الأمن العملياتي الهجومي (Offensive OPSEC) — تجنب نسب الهجمات

الأمن العملياتي (OPSEC) ليس مجرد حالة من الارتياب (Paranoia)، بل هو انضباط منهجي يهدف إلى عدم ترك أي أدلة تمكن المدافع من طردك قبل إتمام المهمة، أو تتبع العملية وربطها بفرد أو فريق أو جهة راعية. هذا الدرس موجه لـ الفرق الحمراء (Red Teams) المصرح لها التي تحتاج للعمل بأسلوب يحاكي الواقع، ولـ المدافعين الراغبين في معرفة الثغرات العملياتية التي يجب مراقبتها.

[!warning] تنبيه: للعمليات المصرح بها فقط جميع المعلومات الواردة أدناه تفترض وجود نطاق عمل محدد ومصرح به كتابياً. استخدام هذه التقنيات خارج نطاق التفويض الرسمي يعد دليلاً جنائياً على القصد الجرمي يسهل عمل جهات الادعاء.

إخفاقات الـ OPSEC الخمسة التي تحرق العمليات

1. إعادة استخدام البنية التحتية: استخدام نفس الخوادم أو النطاقات عبر حملات أو لعملاء مختلفين.
2. العمل عبر عنوان IP حقيقي: الاتصال بأنظمة الهدف من مقر السكن أو المكتب ولو لمرة واحدة.
3. استخدام الحسابات الشخصية: تسجيل الدخول إلى البريد الشخصي أو حسابات التواصل من أجهزة العمليات.
4. آثار المناطق الزمنية (Time-zone artifacts): ترك أدلة في الكود، أو مسارات بناء البرمجيات، أو إعدادات اللغة تشير لموقع المهاجم.
5. إعادة استخدام الكود بإهمال: استخدام نفس النصوص (Strings)، أو الـ Mutex، أو مفاتيح RC4 عبر غرسات برمجية مختلفة.

نظافة الهوية الرقمية (Identity hygiene)

# لا تسمح لهويتك الحقيقية بلمس أنظمة العمليات مطلقاً.
# يجب إنشاء شخصية افتراضية (Persona) مستقلة لكل عملية:
# - بريد إلكتروني مؤقت (مثل ProtonMail/Tutanota عبر Tor)
# - هاتف مخصص (eSIM، دفع مسبق، يستخدم لهذه العملية فقط)
# - محفظة عملات رقمية ممولة عبر خلاطات (Mixers) أو منصات لامركزية (DEX) بدون هوية (KYC)
# - ملف تعريف متصفح مستقل وبيئة افتراضية (VM) معزولة لكل شخصية
$ 
$ qubes-vm-create persona-alpha --template fedora-39
$ firefox --profile ~/persona-alpha/.mozilla/firefox/op

قاعدة ذهبية: لا تفتح حساباتك الشخصية (Gmail/X/Slack) مطلقاً من داخل بيئة العمليات؛ فعمليات ربط بصمات المتصفح (Browser fingerprinting) هي حقائق مثبتة بحثياً.

عزل محطات العمل (Workstation isolation)

[ الجهاز المضيف - للاستخدام اليومي - تشفير كامل للقرص ]
         │
         └─── [ بيئات Qubes / Whonix مستقلة لكل عملية ]
                    │
                    └─── [ Tor ← VPN مدفوع ← خادم VPS (Tier-1) ← خادم التحكم C2 ]

• لا تتصل بيئات العمليات بالإنترنت بشكل مباشر أبداً.
• استخدم خاصية اللقطات (Snapshots) قبل كل جلسة، واستعد الحالة السابقة بعدها؛ لمنع أي تلوث ناتج عن آثار الاستمرارية (Persistence) بين العمليات.
• خصص بيئة افتراضية مستقلة لكل عملية؛ يمنع تماماً الخلط بين العمليات في بيئة واحدة.

مسارات الخروج الشبكية (Network egress)

الانضباط الزمني: تأكد من مطابقة ساعة النظام والإعدادات المحلية (Locale) في البيئة الافتراضية مع الموطن المزعوم للشخصية الافتراضية. إذا كنت تعمل "من برلين"، فاستخدم

de-DE

Europe/Berlin

tzdata

الأمن العملياتي للكود والغرسات البرمجية

[!tip] ما الذي يحدد بصمتك الرقمية (Fingerprinting)؟ أسماء Mutex مكررة، مفاتيح تشفير ثابتة، أخطاء إملائية فريدة في رسائل الخطأ، مسارات PDB تحتوي على اسم المستخدم الخاص بك، سوء استخدام علامات RTL/LTR، إعدادات متطابقة لبرامج الحزم (Packers)، أو طول متماثل لمفاتيح XOR.

# تجريد الثنائيات من كافة الآثار أثناء البناء:
$ go build -ldflags="-s -w -buildid= -X main.buildtime=2020-01-01"
$ strip --strip-all binary
$ nm -D binary | wc -l   # يجب أن تكون النتيجة قريبة من الصفر
$ 
# البناء القابل للتكرار (Reproducible builds) لضمان عدم تغير البصمة
$ SOURCE_DATE_EPOCH=1577836800 go build -trimpath ...

بالنسبة للغرسة البرمجية: قم بتدوير أسماء الـ Mutex، وعشوائية مفاتيح التشفير لكل عملية بناء، وتغيير ترتيب الاستيراد (Imports)، واستخدام شهادة توقيع كود (Code-signing) جديدة لكل مجموعة.

انضباط استخدام الأدوات

• لا تسجل الدخول للبنية التحتية للعمليات من متصفح يحتوي على جلسات شخصية مخزنة (Cached).
• لا تقم بعمل

  git push

  لمستودع عام من بيئة عمليات.
• احذر من تسريبات الـ DNS؛ تحقق دائماً باستخدام

  dnsleaktest

  من داخل البيئة الافتراضية.
• عطل خاصية WebRTC في المتصفحات لمنع كشف عنوان IP الحقيقي.
• حافظ على دقة الوقت؛ قم بمزامنة البيئة الافتراضية عبر خادم NTP في منطقة الشخصية الافتراضية.

أنماط العمل: "الهادئ" مقابل "الصاخب"

يحدد الراعي أو نطاق العمل مستوى التسامح مع مخاطر الكشف:

يفضل دائماً اتباع النمط الهادئ ما لم ينص التفويض على خلاف ذلك؛ فالعمليات "الصاخبة" تحرم المدافعين من فرصة تعلم أنماط الهجوم الواقعية.

مكافحة التحقيق الرقمي (Anti-forensics)

# مسح سجلات أحداث Windows (إجراء صاخب لكنه يعيق التحقيق)
$ wevtutil cl Security
$ wevtutil cl System
$ wevtutil cl Application
$ 
# الحذف الانتقائي للسجلات (يفضل استخدامه لتقليل الشبهات)
$ xeexs evtx-edit Security.evtx --delete-id 4624 --user op_user
$ 
# في أنظمة Linux
$ shred -uvz /var/log/auth.log
$ unset HISTFILE; export HISTSIZE=0
$ ln -sf /dev/null ~/.bash_history
$ 
# التلاعب بالأختام الزمنية (Timestomping)
$ touch -r /bin/ls /tmp/evil   # مطابقة وقت تعديل ملف ls
$ SetMace.exe -p evil.dll -t "2018-01-15 09:31:14" -m -a -c -e

[!danger] مكافحة التحقيق هي في حد ذاتها إشارة خطر وجود سجل

Security.evtx

فارغ، أو ملف

~/.bash_history

مربوط بـ

/dev/null

هو بمثابة إنذار أحمر لأي محقق جنائي رقمي. تفضل المجموعات المتقدمة إجراء تعديلات جراحية دقيقة أو العمل بالكامل داخل الذاكرة (In-memory) لتجنب ترك أي آثار حذف.

الأعلام الكاذبة (False flags)

زرع رموز تهدف لتضليل عملية النسب (مثل تعليقات باللغة الكورية، أو مسارات بناء روسية) هو قرار استراتيجي يتخذه الراعي وليس المشغل، لما له من تبعات دبلوماسية. نادراً ما يتم التصريح بذلك في مهام الفرق الحمراء، لكنه يظهر بكثرة في أعمال مجموعات التهديد المتقدمة (APT).

الأمن العملياتي من منظور المدافع

ابحث عن مخالفات الـ OPSEC وليس فقط البرمجيات الخبيثة:

• نطاق (Domain) مسجل حديثاً مع شهادة LE صحيحة وتصنيف "غير محدد" ← مشبوه جداً.
• إشارات (Beacon) لـ Cloudflare مع عدم تطابق SNI في

  X-Forwarded-Host

  ← تقنية Domain Fronting.
• تغير في المناطق الزمنية لآثار البناء في منتصف الحملة ← تغيير في مناوبة العمل لدى المهاجم.
• استخدام نفس الـ Mutex عبر حادثتين غير مرتبطتين ← أدوات مشتركة أو فاعل واحد.
• ثنائي مجرد من الرموز (Stripped) مع وجود مرجع لملف

  .pdb

  منسي ← خطأ بشري من المشغل.

أسوأ يوم للمشغل هو أفضل خيط للمدافع. ابحث عن هذه السقطات، وثقها، وشاركها عبر منصات تبادل المعلومات (ISAC).