الفرق الحمراء — الهجومخبير100mL64

هجمات USB والاختراق الجانبي للشبكات

BadUSB، عبور الفجوات الهوائية، MITM، والوصول إلى الأجهزة بعد الاتصال

#BadUSB#Stuxnet#Air-Gap#MITM#Lateral

لماذا USB ما زال السلاح الأخطر في 2026

الفجوة الهوائية (air gap) — فصل النظام تماماً عن الإنترنت — هي أعلى مستوى دفاع تعرفه البنى التحتية الحرجة (محطات طاقة، منشآت نووية، شبكات تصنيع). USB هو الجسر الوحيد الذي يعبر هذه الفجوة. لذا منذ Stuxnet في 2010 حتى عمليات Volt Typhoon الأخيرة، USB ظلّ ناقل العدوى الأول للأهداف "المعزولة".

تشبيه — شرح مبسط

الفجوة الهوائية كجدار حصن. الإنترنت بوابة محروسة. USB — قطعة بريد يضعها موظف في جيبه ويعبر بها الجدار دون تفتيش. لذا كل خصم جاد على بنى تحتية حرجة يستثمر في "كيف ندخل عن طريق جيب موظف".

تحذير قانوني

توصيل جهاز USB بنظام لا تملكه (حتى محطة شحن في مطار) قد يُعتبر "وصولاً غير مصرح" تحت CFAA §1030. هذا الدرس لـ: (1) مختبراتك الخاصة، (2) عمليات red team بعقد، (3) تقييمات تحت تفويض حكومي مكتوب.

عائلات هجمات USB — اعرف الفرق

1) USB كقرص ملوث

ملف خبيث + إعداد autorun.inf أو اسم مغرٍ (salaries.xlsx.lnk). يعتمد على نقر المستخدم. أبسط أشكال الهجوم — وما زال يعمل ضد بيئات ضعيفة الوعي.

2) BadUSB — انتحال الفئة

الـ firmware في chip الـ USB قابل لإعادة البرمجة. يدّعي أنه HID (لوحة مفاتيح) فيُكتب أوامر بسرعة 1000 wpm. لا يحتاج autorun — النظام يثق بأي keyboard.

3) Rubber Ducky / Bash Bunny

منتجات تجارية (Hak5) تنفّذ BadUSB بلغة سكربت. DuckyScript يحوّل تسلسل ضربات لوحة مفاتيح إلى ملف .bin، يُسقط في "USB" ثم يكتب نفسه على الهدف خلال ثوانٍ.

4) USB كمحوّل شبكي (LAN Turtle)

الجهاز يعرّف نفسه كـ USB Ethernet adapter. Windows يفضّله تلقائياً على شبكة LAN/WiFi → كل DNS وHTTP يمر عبر الجهاز → MITM فوري.

5) USB كمسرّب لاسلكي (O.MG cable)

يبدو ككبل شحن iPhone. داخله شريحة WiFi + microcontroller. تتصل به من 100م، تنفّذ أوامر، تستخرج بيانات. الضحية لا يعرف أن "الكبل" أصبح C2.

6) USBKill / تخريب فيزيائي

مكثفات تشحن من خط 5V ثم تطلق ~200V في خطوط الـ USB. تُتلف اللوحة الأم في 0.5 ثانية. ليس "اختراقاً" لكنه ضمن طيف هجمات USB في عمليات تخريب.

كيف يُنشر USB ملوث في العالم الحقيقي

الإسقاط — Drop Attack

دراسة جامعة إلينوي 2016 الكلاسيكية: 297 USB أُلقيت في حرم جامعي. 98% أُخذت، 45% وُصلت بحاسوب. معدل النجاح أعلى لو الـ USB موسوم ("السرية"، "رواتب 2026"، شعار الجامعة). في عمليات حقيقية على بيئات حكومية، الموقع يُختار: مواقف السيارات، المصاعد، الكافتيريا.

الهدية المؤتمر / الترويج

USB "مجانية" توزع في مؤتمر صناعي. حصل في 2018 لمؤتمر شركة طاقة أمريكية كبرى — انتشرت العدوى في 14 مرفق طاقة قبل اكتشاف الحملة. الموزّع نفسه قد يكون بريئاً (شركة طبع البطاقات أُخترقت في سلسلة الإمداد).

الموظف الداخلي / المُتعاقد

المسار الذي استُخدم في Stuxnet (2010). إيران كانت معزولة عن الإنترنت في منشأة نطنز. التحليلات تشير إلى أن مقاولاً (روسي على الأرجح) أدخل USB ملوث إلى محطة هندسية. الباقي تاريخ.

محطات الشحن العامة (Juice Jacking)

محطة شحن في مطار/فندق معدّلة. اللحظة التي تصل بها هاتفك بالـ USB، الجهاز يتفاوض على وضع البيانات، يقرأ الصور، يدفع تطبيقاً. FBI Denver أصدر تحذيراً رسمياً 2023.

سلسلة الإمداد

الأخطر. USB يصل ملوثاً من المصنع نفسه. حدث على شحنات مسجلات صوتية أمنية صينية 2022، ولوحات أم Asus (LiveUpdate) 2019. صعب جداً اكتشافه إذا كان التوقيع الرقمي صحيحاً.

كيف يعدي USB الـ "Air-Gap" — قصة Stuxnet مختصرة

Stuxnet هو الـ benchmark. كل عملية USB لاحقة درست منه:

الإسقاط الأولي — USB ملوث وصل إلى حواسيب مقاولين متصلين بالإنترنت أولاً.
الانتشار — كل USB يوصل بحاسوب مصاب يُنسخ إليه الحمولة. ينتشر تلقائياً.
عبور الفجوة — مهندس وصل USB ملوث بمحطة عمل داخل نطنز.
الانتقال داخلياً — استخدم 4 ثغرات 0-day في Windows + ثغرة في WinCC SCADA.
الحمولة النهائية — برنامج PLC مُعدّل، يخرّب طرّادات اليورانيوم بأنماط دوّار، بينما يُظهر للمشغّلين قراءات طبيعية.
التغطية — توقيع رقمي مسروق من Realtek وJMicron جعل Windows يثق بالـ drivers.

الدرس

نظام معزول لا يعني نظام آمن. يعني أن ناقل العدوى يجب أن يكون فيزيائياً — وهذا قيد بشري، لا تقني.

BadUSB من الداخل — كيف يكتب أوامر دون نقر

BadUSB يستغل أن بروتوكول USB يسمح للجهاز بأن يدّعي أي "فئة". الـ firmware يعدّل ليقول: "أنا لوحة مفاتيح Logitech". النظام يضيفه فوراً بدون أي طلب صلاحيات.

DuckyScript

REM === تعليمي بحت — تنفيذه على نظام بدون إذن جريمة ===
DELAY 1000
GUI r              REM فتح Run في Windows
DELAY 200
STRING powershell -w hidden -nop
ENTER
DELAY 1500
REM هنا في عملية حقيقية يُكتب one-liner C2،
REM لكن العرض التعليمي يتوقف عند Run فقط
STRING Write-Host "Educational PoC - red team training"
ENTER

الزمن من توصيل الـ USB إلى تنفيذ أمر: 3-7 ثوان. أسرع من أي تنبيه EDR تقليدي.

الدفاع

USB device control: سياسة GPO تمنع HID جديد إلا بعد موافقة (Windows: Device Installation Restrictions).
USBGuard على Linux: whitelist بـ vendor/product/serial. أي keyboard جديد يُحظر افتراضياً.
Port physical lockdown في بيئات OT/ICS — أغطية USB مقفلة، مفاتيح مادية للتفعيل.
اكتشاف "keyboard يكتب 1000 wpm": EDR متقدم يربط ضربات المفاتيح بمعدل بشري معقول.

الـ USB يصبح شبكة — LAN Turtle و O.MG كأمثلة

هنا يبدأ الجواب على سؤالك "كيف يدخل الفيروس الشبكة من USB؟". الفكرة: الـ USB لا يحقن "فيروس" في الشبكة مباشرة — يحوّل الجهاز المضيف إلى نقطة دخول للمهاجم على الشبكة.

السيناريو 1 — USB Ethernet Adapter خبيث

LAN Turtle يعرّف نفسه كـ network adapter. Windows/Mac يضيفه تلقائياً ويفضّل route عبره أحياناً. النتيجة: كل DNS, HTTP, SMB يمر بالجهاز. ينفذ المهاجم: DNS spoofing, NTLM relay, captive portal مزيف، أو استخراج hash الـ NetNTLMv2 خلال ثوان.

السيناريو 2 — كبل O.MG كـ implant مستقل

الكبل يحتوي WiFi access point. المهاجم يتصل به من سيارته في الموقف، ينفّذ أوامر، يستخرج. الجهاز نفسه لا يحتاج اتصال إنترنت — الكبل هو القناة.

السيناريو 3 — USB يفتح reverse shell ثم يبدأ الـ pivot

BadUSB ينفّذ payload صغير → اتصال خارجي بـ C2 → المهاجم يصل إلى الجهاز → يبدأ من هناك يستكشف الشبكة الداخلية بأدوات native (لا تتطلب رفع شيء).

السيناريو 4 — ARP poisoning من المضيف المخترَق

بعد دخول جهاز، المهاجم يستخدمه ليسمم ARP cache على الـ subnet. كل traffic بين الأجهزة المجاورة والـ gateway يمر به. يصبح man-in-the-middle لـ subnet كامل.

$ # هذه أوامر تشخيصية لمختبر تملكه — تفهم ما يحدث، لا تشغّلها على شبكة غريبة

$ # 1) رؤية كل الأجهزة في subnet 192.168.1.0/24:

$ nmap -sn 192.168.1.0/24

Nmap scan report for 192.168.1.10 MAC Address: 00:0C:29:AB:CD:EF (VMware) Nmap scan report for 192.168.1.42 MAC Address: B8:27:EB:11:22:33 (Raspberry Pi)

$ # 2) معرفة منافذ مفتوحة على هدف داخل المختبر:

$ nmap -sV -p 1-1000 192.168.1.42

$ # 3) الأجهزة في ARP table المحلية (من سرّى لمن):

$ ip neigh show

بعد الاتصال بالشبكة — كيف يصل المهاجم إلى الأجهزة الأخرى

هذا هو الجزء الذي سألت عنه: "لو اتصلت بشبكة، كيف أصل إلى الأجهزة؟". الإجابة عبر مراحل منهجية:

رسم خريطة الشبكة

اكتشاف ما هو موجود قبل أي شيء. أدوات ما تحتاج رفعها: nmap, arp, netstat, ip route, nslookup. هدفك: subnets، gateway، DHCP، DNS، servers (DC, DB, Print, File).

$ # خريطة سريعة للشبكة المباشرة:

$ ip route # gateways و subnets المعروفة

$ arp -a # كل من تكلمت معه مؤخراً

$ nmap -sn 10.0.0.0/24 # أجهزة حية

$ nmap -sV --top-ports 100 10.0.0.5 # خدمات على هدف

جمع المعلومات السلبي — listen قبل أن تتكلم

كل subnet تتدفق فيه broadcasts: ARP, mDNS, LLMNR, NBT-NS, DHCP, SSDP, NetBIOS. Responder و Wireshark يخبرانك بأسماء الحواسيب، المستخدمين، أحياناً hashes كاملة قبل أن ترسل حزمة واحدة.

لماذا هذه الخطوة مهمة: سلبية = صعبة الاكتشاف. ساعة سماع تكشف أكثر من ساعة فحص نشط، ولا تطلق IDS.

LLMNR/NBT-NS Poisoning — أول طريق سهل لـ hashes

عندما حاسوب Windows يطلب اسماً غير موجود في DNS، يُذيع "من اسمه X؟" على LAN. أداة Responder تجيب "أنا!"، فيرسل الحاسوب ضحية NTLMv2 hash لها. تكسرها أو ترحّلها (relay).

bash

# في مختبر تملكه:
sudo responder -I eth0 -wd
# انتظر hashes → cracking offline بـ hashcat:
hashcat -m 5600 hashes.txt rockyou.txt

NTLM Relay — لا تكسر، استخدم

أقوى من cracking. بدل كسر الـ hash، رحّله مباشرة إلى خدمة أخرى تثق بنفس النطاق (LDAP, SMB, MSSQL, ADCS). أداة impacket-ntlmrelayx. شرط: SMB signing معطّل على الهدف (وهو افتراضياً معطّل على الكثير).

استغلال SMB / RCE معروفة

على شبكة مؤسسية غير محدّثة، تجد دائماً جهازاً واحداً عرضة لـ EternalBlue (CVE-2017-0144)، PrintNightmare (CVE-2021-34527)، PetitPotam، أو ZeroLogon (CVE-2020-1472). كلها تصبح RCE/Domain Admin بأدوات public.

الحركة الجانبية — Lateral Movement

بعد كلمة سر/hash واحد، تتنقّل بين الأجهزة بـ:

PsExec / wmiexec / smbexec (impacket) — تنفيذ أوامر عن بُعد عبر SMB.
WinRM (HTTPS port 5986) — أكثر شرعية، يبدو إدارياً.
Pass-the-Hash / Pass-the-Ticket — لا تحتاج كلمة السر النصية.
RDP — مباشر لو فُتح. أكثر صخباً لكن مفيد على workstations.

الوصول للـ Domain Controller — "crown jewel"

Active Directory هو الهدف في 95% من الشبكات المؤسسية. مرة واحدة لديك Domain Admin: DCSync يستخرج كل hashes النطاق، تُعمل golden tickets، الوصول دائم.

ملاحظة مهنية

هذه ليست "خطوات يقفز بها فيروس USB تلقائياً". هذه خطوات يدوية ينفذها المشغّل بعد أن يفتح USB له shell على جهاز داخلي. الـ malware لا يحل محل المهاجم — يضعه على الكرسي.

الدفاع الكامل — كيف تُغلق هذه السلسلة

ضد USB

سياسة device control صارمة — Windows GPO أو CrowdStrike/SentinelOne تمنع أي جهاز USB غير مسجل.
USB data diodes في بيئات OT — قراءة فقط، لا كتابة.
محطات تنظيف USB (Olea Kiosk, OPSWAT) — كل USB يدخل المنشأة يمر بفحص محايد أولاً.
تعطيل autorun منذ 2010 (افتراضي على Windows الحديث) — لكن تأكد بـ GPO.
USBGuard / udev rules على Linux تحدّد بدقة ما يُقبل.
تدريب المستخدمين — "USB وجدته" = "سلّمه للأمن، لا تُوصله". Drop tests منتظمة.

ضد التحرك الجانبي

تعطيل LLMNR و NBT-NS عبر GPO — يقتل أرخص هجمات Responder.
تشغيل SMB signing إلزامياً — يقتل NTLM relay.
عزل الشبكة (segmentation) — workstation لا تتكلم مع workstation. حركة الـ east-west تمر عبر firewall.
Tier 0/1/2 model لـ Active Directory — حسابات admin النطاق لا تُسجل أبداً على workstations.
LAPS — كلمة سر admin محلية فريدة لكل جهاز، تُدوّر تلقائياً.
EDR متقدم يصطاد سلوك impacket: PsExec service creation, suspicious WMI, lsass access.
Honeypots داخلية: SMB share "Finance_Backups" يبدو مغرياً، أي وصول له = تنبيه فوري.
Network access control (NAC): 802.1X — أي جهاز جديد على المنفذ يجب أن يصادق قبل وصوله للشبكة.

MITRE ATT&CK

T1091 (Replication Through Removable Media), T1200 (Hardware Additions), T1557 (AiTM), T1110.001 (Brute Force), T1557.001 (LLMNR/NBT-NS Poisoning), T1021 (Remote Services), T1003.006 (DCSync), T1550.002 (Pass-the-Hash), T1078 (Valid Accounts).

حالات دراسية موثّقة

Stuxnet (2010) — USB → Windows 0-days → WinCC → PLCs نطنز. أول عملية USB cyber-physical موثّقة.
Agent.btz (2008) — USB في موقف سيارات قاعدة عسكرية أمريكية في الشرق الأوسط، أصاب SIPRNet. أدى لإنشاء USCYBERCOM.
Raspberry Robin (2021–) — دودة تنتشر عبر USB، تقود إلى ransomware. آلاف المؤسسات.
USB Ninja Cable (2019) — كبل شحن مزور بمتحكم BLE، شُوهد في عمليات تجسس صناعي.
FIN7 BadUSB campaign (2022) — USB يُرسل بريدياً مع رسائل تبدو من HHS أو Amazon. FBI أصدر تحذيراً رسمياً.

مراجع للتعمق

"Countdown to Zero Day" — Kim Zetter — تشريح Stuxnet كاملاً
CISA Defending Against Software Supply Chain Attacks
NIST SP 800-114 r1 — guidelines for personal storage devices
Hak5 documentation — لفهم Bash Bunny / O.MG كأدوات تعليمية
SANS ICS515 — defending industrial control systems
FBI PSA on Juice Jacking (2023)

القوانين والصلاحيات السيبرانية الفيدرالية الأمريكية

بناء هجمات USB في المختبر — أمثلة عملية