العمليات والتقصيمتقدم75mL22

Threat Intel — تعرف اللي قصادك

STIX/TAXII و MISP و Diamond Model و Pyramid of Pain

#CTI#STIX#MISP#IOC#Diamond

إيه هي الـ Threat Intelligence أصلاً؟

بُص.

الـ CTI مش لستة IPs. مش feed بتشتركه وتسيبه يولّع تنبيهات. مش جمع كل اللي على الإنترنت من IOCs. هو معرفة قابلة للتنفيذ بترد على: مين بيستهدفنا؟ إزاي؟ نعمل إيه؟ اللي بيخلط بين الـ data والـ intel بيدفن نفسه تحت feeds مفيش منها فايدة.

تشبيه — شرح مبسط

الـ CTI زي قسم الاستخبارات في الجيش. الأقمار بتجمع داتا خام.. المحللين بيحوّلوها لـ "العدو حرّك دبابتين على الجبهة الشمالية".. القائد بيقرر: نعزّز الجبهة دي ولا نتجاهل؟ مفيش معنى للداتا من غير ما حد ياخد قرار عليها.

SolarWinds 2020 — لما الـ CTI كان السكة الوحيدة

FireEye اكتشفت إنها متخرقة في ديسمبر 2020 لما لقت red team tools مسروقة. الـ analyst لاحظ أن SUNBURST malware بيعمل DNS beacon بنمط معيّن. شارك الـ TTPs مع CISA. الـ TTP ده (مش الـ hash، مش الـ IP) كان السبب إن 18 ألف organization عرفت إنها متخرقة. لو الكل كان بيركّز على hashes، الحملة كانت لسه شغّالة لحد دلوقتي. الـ CTI الحقيقي = TTPs، مش indicators.

مستويات الـ Intel — كل واحد لجمهوره

Strategic

للقيادة. مش تقني. "نقلق من APT41 الربع ده ولا لأ؟". المدى الزمني: شهور لسنين.

Operational

للمدراء و SOC leads. "حملة جديدة من Volt Typhoon بتضرب الطاقة بـ TTPs كذا و كذا". المدى: أسابيع لشهور.

Tactical

للمحللين. "FIN12 بيستخدم Cobalt Strike مع SMB beacon على :445". المدى: أيام لأسابيع.

Technical

للأدوات. "الـ hashes/IPs/domains دي — اقفلها". المدى: ساعات لأيام (بتموت بسرعة).

The Pyramid of Pain — مش كل IOC زي التانية

الـ pyramid من David Bianco. بترتب الـ IOCs حسب صعوبة تغييرها على المهاجم:

text

            ┌─────────────┐
            │   TTPs      │  ← تغييرها يكلّف المهاجم أسابيع و إعادة بناء
            ├─────────────┤
            │   Tools     │  ← أيام–أسابيع
            ├─────────────┤
            │ Network/Host│  ← ساعات
            │  Artifacts  │
            ├─────────────┤
            │ Domain Names│  ← دقائق
            ├─────────────┤
            │ IP Addresses│  ← دقائق
            ├─────────────┤
            │ Hash Values │  ← ثواني (يغيّر byte واحد)
            └─────────────┘

اللي بيحصل فعلياً

متجريش ورا الـ hashes بس — ده شغل بدون أمل، يا مستجد. الـ attacker بيقلب byte ويرميك. الـ detection الجامد بيقعد فوق على الـ TTPs: "process tree فيها Word بيفتح PowerShell" أقوى مية مرة من "block hash X".

Diamond Model — هيكل تحليل أي حادث

كل حادث بيتفك على 4 رؤوس في الـ Diamond:

text

              [Adversary]
                  |
                  |
   [Capability]──┼──[Infrastructure]
                  |
                  |
               [Victim]

Adversary — مين؟ (APT29 / Lazarus / criminal group / unknown).
Capability — إيه؟ (malware, exploits, social engineering).
Infrastructure — منين؟ (C2 servers, phishing domains).
Victim — على مين؟ (sectors, geographies, specific orgs).

في أي حادث، ابدأ بـ 3 رؤوس معروفة و pivot للرابع. مثال: عندك Capability (mimikatz) + Infrastructure (C2 IP) + Victim (شركتك). pivot على الـ Adversary عن طريق الـ CTI feeds.

STIX و TAXII — اللغة الموحدة

STIX 2.1 — JSON schema لتمثيل الـ intel: indicators, malware, threat actors, attack patterns. هو المعيار اللي الكل بيشتغل بيه.
TAXII 2.1 — protocol لنقل الـ STIX بين الأنظمة. RESTful API.

json

{
  "type": "indicator",
  "spec_version": "2.1",
  "id": "indicator--d81f86b9-975b-4c0b-875e-810c5ad45a4f",
  "created": "2026-04-30T14:00:00Z",
  "name": "APT29 C2 domain",
  "indicator_types": ["malicious-activity"],
  "pattern": "[domain-name:value = 'evil-c2.com']",
  "pattern_type": "stix",
  "valid_from": "2026-04-30T00:00:00Z",
  "labels": ["apt29", "cobalt-strike"]
}

MISP — منصة CTI مفتوحة المصدر

MISP (Malware Information Sharing Platform) هي أكتر منصة CTI منتشرة. CERT-EU و CIRCL و كتير من الـ ISACs بيشتغلوا بيها.

bash

# pyMISP — استعلام برمجي
from pymisp import PyMISP
misp = PyMISP('https://misp.target.gov', api_key, ssl=True)

# ابحث عن hash
result = misp.search(controller='attributes', value='aabbccdd...')

# pivoting — events شاركت هذا الـ IP
result = misp.search(controller='events', value='1.2.3.4')

# tags بشكل آلي — Galaxy clusters (mitre-attack-pattern, threat-actor)

بدائل و مكمّلات

OpenCTI (واجهة أحدث، graph-based)، ThreatConnect (تجاري)، Anomali ThreatStream، Mandiant Advantage، CrowdStrike Falcon Intelligence.

IOC Pivoting — فن السلسلة

بتبدأ بـ IOC واحد، و بتطلع منه اتنين، تلاتة، عشرة. دي أهم مهارة في الـ CTI كله.

text

بداية: phishing email
  ↓ extract
sender IP: 185.x.x.x
  ↓ VirusTotal passive DNS
hosted domains: evil-c2.com, evil-phish.org, drop-zone.xyz
  ↓ urlscan.io
SSL cert SHA1: ab12... (also seen on 5 other IPs)
  ↓ CT logs (crt.sh) — same cert subject pattern
6 more domains registered same day
  ↓ WHOIS — same registrant email (anonymous)
  ↓ reverse WHOIS — that email registered 23 domains in 6 months
  ↓ malware hash hosted on one of these
  ↓ VirusTotal — sandbox shows beacon to evil-c2.com (cycle detected)
  ↓ ATT&CK — beacon pattern matches APT-X profile

نتيجة: من إيميل واحد → 30+ IOCs + attribution + TTPs

مصادر Pivoting أساسية

VirusTotal Intelligence — passive DNS, file behavior, related samples.
urlscan.io — DOM, screenshots, related submissions.
Shodan / Censys — internet-wide scans, banner search.
crt.sh — Certificate Transparency logs.
SecurityTrails / DomainTools — historical DNS, WHOIS.
Hunter.io / Skymem — emails by domain.
GreyNoise — تصنيف الـ scanners (benign vs malicious).
AbuseIPDB — sightings community.

OSINT للمحقق — Maltego

Maltego بيحوّل الـ pivoting من شغل يدوي لـ graph بصري. كل عنصر "Entity"، كل عملية pivoting "Transform". فيه Transforms جاهزة لـ VirusTotal و Shodan و PassiveTotal و DomainTools.

Maltego Community Edition ببلاش (بحدود).
Maltego CaseFile للتحقيقات الكبيرة.
أمثلة: ابدأ بـ domain → اطلع registrant email → دور على flickr/twitter بنفس الإيميل → ابص على الصور و الـ geolocation.

Threat Actor Profiling — تقرى تقرير CTI إزاي

الأسئلة اللي بتحدد قيمة التقرير

مين الـ Adversary؟ فيه attribution مع confidence (high/medium/low)؟
إيه الـ TTPs؟ مرتبطة بـ MITRE ATT&CK؟
إيه الـ IOCs؟ hashes, IPs, domains, YARA — في format machine-readable.
فيه Detection? Sigma rules أو KQL جاهزة؟
إيه الـ Recommendations؟ mitigations محددة؟
الـ Confidence مستواه إيه؟ اللي شايفه بعينك أد إيه، و اللي بتستنتجه أد إيه؟

أحسن مصادر التقارير:

Mandiant / Google TAG — APT focus.
CrowdStrike Global Threat Report — سنوي مفصّل.
Microsoft Threat Intelligence — قوي على هويات و cloud.
CISA Advisories — رسمي، مع IOCs و mitigations.
FBI FLASH / PIN reports — عبر InfraGard للقطاع الخاص.
ISACs (FS-ISAC, MS-ISAC) — قطاعية، sharing community.
Recorded Future, Flashpoint — تجارية، underground sources.

بناء برنامج CTI من الصفر

عرّف الـ PIRs (Priority Intelligence Requirements). أمثلة: "أنهي مجموعة بتستهدف قطاعنا؟"، "أي ثغرة جديدة في الأنظمة اللي بنشغلها؟". متجمعش حاجة مش هتستخدمها.
اختار مصادرك بعقل. 2-3 free + 1-2 paid feeds. مش كل feed مفيد.
ركّب الـ tooling. MISP/OpenCTI كمنصة مركزية. اربطها بالـ SIEM للـ matching.
اكتب تقارير أسبوعية: للقيادة (صفحة واحدة) و للـ SOC (technical).
قيس قيمة الـ intel: كام alert جه من feed X؟ كام منهم true positive؟ كام detection جديدة اتبنت على الـ intel؟ مفيش قياس = مفيش تحسن.

السياق الفيدرالي

بيئة خاصة

USIC (US Intelligence Community) و التنسيق مع FBI Cyber Division و NSA و CISA. الفصل بين Title 50 (intel) و Title 18 (law enforcement) جوهري — لازم تفهمه.
CTIIC (Cyber Threat Intelligence Integration Center) — هاب التكامل بين الـ tactical/operational/strategic.
InfraGard — شراكة مع القطاع الخاص. للمحقق سكة لتبادل الـ intel مع 16 قطاع.
Classification — اتعلم النظام (UNCLASSIFIED, FOUO, CUI, CONFIDENTIAL, SECRET, TS, TS/SCI). متشاركش intel مصنّف برة الـ clearance بتاعك.
TLP (Traffic Light Protocol) — معيار مدني للمشاركة: RED, AMBER, GREEN, CLEAR. اتعلمه قبل ما تبعت أي تقرير.

غلطات الـ junior في الـ CTI

بُص بقى — ده اللي بيحصل في معظم الفرق

بيشترك في 10 feeds مدفوعة. بيدخّلهم في SIEM. الـ alerts ولّعت من 200 لـ 5000 في اليوم. الـ analyst بقى بيقفل بدون قراية. الـ MTTD اتضاعف.
بيكتب تقرير CTI 30 صفحة محدش بيقراه. الـ leadership عايزة سطر واحد.
بيعمل attribution بـ "high confidence" على هجوم من 4 IOCs. الـ Diamond Model مكسور. الـ FBI بيرفض الـ report.
بيشارك intel مصنّف في Slack public channel. الـ clearance بتتلغي. الـ career بيخلص.
بيلاحق hashes كل يوم. الـ MITRE ATT&CK بيدوبه. الـ TTPs ما حدش بيشتغل عليها.

اوعى تفتكر إن feeds كتير = CTI. الـ CTI هي القرار اللي اتاخد بناءً على الـ intel. لو الفريق ما عندوش PIRs واضحة، أنت بتجمع noise وبس.

الخلاصة الناشفة

الـ Pyramid of Pain هي الـ compass.

اللي بيشتغل تحت = بيتعب نفسه. اللي بيشتغل فوق = بيتعب الـ attacker.

اكتبها على ظهر إيدك:

كل ساعة تروح في hash، هي ساعة المهاجم كسبها مجاناً.

اختار صفك.

Chain of Custody — الدليل لو ضاع، خلصت

الوحدة التالية

Federal Cyber Law — قبل ما تكتب أمر واحد