحشين، يبنوا طبقات دفاع، ويردوا لما حادثة تحصل. ده اللي إنت رايح ليه.
Gray Hat
في النص. بيكتشف ثغرة من غير إذن، بس بيبلّغ عنها. النية كويسة؟ ممكن. القانون شايفه مخالف؟ في 90% من الدول، أيوه. ما تلعبش في المنطقة دي من غير ما تفهم بلدك.
Purple Team
الاتنين بيشتغلوا مع بعض. الـ Red بيهاجم، الـ Blue بيكشف، وبعدين بيقعدوا يراجعوا. ده اللي بيخلّي الحماية بيتطوّر فعلاً، مش بس على ورق.

سلسلة الهجوم — Cyber Kill Chain

طلعت Lockheed Martin النموذج ده علشان توصف مراحل أي هجوم متقدم (APT). والكلام ده مش نظري — ده اللي بيحصل في كل حادثة كبيرة بتقراها في الأخبار.

  1. الاستطلاع — Reconnaissance — جمع أي حاجة عن الهدف.
  2. التسليح — Weaponization — تجهيز الـ payload.
  3. التوصيل — Delivery — توصيله (بريد، USB، لينك، supply chain).
  4. الاستغلال — Exploitation — تشغيل الثغرة.
  5. التثبيت — Installation — backdoor يثبت في النظام.
  6. القيادة والتحكم — C2 — قناة بين المهاجم والجهاز المخترق.
  7. الفعل على الهدف — Actions on Objectives — سرقة، تشفير، تخريب، تجسس.
السلسلة دي مهمة ليه؟
علشان كسر أي حلقة فيها = الهجوم كله طار. الحماية الشاطر بيحط طبقة كشف في كل مرحلة، مش بس على الباب الأول. لو فات عليك Recon، الـ Delivery لسه عندك فرصة. لو فات الـ Delivery، الـ Exploitation لسه فيها. وهكذا.

القصة الحقيقية — SolarWinds وKill Chain على الأرض

تعالى نمشي على حادثة حقيقية، حلقة حلقة. SolarWinds، 2020. اللي عملوا APT29 (Cozy Bear، اللي بيتنسبوا للاستخبارات الروسية SVR).

01
Recon
قعدوا شهور يدرسوا SolarWinds. ايه نظام الـ build؟ مين الـ developers؟ ايه الـ pipelines؟ ايه أكتر منتج بيتنزّل عند العملاء؟ الإجابة: Orion. منتج إدارة شبكات بيتركّب عند 18,000 جهة، فيهم وزارات أمريكية وشركات Fortune 500.
02
Weaponization
طلّعوا malware اسمه SUNBURST. مكتوب بـ .NET، مدمّج جوّه DLL أصلية اسمها SolarWinds.Orion.Core.BusinessLayer.dll. الـ malware بيستنى 12-14 يوم بعد التركيب قبل ما يتحرّك. ليه؟ علشان يعدّي على الـ sandboxes اللي بتفحص الكود لمدة قصيرة.
03
Delivery
دخلوا على build server بتاع SolarWinds (إزاي؟ لسه الـ industry بتتناقش). وحقنوا الـ malware في الـ build pipeline نفسه. النتيجة: الـ DLL طلعت موقّعة بشهادة SolarWinds الأصلية. وكل عميل عمل update، نزّل الـ backdoor كأنه software شرعي.
04
Exploitation
مفيش exploit بالمعنى الكلاسيكي. الـ exploit هنا هو الثقة. عميلك بيثق فيك، فبتسربه الكود اللي عاوزه. هجمات Supply Chain أخطر حاجة في الـ industry دلوقتي.
05
Installation
SUNBURST اتثبّت في 18,000 شبكة. منهم 100 شركة كبيرة و9 وزارات أمريكية اتمّ الاختراق فيهم بشكل كامل. التركيب كان "شرعي" — التوقيع الرقمي صحيح، الـ EDR ما اشتكاش.
06
C2
الـ malware بيكلّم domains زي avsvmcloud.com، subdomains مولّدة بـ DGA (Domain Generation Algorithm) علشان كل ضحية يبقى ليها subdomain مختلف. الـ traffic بيبان طبيعي. ومحدش بيشك.
07
Actions on Objectives
سرقوا emails من Microsoft، وزارة الخزانة، وزارة التجارة، DHS. وسرقوا أدوات FireEye الهجومية. كله من غير ما حد يحس لمدة 9 شهور.
اللي بيحصل فعلياً
9 شهور. مفيش EDR شافهم. مفيش SIEM لقّطهم. مفيش antivirus حسّ. اللي كشفهم في الآخر؟ FireEye، لما لقوا واحد سجّل جهاز جديد على MFA باسم موظف موجود فعلاً. كشفوا الباب الخلفي بسؤال بسيط: "ليه فيه device جديد؟".
دي الـ truth الموجعة: الـ APT بيختفي جوّه الـ traffic الطبيعي. الكشف بيجي من شذوذ صغير — مش من alert كبير أحمر.
الحماية — الدرس من SolarWinds
- مراجعة الـ supply chain: ما تثقش في DLL لمجرد إنها موقّعة.
- مراقبة الـ build infrastructure نفسها كأنها production.
- شذوذ الـ DNS: subdomains جديدة، DGA، traffic لـ domains ما اتشافتش قبل كده — ده signal.
- MFA بـ device attestation، مش بـ TOTP بس.
- Zero Trust على شغل الـ vendors: كل tool بيتنزّل، يفترض إنه عدو لحد ما يثبت العكس.

MITRE ATT&CK — اللغة اللي بيتكلّمها كله

تخيّل إن المهاجمين والمدافعين بيتكلّموا لغتين مختلفتين.

المهاجم بيقول: "عملت persistence بـ scheduled task".
المدافع بيقول: "شفت process مش طبيعي بيتشغّل في الساعة 3 صباحاً".

الاتنين بيتكلّموا عن نفس الحاجة. بس مفيش مفردات مشتركة. النتيجة؟ سوء فهم، تقارير ما بتتفهمش، وفرق Red وBlue بتقعد تتخانق على لا حاجة.

MITRE ATT&CK هو القاموس المشترك. موسوعة عملية لكل Tactics, Techniques & Procedures (TTPs) المشاهدة في الواقع، مرتّبة، ومسمّاة بأسماء ثابتة. الـ Red بيستخدمه يخطّط. الـ Blue بيستخدمه يكشف. الاتنين بيتكلّموا بنفس اللغة.

  • Tactic = الهدف. ليه المهاجم بيعمل اللي بيعمله؟ (مثلاً TA0003 — Persistence).
  • Technique = الأسلوب. إزاي بيحقّق الهدف ده؟ (مثلاً T1053 — Scheduled Task/Job).
  • Sub-technique = التفصيل. أي variant بالظبط؟ (T1053.005 — Scheduled Task على Windows).
  • Procedure = التنفيذ الفعلي لمجموعة معيّنة. APT29 بتعملها كده، Lazarus بتعملها كده.

سيناريو ATT&CK كامل — هجوم Conti على Costa Rica

تعالى نمشي على حادثة تانية، بس بعدسة MITRE.

أبريل 2022. عصابة Conti شنّت هجوم ransomware على حكومة Costa Rica. الرئيس أعلن حالة طوارئ وطنية. أوّل مرة في التاريخ دولة تعلن طوارئ بسبب هجوم سيبراني.

إزاي حصل ده؟ خلّينا نمشي بـ ATT&CK:

  • Initial Access (TA0001) — T1078: Valid Accounts. credentials مسرّبة من employee في وزارة المالية. مفيش zero-day. مفيش phishing فاخم. حساب وكلمة سر.
  • Execution (TA0002) — T1059.001: PowerShell. شغّلوا scripts على المحطة الأولى.
  • Persistence (TA0003) — T1547: Boot or Logon Autostart Execution. ضمنوا إن الـ access يعيش بعد reboot.
  • Privilege Escalation (TA0004) — T1068: Exploitation for Privilege Escalation. ثغرة في Windows مش متّعمل لها patch.
  • Defense Evasion (TA0005) — T1562: Impair Defenses. قفلوا الـ Windows Defender. مفيش ادارة مركزية للـ security policies. كل سيرفر شغل لوحده.
  • Credential Access (TA0006) — T1003: OS Credential Dumping. شغّلوا Mimikatz، طلّعوا hashes من LSASS.
  • Discovery (TA0007) — T1018: Remote System Discovery. مسحوا الشبكة الداخلية، لقوا 800+ سيرفر.
  • Lateral Movement (TA0008) — T1021: Remote Services. SMB، RDP، WinRM. الشبكة flat — لو دخلت محطة، انت دخلت كله.
  • Collection (TA0009) — T1560: Archive Collected Data. لمّوا 672 GB بيانات في ملفات مضغوطة.
  • Exfiltration (TA0010) — T1567: Exfiltration Over Web Service. سحبوا الداتا قبل ما يشفّروا. ابتزاز مزدوج.
  • Impact (TA0040) — T1486: Data Encrypted for Impact. شغّلوا الـ ransomware على كل السيرفرات في يوم واحد.
بُص الفكرة
كل تكتيك من دول كان فيه فرصة كشف. كل واحد. لكن الجهة كانت بتراقب نقطة واحدة بس — الـ perimeter. لما المهاجم عدّى الـ perimeter (بحساب مسرّب)، كل الباقي مش بيتراقب.
ده تمثيل defense، مش defense. الـ ATT&CK بيوريك إنك محتاج كشف على كل تكتيك، مش على واحد بس.

بناء معمل التدريب — Lab Setup

قاعدة مفيش حد بيسمعها كفاية: ما تجرّبش حاجة برّه معملك.

مفيش "هجرّبه على شبكة المكتب علشان أتأكد". مفيش "السيرفر بتاع صحبي وافق". الكلام ده آخره مشاكل قانونية، ومشاكل شغل، ومشاكل سُمعة.

الإعداد اللي ينفعك:

01
نظام المهاجم
Kali Linux أو Parrot OS جوّه VirtualBox أو VMware. على شبكة Host-Only علشان يبقى معزول عن النت بتاعك.
02
أنظمة الضحية
Metasploitable 2/3 (Linux مكسور بنية)، DVWA و OWASP Juice Shop (تطبيقات ويب فيها ثغرات)، VulnHub (صور VMs جاهزة)، وسيرفر Ubuntu نضيف للتجارب اللي إنت بتطبخها.
03
بيئة سحابية معزولة
حساب AWS منفصل تماماً عن الإنتاج. ولا حتى نفس الـ billing root. CloudGoat و flaws.cloud بتدّيك سيناريوهات هجوم سحابة في بيئة قانونية.
04
مخابر مجانية على النت
HackTheBox، TryHackMe، RangeForce، PortSwigger Web Academy. ده شغل قانوني 100% — البيئة بتاعتهم، الإذن جاهز.
$ sudo apt install -y nmap nuclei ffuf gobuster sqlmap
$ docker run -d -p 80:80 vulnerables/web-dvwa
DVWA up on http://127.0.0.1 — login: admin/password

الأخلاقيات والقانون — اللي مش معاه ورق، ما يلمسش

- بس يا حضرتك أنا كنت بحاول أساعدهم؟؟

يا نجم الجيل.. لأ. مفيش قاضي هيقبلها.

هل ينفع تختبر سيرفر شركة من غير إذن؟
لا.
لا ما ينفعش.

أنا شفت بنفسي ناس راحت سجن أسابيع علشان "كانت بتجرّب". مفيش حد ساعدهم. لا الكورس اللي اتعلموا منه، ولا الجروب اللي بيشجعهم.

القاعدة الذهبية — مفيش استثناء
ما تختبرش هدف ما معاكش عليه إذن مكتوب. اختراق نظام من غير تفويض جريمة في كل الدول. العقوبة بتوصل لسنين سجن وغرامات بالملايين. اللي مش معاه ورق، ما يلمسش. خلاص.
  • كل engagement بيبتدي بـ Rules of Engagement (RoE) موقّعة من الجهة.
  • وثيقة Scope بتحدّد بالظبط ايه اللي بيتختبر، ايه اللي ممنوع، والـ time window.
  • كل أداة وكل أمر بتشغّله، بيتسجّل في Engagement Log. علشان لو حصل أي مشكلة، انت معاك dossier كامل.
  • لو الجهة طلبت تجربة على نظام إنتاج: غيّر الـ engagement letter. مفيش "بكلمة بيني وبينك".

الـ professional pentester مش اللي بيلاقي ثغرات أكتر.
ده اللي ما بيتسببش في مشكلة قانونية لشركته ولا لعميله.
الفرق ده هو اللي بيخلّيك تشتغل في المجال 20 سنة، مش 6 شهور.

اوعى تلمس هدف من غير ورق. اوعى تصدّق "صاحبي وافق". اوعى. أنت ونصيبك لو غلطت.

الوحدة التالية
Lab Setup — ابني الـ lab في 30 دقيقة