إزاي تحمي شركتك من هجمات USB الداخلية دلوقتي!

موظف وصل فلاشة… وحصلت الكارثة!
مرة كنت بشتغل على تقرير تحقيق جنائي رقمي، ولقيت حالة خطيرة: موظف حاسس بـاضطهاد داخل الشركة وعايز ينتقم من المديرين، فجّر الحكاية لما حط فلاشة USB في جهاز من أجهزة الشركة - وفي خلال دقائق حصل تسريب بيانات وحركة مش طبيعية على الشبكة.
المشهد في البداية باين بسيط، لكن كان بداية لهجوم داخلي (Insider Attack) مستخدم فيه تقنية اسمها BadUSB - والموضوع تحول لكابوس حقيقي

إيه هو BadUSB وليه مرعب؟ ​

BadUSB مش دايمًا بيبقى ملف .exe واضح. في حالات أكثر خطورة، الفلاشة بتغيّر الـ Firmware بتاعها أو بتتظاهر كجهاز إدخال (HID) - يعني بتتصرف كأنها لوحة مفاتيح وتكتب أوامر بنفسها على الجهاز.
اللي بيخلي الهجوم ده رهيب فعلاً إن:

• ممكن مايبقاش في أي ملف مرئي لتوقيعه يتعرف عليه الـ Antivirus.
• التنفيذ يحصل في الذاكرة (in-memory execution) من غير آثار على الهارد ديسك.
• Insider عادةً عنده معرفة بالبنية التحتية وطرق الوصول، يعني يقدر يسرّع انتشار الضرر.

---

المصطلحات اللي لازم تكون عارفها ​

• Firmware reprogramming - إعادة برمجة البرنامج المدمج في الجهاز بتاع الفلاشة.
• HID emulation / Keyboard Injection - الفلاشة بتتصرف كلوحة مفاتيح وتنفذ أوامر تلقائيًا.
• In-memory execution - تشغيل كود في الذاكرة بدون كتابة ملفات على الهارد.
• Privilege escalation - تصعيد الصلاحيات داخل النظام.
• Device descriptor tampering - تعديل وصف الجهاز عشان يتجاوز سياسات الأمان.

---

ليه الـ Antivirus ممكن يفشل هنا؟ ​

الـ Antivirus التقليدي بيعتمد على توقيعات للملفات (file signatures) أو سلوكيات معروفة تترك أثر. لما الهجوم يشتغل عبر Firmware أو HID ويعتمد على تنفيذ في الذاكرة، الكشف التقليدي بيبقى شبه مستحيل لو مفيش مراقبة سلوكية (Behavioral monitoring) متفعلة.

---

ازاي تحمي شركتك من هجمات USB الداخلية؟ ​

تدابير بسيطة لكن فعالة لو اتطبقت صح:

1. سياسة صارمة للـ USB​

معاملات واضحة: ممنوع توصيل وسائط غير موثوقة. نفّذ Device Whitelisting أو سياسات GPO تمنع أي جهاز مش مرخّص. ده يمنع أي USB غير مُوافق منه إنه يتعرف على الجهاز.

2. تعطيل Autorun/AutoPlay​

لو الملف بيشتغل أوتوماتيك لما تتوصل الفلاشة، ده باب مفتوح. عقد سياسة على الـ OS لتعطيل AutoPlay.

3. تقليل صلاحيات الحسابات (Least Privilege)​

متديش المستخدمين صلاحيات إدارية غير ضرورية - حتى لو حصل توصيل فلاشة، تأثيرها هيبقى محدود.

4. راقب السلوك مش الملفات بس (EDR & Behavioral Monitoring)​

فعّل حلول EDR تراقب سلوكيات زي: اكتشاف HID غير متوقع، عمليات كتابة بالذاكرة بدون ملف ثابت، محاولات تصعيد صلاحيات، واتصالات غريبة على الشبكة.

5. سجل كل حاجة (Logging)​

سجل أحداث USB، سجلات النظام، وترافيك الشبكة عشان تقدر تعمل تحقيق بعد الحادث. بدون Logging، التحقيق هيبقى صعب.

6. تدريب الموظفين (Awareness)​

ادرب الفريق على رفض وسائط مجهولة والتبليغ فورًا. كتير من الحوادث بتحصل بسبب سهو أو ثقة زائدة.

7. خطة استجابة للحوادث (IR Plan)​

خلي فيه خطة جاهزة: قطع الجهاز من الشبكة، حفظ ذاكرة (memory dump)، تجميع الأدلة (forensics)، واستعادة من نسخ احتياطية.

---

أدوات وإعدادات عملية ممكن تطبقها فورًا ​

تعطيل USB Storage على ويندوز (PowerShell)​

تغيير قيمة الريجستري لتوقيف usb storage:

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR' -Name 'Start' -Value 4

ملاحظات: لازم تختبر قبل على جهاز غير إنتاجي وتعرف تأثير التغيير على الأجهزة الضرورية (مثل طابعات أو أجهزة قياس).

حظر وحدة usb-storage على لينكس (udev / modprobe)​

إنشاء ملف blacklist:

echo "blacklist usb-storage" | sudo tee /etc/modprobe.d/blacklist-usb-storage.conf
sudo update-initramfs -u

مراقبة أحداث USB على ويندوز (PowerShell)​

عرض أحداث النظام المتعلقة بـ USB:

Get-WinEvent -LogName System | Where-Object { $_.Message -like '*USB*' } | Select-Object TimeCreated, Message -First 50

تسجيل نشاط HID أو اكتشاف Keyboard Injection​

اعتماد حلول EDR/EDM اللي بتتعامل مع سلوك الإدخال والتصرف كـ HID، ومتابعة أي إدخال مفاجئ بعد توصيل جهاز جديد.

---

لو حصلت واقعة: خطوات استجابة سريعة ​

1. فصل الجهاز فورًا عن الشبكة (Network Isolation).
2. عمل صورة لذاكرة الجهاز (Memory Dump) وأخذ نسخة قرصية كاملة (Disk Image).
3. تجميع سجلات الشبكة (PCAP) والأحداث (Event Logs).
4. تحليل الـ Firmware لو أمكن (extraction & analysis).
5. تحديث السياسات ومنع Device اللي استخدمت.
6. إخطار الأطراف المعنية وإعادة تقييم السياسات التدريبية.

---

الحالة دي بتعلّمنا حاجة مهمة ​

المشكلة مش إننا بنستخدم التكنولوجيا - المشكلة إننا بنستخف بخطوات بسيطة: توصيل فلاشة بدون تحقق، فتح إيميل مش متأكد منه، أو منح صلاحيات واسعة. الوقاية دايمًا أذكى من العلاج.
وخد بالك: الضربة ممكن تيجي من أقرب حد ليك - موظف، شريك، أو جهاز شخصي متحدف في الشبكة

خاتمة ونصيحة أخيرة ​

• فعّل سياسات Whitelisting وLeast Privilege.
• استثمر في EDR وBehavioral Monitoring.
• سجّل كل حاجة واعمل تدريبات دورية للموظفين.
• وخلي عندك خطة IR جاهزة - فرق الأمان اللي متأهبة بتقلّل الضرر جامد.