تقنيات الصمود في Red Team: شرح وأنواع وحماية21

تقنيات الصمود (Persistence) هي الأساليب اللي بيستخدمها الهاكرز أو فرق الـRed Team علشان يضمنوا وجودهم داخل نظام أو شبكة بعد ما يخترقوها. هدفها يبقى الوصول ده ثابت لمدة طويلة - علشان يختبروا دفاعات المؤسسة أو علشان الهاكر يسرق بيانات على المدى الطويل. المقال ده هيشرح الأنواع المهمة، أمثلة عملية بسيطة، وطرق الكشف والحماية بالمستوى العملي، وبطريقة مبسطة. 🚀

ليه تقنيات الصمود مهمة في الـRed Team؟​

• بتوريك قد أيه الدفاعات ضعيفة لو محدّثتش أو ما راقبتش كويس.
• بتخلي اختبار الأمان واقعي أكتر (مش مجرد اختراق لمرة واحدة وبس).
• بتساعد فرق الدفاع (Blue Team) تطوّر آليات كشف أفضل.

---

أهم أنواع تقنيات الصمود (بسيطة وواضحة) 🔧​

1. Registry Persistence - تسجيلات الويندوز​

دي عبارة عن تعديلات في سجل النظام (Registry) علشان البرنامج الخبيث يشتغل أوتوماتيكيًا عند كل تشغيل للنظام.
مثال سريع لأمر PowerShell يضيف قيمة في الريجستري لتشغيل برنامج عند الاقلاع:

New-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "MyBackdoor" -Value "C:\Users\Public\backdoor.exe"

2. Scheduled Tasks - المهام المجدولة​

الهاكر ممكن ينشئ مهمة مجدولة (Task Scheduler) تشغّل الكود الخبيث كل فترة (مثلاً كل ساعة).
مثال إنشاء Scheduled Task عبر PowerShell:

$action = New-ScheduledTaskAction -Execute "C:\Users\Public\backdoor.exe"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(5) -RepetitionInterval (New-TimeSpan -Minutes 60)
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "UpdaterTask"

3. Services - خدمات النظام​

إنشاء خدمة (Windows Service أو systemd service في لينكس) يخلي البرنامج يشتغل من البداية ويصعب إزالته بدون صلاحيات عالية.
مثال systemd service بسيط على لينكس:

[Unit]
Description=My Persistence Service

[Service]
ExecStart=/usr/local/bin/backdoor
Restart=always

[Install]
WantedBy=multi-user.target

ثم:

sudo cp mybackdoor.service /etc/systemd/system/
sudo systemctl enable mybackdoor
sudo systemctl start mybackdoor

4. AutoRun / Startup Folders - التشغيل التلقائي للبرامج​

وضع اختصار أو ملف في مجلد Startup (ويندوز) أو إضافة لملفات الـrc (لينكس) علشان يشتغل تلقائيًا عند تسجيل الدخول.
ويندوز مثال (نسخ تشغيل تلقائي):

Copy-Item "C:\Users\Public\backdoor.exe" "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\backdoor.exe"

5. تقنيات متقدمة ومخفية (Rootkits / Bootkits)​

الـRootkits بتخفي العمليات والملفات عن أدوات النظام، والـBootkits بتتعمق لمرحلة الإقلاع (boot) - دول أخطر لأنهم بيصعّبوا الاكتشاف والإزالة.

---

دور تقنيات الصمود في اختبارات الـRed Team 🎯​

الفرق بتستخدمها علشان:

• تقيس مدى قدرة دفاعات الـBlue Team على الكشف.
• تقيّم جودة السياسات الأمنية (مثل منع الـexec من مجلدات معينة، أو مراقبة مهام مجدولة).
• توصّل توصيات عملية لتحسين المراقبة والتصدي.

إزاي تكشف وجود Persistence Techniques؟ (خطوات عملية) 🔎​

1. مراجعة Registry: راجع مفاتيح الـRun وRunOnce وScheduled Tasks بانتظام.
2. تحليل الخدمات: فحص أي خدمات جديدة أو مشهورة بوجود أمر غريب في الـExecPath.
3. مراقبة العمليات على النظام: رصد الـprocesses الفجائية أو اللي بتعمل شبكات خارجية.
4. فحص الـStartup Folders: التأكد إن مفيش ملفات أو شورتكات غريبة.
5. استخدام أدوات EDR/AV: استعمال حلول Endpoint Detection تتابع التغيرات في السجلات والملفات.
6. مراجعة crontab وsystemd timers (لينكس): للتأكد مفيش مهام مش متوقعة.

أمثلة أوامر لفحص سريع:

• عرض المهام المجدولة على ويندوز:

Get-ScheduledTask | Where-Object {$_.State -ne 'Disabled'}

• فحص الـcrontab على لينكس:

crontab -l
sudo ls /etc/cron.* /etc/systemd/system/

طرق الحماية والتخفيف (Mitigation) ✅​

• أدمن أقل قدرًا: قلّل صلاحيات المستخدمين - مش كل حد يحتاج Admin.
• تحكم في السياسات: منع تشغيل ملفات من مجلدات مؤقتة، وفحص عمليات الـStartup.
• مراقبة التغييرات في الريجستري والملفات: استخدم أدوات تتبع (File Integrity Monitoring).
• تفعيل تحديثات النظام والبرمجيات: كتير من Persistence تعتمد على ثغرات معروفة.
• EDR وSIEM: ربط التنبيهات والـlogs علشان تتصرف بسرعة لما يحصل نشاط مريب.
• فحص دوري بعد الاختراق: لو حصل اختراق، افحص للمخلفات (persistence artifacts) قبل ما ترجع النظام للخدمة.

الخلاصة - نقطة مهمة للممارسين والمهندسين 💡​

تقنيات الصمود جزء أساسي من سيناريوهات الـRed Team لأنها بتديلك صورة حقيقية عن قدرة شبكتك على الصمود قدام تهديدات مستمرة. الوقاية والكشف السريع هما أساس العلاج: قلّل الصلاحيات، راقب التغيرات، واستخدم أدوات EDR/IDS لرد الفعل السريع.