Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L02
الفرق الحمراء — الهجوممتقدم60mL02

الاستطلاع وجمع المعلومات الاستخباراتية

الاستطلاع النشط والسلبي / OSINT

#OSINT#Subdomains#DNS#Shodan

ما هو الاستطلاع و لماذا 70% من نجاح الهجوم يعتمد عليه؟

الاستطلاع (Reconnaissance) هو مرحلة جمع المعلومات قبل أي محاولة اختراق. كلما عرفت أكثر عن الهدف، كلما زادت احتمالية نجاحك دون أن يلاحظك أحد.

تشبيه — شرح مبسط
تخيل لصاً ذكياً يريد سرقة بنك. لن يدخل في اليوم الأول. سيجلس في المقهى المقابل أسبوعاً كاملاً يراقب: متى يأتي الموظفون؟ من يحمل المفاتيح؟ متى تأتي شاحنة النقود؟ هذه بالضبط مهمة الاستطلاع.

نوعا الاستطلاع

استطلاع سلبي — Passive
بدون لمس الهدف مباشرة. تستخدم محركات بحث، أرشيفات، و قواعد بيانات عامة. الهدف لا يرى أي طلب منك. الأكثر خفاءً.
استطلاع نشط — Active
ترسل طلبات مباشرة للهدف (DNS, HTTP, ports). أسرع و أدقّ، لكن قد يظهر في سجلات الهدف.

OSINT — الاستخبارات من المصادر المفتوحة

1. معلومات المؤسسة

  • WHOIS — مالك الدومين، تاريخ التسجيل، إيميل المسؤول.
  • crt.sh — كل الشهادات SSL الصادرة → كشف الـ subdomains.
  • Shodan / Censys / FOFA — محركات بحث لكل جهاز متصل بالإنترنت.
  • Wayback Machine — نسخ قديمة من الموقع تكشف endpoints محذوفة.
$ whois target.gov
$ curl -s 'https://crt.sh/?q=%25.target.gov&output=json' | jq -r '.[].name_value' | sort -u
api.target.gov mail.target.gov staging.target.gov vpn.target.gov

2. معلومات الموظفين

  • LinkedIn — هيكل الشركة، أسماء، تقنيات يستخدمونها.
  • Hunter.io / EmailRep — إيميلات الموظفين.
  • GitHub / GitLab — كود مسرّب، مفاتيح API، أسرار في الـ commits.
  • HaveIBeenPwned / Dehashed — تسريبات سابقة لكلمات مرور الموظفين.
GitHub Dorks
# ابحث عن أسرار مسرّبة في GitHub
"target.gov" password
"target.gov" filename:.env
"target.gov" AKIA  # AWS keys
org:target-gov filename:config.yml

تعداد الـ Subdomains — قلب الاستطلاع للويب

كل subdomain = سطح هجوم جديد. غالباً ما يكون الـ staging.target.com أو old.target.com أضعف من الموقع الرئيسي.

$ subfinder -d target.gov -all -silent | tee subs.txt
$ amass enum -passive -d target.gov >> subs.txt
$ assetfinder --subs-only target.gov >> subs.txt
$ sort -u subs.txt | httpx -silent -title -tech-detect -status-code
https://api.target.gov [200] [API Gateway] [nginx] https://staging.target.gov [403] [WordPress 5.8] https://vpn.target.gov [200] [Fortinet SSL VPN]
لماذا تستخدم عدة أدوات؟
كل أداة تستخدم مصادر مختلفة. الجمع بينها يكشف 30-50% أكثر من الـ subdomains.

تتبع التقنيات — Tech Fingerprinting

  • Wappalyzer / WhatWeb — يحدد إطار العمل، الإصدار، الـ CDN.
  • BuiltWith — يبيّن مزود الاستضافة و البريد.
  • favicon hash — بصمة فريدة قد تكشف منتجات داخلية شائعة.
$ whatweb https://target.gov
nginx[1.24], WordPress[6.2], jQuery[3.6], PHP[8.1]

الدفاع: كيف تجعل الاستطلاع صعباً عليه؟

  • أخفِ الـ subdomains الداخلية خلف Cloudflare / WAF و امنع DNS zone transfer.
  • راقب crt.sh لشهادات جديدة تُصدر باسمك (مؤشر استطلاع).
  • افحص GitHub دورياً بـ truffleHog / gitleaks لمنع تسريب الأسرار.
  • درّب الموظفين: لا تنشر تفاصيل التقنيات في LinkedIn / Stack Overflow.
  • راقب User-Agents لأدوات الاستطلاع المعروفة (httpx, nuclei) و سجّلها في SIEM.
معلومة
Canary tokens في الـ DNS تعطيك إنذاراً مبكراً عند بدء الاستطلاع.
السابق
عقلية المهاجم وسلسلة الهجوم السيبراني
التالي
المسح وتحديد السمات والتعداد