العمليات والتقصيمتقدم75mL60

أساسيات الاستخبارات السيبرانية وتحليل المؤشرات

STIX/TAXII، MISP، Diamond Model، Pyramid of Pain

#CTI#STIX#MISP#IOC#Diamond

ما هي Threat Intelligence

الـ CTI (Cyber Threat Intelligence) ليس قائمة IPs. هو معرفة قابلة للتنفيذ تجيب: من يستهدفنا؟ كيف؟ ماذا نفعل؟ تحوّل البيانات الخام إلى قرارات.

تشبيه — شرح مبسط

الـ CTI كقسم استخبارات في جيش. الأقمار الصناعية تجمع بيانات (raw)، المحلّلون يحوّلونها لـ "خصمك يحرّك دبّابتين على الجبهة الشمالية" (intel). القائد يقرّر: نعزّز الجبهة الشمالية أم نتجاهل؟

مستويات الـ Intel

Strategic

للقيادة. لا تقني. "هل ينبغي أن نقلق من APT41 هذا الربع؟". مدى زمني: شهور–سنوات.

Operational

للمدراء و leads الـ SOC. "حملة جديدة من Volt Typhoon تستهدف الطاقة بـ TTPs X و Y". مدى: أسابيع–شهور.

Tactical

للمحلّلين. "FIN12 يستخدم Cobalt Strike مع SMB beacon على :445". مدى: أيام–أسابيع.

Technical

للأدوات. "هذه الـ hashes/IPs/domains. ابلوكها". مدى: ساعات–أيام (تتقادم بسرعة).

The Pyramid of Pain — لماذا ليست كل IOCs متساوية

من David Bianco. ترتّب IOCs بمدى صعوبة تغييرها على المهاجم:

text

            ┌─────────────┐
            │   TTPs      │  ← تغييرها يكلّف المهاجم أسابيع و إعادة بناء
            ├─────────────┤
            │   Tools     │  ← أيام–أسابيع
            ├─────────────┤
            │ Network/Host│  ← ساعات
            │  Artifacts  │
            ├─────────────┤
            │ Domain Names│  ← دقائق
            ├─────────────┤
            │ IP Addresses│  ← دقائق
            ├─────────────┤
            │ Hash Values │  ← ثواني (يغيّر byte واحد)
            └─────────────┘

الدرس

لا تطارد hashes فقط. الكشف الأقوى على TTPs: "process tree حيث Word يولّد PowerShell" أكثر قيمة من "block hash X".

Diamond Model — كيف تنظّم تحليل حادث

كل حادث يُحلّل عبر 4 رؤوس Diamond:

text

              [Adversary]
                  |
                  |
   [Capability]──┼──[Infrastructure]
                  |
                  |
               [Victim]

Adversary — من؟ (APT29 / Lazarus / criminal group / unknown).
Capability — ماذا؟ (malware, exploits, social engineering).
Infrastructure — من أين؟ (C2 servers, phishing domains).
Victim — على من؟ (sectors, geographies, specific orgs).

أي حادث ابدأ بثلاثة معروفة و pivot للرابعة. مثال: لديك Capability (mimikatz) + Infrastructure (C2 IP) + Victim (your org). Pivot للـ Adversary عبر CTI feeds.

STIX & TAXII — اللغة الموحدة

STIX 2.1 — JSON schema لتمثيل intel: indicators, malware, threat actors, attack patterns. أصبح المعيار.
TAXII 2.1 — protocol لنقل STIX بين أنظمة. RESTful API.

json

{
  "type": "indicator",
  "spec_version": "2.1",
  "id": "indicator--d81f86b9-975b-4c0b-875e-810c5ad45a4f",
  "created": "2026-04-30T14:00:00Z",
  "name": "APT29 C2 domain",
  "indicator_types": ["malicious-activity"],
  "pattern": "[domain-name:value = 'evil-c2.com']",
  "pattern_type": "stix",
  "valid_from": "2026-04-30T00:00:00Z",
  "labels": ["apt29", "cobalt-strike"]
}

MISP — منصة CTI مفتوحة المصدر

MISP (Malware Information Sharing Platform) أكثر منصة CTI انتشاراً. يستخدمها CERT-EU و CIRCL و كثير من الـ ISACs.

bash

# pyMISP — استعلام برمجي
from pymisp import PyMISP
misp = PyMISP('https://misp.target.gov', api_key, ssl=True)

# ابحث عن hash
result = misp.search(controller='attributes', value='aabbccdd...')

# pivoting — events شاركت هذا الـ IP
result = misp.search(controller='events', value='1.2.3.4')

# tags بشكل آلي — Galaxy clusters (mitre-attack-pattern, threat-actor)

بدائل / مكمّلات

OpenCTI (واجهة أحدث، graph-based)، ThreatConnect (تجاري)، Anomali ThreatStream، Mandiant Advantage، CrowdStrike Falcon Intelligence.

IOC Pivoting — فن السلسلة

تنطلق من IOC واحد، تعرف اثنين، ثلاثة، عشرة. هذه المهارة الأهم في CTI.

text

بداية: phishing email
  ↓ extract
sender IP: 185.x.x.x
  ↓ VirusTotal passive DNS
hosted domains: evil-c2.com, evil-phish.org, drop-zone.xyz
  ↓ urlscan.io
SSL cert SHA1: ab12... (also seen on 5 other IPs)
  ↓ CT logs (crt.sh) — same cert subject pattern
6 more domains registered same day
  ↓ WHOIS — same registrant email (anonymous)
  ↓ reverse WHOIS — that email registered 23 domains in 6 months
  ↓ malware hash hosted on one of these
  ↓ VirusTotal — sandbox shows beacon to evil-c2.com (cycle detected)
  ↓ ATT&CK — beacon pattern matches APT-X profile

نتيجة: من email واحد → 30+ IOCs + attribution + TTPs

مصادر pivoting أساسية

VirusTotal Intelligence — passive DNS, file behavior, related samples.
urlscan.io — DOM, screenshots, related submissions.
Shodan / Censys — internet-wide scans, banner search.
crt.sh — Certificate Transparency logs.
SecurityTrails / DomainTools — historical DNS, WHOIS.
Hunter.io / Skymem — emails by domain.
GreyNoise — تصنيف الـ scanners (benign vs malicious).
AbuseIPDB — sightings community.

OSINT للمحقق — Maltego

Maltego يحوّل pivoting من نشاط يدوي لـ graph visual. كل عنصر "Entity"، كل عملية pivoting "Transform". Transforms من VirusTotal, Shodan, PassiveTotal، DomainTools.

Maltego Community Edition مجاني (محدود).
Maltego CaseFile للتحقيقات الكبيرة.
أمثلة: ابدأ بـ domain → اكتشف email registrant → اكتشف flickr/twitter ذات الإيميل → اكتشف صور geolocated.

Threat Actor Profiling — كيف تقرأ تقرير CTI

أسئلة تحدد قيمة التقرير

من Adversary؟ هل هناك attribution مع confidence (high/medium/low)؟
ما TTPs؟ مرتبطة بـ MITRE ATT&CK؟
ما IOCs؟ hashes, IPs, domains, YARA rules — في format machine-readable.
ما Detection? Sigma rules, KQL queries جاهزة؟
ما Recommendations؟ mitigations محددة؟
ما الـ Confidence؟ ما الذي تعرفه عيناً، ما الذي تستنتجه؟

أفضل مصادر تقارير:

Mandiant / Google TAG — APT focus.
CrowdStrike Global Threat Report — سنوي مفصّل.
Microsoft Threat Intelligence — قوي على هويات و cloud.
CISA Advisories — رسمي، مع IOCs و mitigations.
FBI FLASH / PIN reports — عبر InfraGard للقطاع الخاص.
ISACs (FS-ISAC, MS-ISAC) — قطاعية، sharing community.
Recorded Future, Flashpoint — تجارية، underground sources.

بناء برنامج CTI — من الصفر

عرّف PIRs (Priority Intelligence Requirements). أمثلة: "أي مجموعة تستهدف قطاعنا؟"، "أي ثغرة جديدة في الأنظمة التي نشغّلها؟". لا تجمع ما لا تستطيع استخدامه.
اختر مصادرك. 2–3 free + 1–2 paid feeds. ليس كل feed مفيد.
طبّق tooling. MISP/OpenCTI كـ central platform. اربطها بـ SIEM لـ matching.
اكتب reports أسبوعية للقيادة (1 صفحة) و SOC (technical).
قِس قيمة intel: كم تنبيه نتج عن feed X؟ كم منها true positive؟ كم detections جديدة بناءً على intel؟

Federal context

بيئة خاصة

USIC (US Intelligence Community) و التعاون مع الـ FBI Cyber Division و NSA و CISA. الفصل بين Title 50 (intel) و Title 18 (law enforcement) جوهري.
CTIIC (Cyber Threat Intelligence Integration Center) — مركز تكامل tactical/operational/strategic.
InfraGard — partnership مع private sector. للمحقق طريقة لتلقي/مشاركة intel مع 16 sector.
Classification — تعلّم نظام (UNCLASSIFIED, FOUO, CUI, CONFIDENTIAL, SECRET, TS, TS/SCI). لا تشارك intel مصنّف خارج clearance.
TLP (Traffic Light Protocol) — معيار civilian لمشاركة intel: RED, AMBER, GREEN, CLEAR. تعلّمه قبل أن تُشارك أي تقرير.

تحليل الترويسات والتصيد الاحتيالي

إدارة الأدلة الرقمية وسلسلة الحفظ