تقنيات الصمود في Red Team: شرح وأنواع وحماية

x32x01
  • بواسطة x32x01 ||
  • #1
تقنيات الصمود (Persistence) هي الأساليب اللي بيستخدمها الهاكرز أو فرق الـRed Team علشان يضمنوا وجودهم داخل نظام أو شبكة بعد ما يخترقوها. هدفها يبقى الوصول ده ثابت لمدة طويلة - علشان يختبروا دفاعات المؤسسة أو علشان الهاكر يسرق بيانات على المدى الطويل. المقال ده هيشرح الأنواع المهمة، أمثلة عملية بسيطة، وطرق الكشف والحماية بالمستوى العملي، وبطريقة مبسطة. 🚀

ليه تقنيات الصمود مهمة في الـRed Team؟​

  • بتوريك قد أيه الدفاعات ضعيفة لو محدّثتش أو ما راقبتش كويس.
  • بتخلي اختبار الأمان واقعي أكتر (مش مجرد اختراق لمرة واحدة وبس).
  • بتساعد فرق الدفاع (Blue Team) تطوّر آليات كشف أفضل.


أهم أنواع تقنيات الصمود (بسيطة وواضحة) 🔧​


1. Registry Persistence - تسجيلات الويندوز​

دي عبارة عن تعديلات في سجل النظام (Registry) علشان البرنامج الخبيث يشتغل أوتوماتيكيًا عند كل تشغيل للنظام.
مثال سريع لأمر PowerShell يضيف قيمة في الريجستري لتشغيل برنامج عند الاقلاع:
Code: 
New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "MyBackdoor" -Value "C:\Users\Public\backdoor.exe"

2. Scheduled Tasks - المهام المجدولة​

الهاكر ممكن ينشئ مهمة مجدولة (Task Scheduler) تشغّل الكود الخبيث كل فترة (مثلاً كل ساعة).
مثال إنشاء Scheduled Task عبر PowerShell:
Code: 
$action = New-ScheduledTaskAction -Execute "C:\Users\Public\backdoor.exe"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(5) -RepetitionInterval (New-TimeSpan -Minutes 60)
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "UpdaterTask"

3. Services - خدمات النظام​

إنشاء خدمة (Windows Service أو systemd service في لينكس) يخلي البرنامج يشتغل من البداية ويصعب إزالته بدون صلاحيات عالية.
مثال systemd service بسيط على لينكس:
Code: 
[Unit]
Description=My Persistence Service

[Service]
ExecStart=/usr/local/bin/backdoor
Restart=always

[Install]
WantedBy=multi-user.target

ثم:
Code: 
sudo cp mybackdoor.service /etc/systemd/system/
sudo systemctl enable mybackdoor
sudo systemctl start mybackdoor

4. AutoRun / Startup Folders - التشغيل التلقائي للبرامج​

وضع اختصار أو ملف في مجلد Startup (ويندوز) أو إضافة لملفات الـrc (لينكس) علشان يشتغل تلقائيًا عند تسجيل الدخول.
ويندوز مثال (نسخ تشغيل تلقائي):
Code: 
Copy-Item "C:\Users\Public\backdoor.exe" "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\backdoor.exe"

5. تقنيات متقدمة ومخفية (Rootkits / Bootkits)​

الـRootkits بتخفي العمليات والملفات عن أدوات النظام، والـBootkits بتتعمق لمرحلة الإقلاع (boot) - دول أخطر لأنهم بيصعّبوا الاكتشاف والإزالة.


دور تقنيات الصمود في اختبارات الـRed Team 🎯​

الفرق بتستخدمها علشان:
  • تقيس مدى قدرة دفاعات الـBlue Team على الكشف.
  • تقيّم جودة السياسات الأمنية (مثل منع الـexec من مجلدات معينة، أو مراقبة مهام مجدولة).
  • توصّل توصيات عملية لتحسين المراقبة والتصدي.

إزاي تكشف وجود Persistence Techniques؟ (خطوات عملية) 🔎​

  1. مراجعة Registry: راجع مفاتيح الـRun وRunOnce وScheduled Tasks بانتظام.
  2. تحليل الخدمات: فحص أي خدمات جديدة أو مشهورة بوجود أمر غريب في الـExecPath.
  3. مراقبة العمليات على النظام: رصد الـprocesses الفجائية أو اللي بتعمل شبكات خارجية.
  4. فحص الـStartup Folders: التأكد إن مفيش ملفات أو شورتكات غريبة.
  5. استخدام أدوات EDR/AV: استعمال حلول Endpoint Detection تتابع التغيرات في السجلات والملفات.
  6. مراجعة crontab وsystemd timers (لينكس): للتأكد مفيش مهام مش متوقعة.

أمثلة أوامر لفحص سريع:
  • عرض المهام المجدولة على ويندوز:
Code: 
Get-ScheduledTask | Where-Object {$_.State -ne 'Disabled'}
  • فحص الـcrontab على لينكس:
Code: 
crontab -l
sudo ls /etc/cron.* /etc/systemd/system/

طرق الحماية والتخفيف (Mitigation) ✅​

  • أدمن أقل قدرًا: قلّل صلاحيات المستخدمين - مش كل حد يحتاج Admin.
  • تحكم في السياسات: منع تشغيل ملفات من مجلدات مؤقتة، وفحص عمليات الـStartup.
  • مراقبة التغييرات في الريجستري والملفات: استخدم أدوات تتبع (File Integrity Monitoring).
  • تفعيل تحديثات النظام والبرمجيات: كتير من Persistence تعتمد على ثغرات معروفة.
  • EDR وSIEM: ربط التنبيهات والـlogs علشان تتصرف بسرعة لما يحصل نشاط مريب.
  • فحص دوري بعد الاختراق: لو حصل اختراق، افحص للمخلفات (persistence artifacts) قبل ما ترجع النظام للخدمة.

الخلاصة - نقطة مهمة للممارسين والمهندسين 💡​

تقنيات الصمود جزء أساسي من سيناريوهات الـRed Team لأنها بتديلك صورة حقيقية عن قدرة شبكتك على الصمود قدام تهديدات مستمرة. الوقاية والكشف السريع هما أساس العلاج: قلّل الصلاحيات، راقب التغيرات، واستخدم أدوات EDR/IDS لرد الفعل السريع.
 
التعديل الأخير:

المواضيع ذات الصلة

x32x01
لغة الأسمبلى أداة قوية للهاكرز وبالدليل !
  • x32x01
الردود
0
المشاهدات
805
x32x01
x32x01
x32x01
أختبار أختراق ويندوز + تثبيت الاتصال + رفع الصلاحيات ..
  • x32x01
الردود
1
المشاهدات
679
x32x01
x32x01
x32x01
أهمية تغير User Agent فى المتصفح للتصفح الخفى للأنترنت
  • x32x01
الردود
0
المشاهدات
646
x32x01
x32x01
x32x01
أهم شركات الأمن السيبراني في مصر 2026
  • x32x01
الردود
0
المشاهدات
840
x32x01
x32x01
x32x01
تعلم Zombie Scan بـ Nmap لفحص الشبكات بسهولة
  • x32x01
الردود
0
المشاهدات
698
x32x01
x32x01
الوسوم : الوسوم
cyber security edr solutions endpoint security incident response linux security persistence techniques red team awareness security hardening threat detection windows security
الدخول أو التسجيل السريع
نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى
المواضيع
2,388
المشاركات
2,601
أعضاء أكتب كود
574
أخر عضو
الياس
عودة
أعلى