- بواسطة x32x01 ||
الـ APTs (Advanced Persistent Threats) جامدة ومختلفة عن هجمات الإنترنت العادية - دي هجمات متخصّصة، صامتة، وممكن تفضل جوه شبكتك وقت طويل من غير ما تلاحظها. في البوست ده هنتكلّم عن خصائص الـ APTs، مراحِلها (Kill‑Chain)، وسائل الهجوم اللي بتعتمد عليها، وإيه اللي ممكن تعمله الـ Blue Team عشان تقلّل الضرر. 
Red Team شوفتها إزاي؟
الـ Red Team بتحب التحدّي ده - فرصة تعمل هجمة معقّدة وتعدّي طبقات الحماية. الفكرة عندهم إنهم يبذلوا مجهود كبير عشان يثبتوا نقطة ضعف معينة.
Blue Team شوفتها إزاي؟
الـ Blue Team بتعاني فعلاً - لو دخل APT في البيئة بتاعتك، ممكن يسبّب مشاكل كبيرة: خسارة بيانات، خسارة مالية، وتضرر سمعة. الشغل بتاعهم دايمًا على أعصابهم لأنهم لازم يكشفوا ويمنعوا الحاجات دي بسرعة.
إيه هي الـ APTs؟ وايه اللي بيميزها؟
الـ APTs مش هجوم عشوائي. فيه شوية خصائص تميزها:
أهم vectors للـ APTs (فين بتدخل منين؟)
مراحل الـ Kill‑Chain بتاعة الـ APTs - دورة حياة الهجوم (مختصر)
ليه الـ APTs كابوس للـ Blue Team؟
إزاي الـ Blue Team تحاول تكشف وتصد الـ APTs؟ خطوات عملية
4. كاميرات المراقبة وسجلات الدخول الفيزيائية (CCTV & Access Logs)
الـ APTs ساعات بتدخل عن طريق اختراق فيزيائي (physical breach) - افتح بالك على الـ datacenter وserver room.
أدوات ومراقبات مفيدة (نماذج)
خاتمة - أهم نصيحة لو شغّال في الـ Defensive Security
الـ APTs معركة طويلة ومحتاجة صبر وعمليات مستمرة: تحديثات، مراقبة، تدريب بشر، وتحليل لوجات. مهم تفهم الـ Kill‑Chain بتاعهم عشان تقدر تكسرها قبل ما يوصلوا لمرحلة سرقة البيانات أو التدمير. 
الفرق بين الـ Red Team والـ Blue Team في موضوع الـ APTs
Red Team شوفتها إزاي؟ 
الـ Red Team بتحب التحدّي ده - فرصة تعمل هجمة معقّدة وتعدّي طبقات الحماية. الفكرة عندهم إنهم يبذلوا مجهود كبير عشان يثبتوا نقطة ضعف معينة.Blue Team شوفتها إزاي؟ 
الـ Blue Team بتعاني فعلاً - لو دخل APT في البيئة بتاعتك، ممكن يسبّب مشاكل كبيرة: خسارة بيانات، خسارة مالية، وتضرر سمعة. الشغل بتاعهم دايمًا على أعصابهم لأنهم لازم يكشفوا ويمنعوا الحاجات دي بسرعة.إيه هي الـ APTs؟ وايه اللي بيميزها؟ 
الـ APTs مش هجوم عشوائي. فيه شوية خصائص تميزها:- مُوجَّهة وواصلة هدف محدد - بتشتغل على هدف واحد وتفضل معاه وقت طويل.
- تتحمّل المخاطر وتشتغل بصمت - ساعات تكون نشطة وأوقات تكون ساكتة عشان ماتفصلش عليها.
- مركّزة على بيانات محددة - مش بتسرق كل حاجة، بتجي تدور على نوع بيانات معين.
- بتجرّب كتير لحد ما تنجح - Resourceful: بتحاول طرق كتير ومصادر متعددة.
- متطورة جدًا - بتستخدم Zero‑day وطرق متقدمة تانية.
- تجي من مصادر مكانية متعددة - صعب تتبّعها عشان جايّة من أكتر من Location.
- بتستعمل ترافيك كبير أحيانًا - تخلي الـ Blue Team تحس إن الهجوم عالمي.
- مدعومة مواردياً (تمويل) - أحيانًا وراها جهات قوية أو مؤسسات عندها تمويل كبير.
أهم vectors للـ APTs (فين بتدخل منين؟) 
- خدمات مش متحدّثة (Unpatched Services) - بتستغل ثغرات معروفة أو غير معرفة.
- Zero‑Day malware - برمجيات مالهاش signature ولا patch.
- حملات Social Engineering / Phishing - خداع الناس هو الباب الأسهل في كتير من الحالات.
مراحل الـ Kill‑Chain بتاعة الـ APTs - دورة حياة الهجوم (مختصر) 
- التعرّف على الهدف (Target Identification) - يحدّدوا مين هيضحّي والـ attack vectors.
- بناء أو شراء الأدوات (Build/Acquire Tools) - يحصلوا على أدوات جاهزة أو يطوّروها.
- Reconnaissance - يجمعوا معلومات عن البنية التحتية والخدمات.
- Testing & Simulation - يجرّبوا الهجوم في بيئات اختبارية عشان يتأكدوا إنه مش هيتكشف.
- Deployment - ينفّذوا الهجوم فعليًا (مثلاً حملة بريدية أو استغلال Zero‑day).
- First Intrusion - الدخول الأولي واستغلال ثغرة.
- Obtain/Extend Access - يجمعوا صلاحيات وcredentials ويعملوا lateral movement.
- Data Exfiltration - سحب البيانات الحسّاسة اللي كانوا مستهدفينها.
- Cover Tracks & Persistence - يمحو أثرهم ويخلّوا backdoor يفتح لهم باب للرجوع تاني.
ليه الـ APTs كابوس للـ Blue Team؟ 
- حركة الهجوم موزّعة ومن مصادر كتير، فتعقب المصدر صعب.
- ممكن البيانات تتسرّب من غير ما تعرف إلا بعد ما يخلصوا.
- لو الهدف تدمير (destruction) مش سرقة، ممكن يبقى إصلاح الضرر شبه مستحيل.
- وجود حسابات مخترقة وـ sessions كتيرة يخلي الـ Forensics تتلغبط (spaghetti attack).
إزاي الـ Blue Team تحاول تكشف وتصد الـ APTs؟ خطوات عملية 
1. تحليل لوجات الشبكة (Network Logs Analysis)
تابع سجلات الراوترات والسويتشات والـ firewalls عشان تشوف access patterns غريبة.2. إدارة عناوين الـ IP وDHCP (IP Allocations)
راقب اللي بياخد IP من الشبكة: هل الجهاز corporate ولا جهاز شخصي؟ لازم يكون في تحكّم (NAC).3. التحقق من مفاتيح التشفير وقوائم البرامج (Integrity checks)
راجع مفاتيح SSH والـ packages المثبّتة - وجود package غريب ممكن يكون إنذار.4. كاميرات المراقبة وسجلات الدخول الفيزيائية (CCTV & Access Logs) 
الـ APTs ساعات بتدخل عن طريق اختراق فيزيائي (physical breach) - افتح بالك على الـ datacenter وserver room.5. حملات تصيّد (Phishing Campaigns) داخلية
اعمل حملات تدريبية على الموظفين علشان تعرف مين اللي ممكن يقع فـ bait ومين يبلغ. الناس دي بتتراقب أكتر بعد كده.6. مراقبة السلوك (Behavioral Monitoring) مش بس signatures
ابحث عن أنماط غير طبيعية في السلوك (مثل نقل بيانات كبير من جهاز واحد أو عمليات login غريبة).أدوات ومراقبات مفيدة (نماذج) 
- أدوات مراقبة logs وevents (SIEM).
- حلول مراقبة endpoints وsandboxing capable.
- أدوات مراقبة الشبكة للـ flows وليس packet فقط.
- أنظمة NAC وMFA لتقليل الوصول بالـ credentials المسروقة.
خاتمة - أهم نصيحة لو شغّال في الـ Defensive Security 
الـ APTs معركة طويلة ومحتاجة صبر وعمليات مستمرة: تحديثات، مراقبة، تدريب بشر، وتحليل لوجات. مهم تفهم الـ Kill‑Chain بتاعهم عشان تقدر تكسرها قبل ما يوصلوا لمرحلة سرقة البيانات أو التدمير. التعديل الأخير: