- بواسطة x32x01 ||
الـ APTs أو "التهديدات المستمرة المتقدمة" Advanced Persistent Threats
و دي نوع من الهجمات المتطورة اللي بتعتمد على تقنيات وأساليب معقدة عشان تضمن بيها بقائك كمهاجم داخل النظام المستهدف لمدة طويلة من غير ما يتم اكتشافك.
الهجمات دي مش مجرد محاولات سريعة نسرق بيها معلومات .. لكن هدفها الأساسي هو الوصول لمعلومات حساسة لها قيمة عالية ، وغالبًا بتكون معلومات خاصة بمؤسسات كبرى أو جهات حكومية.
دي أول مرحلة ، وفيها المهاجم بيجمع معلومات أو بيعمل information gathering عن النظام المستهدف وبيفهم تركيب الشبكة عن طريق الهندسة الاجتماعية أو تجميع بيانات من الإنترنت او استخدام ادوات خاصة ال recon.
الفحص و الدخول الأولي : (Scanning and Initial Intrusion)
بعد ما المهاجم يجمع المعلومات، بيبدأ بيدور على ثغرات ممكن استغلالها ، وغالبًا بيستخدم برامج خبيثة زي Trojans أو RATs لدخول النظام بدون ما يلفت الانتباه.
التوسع في الشبكة (Lateral Movement):
بعد الدخول ، بيبدأ يتحرك داخل الشبكة بهدوء . ويحاول يوصل لأكبر عدد من الأجهزة المهمة لجمع معلومات أكتر .
الحفاظ على الوصول (Maintaining Access):
بيبدأ بإنشاء Backdoors عشان يضمن إنه يقدر يرجع للنظام في أي وقت بدون ما يكرر الهجوم.
استخراج البيانات (Exfiltration):
في المرحلة دي بيتم نقل البيانات المطلوبة بشكل مش ملحوظ، وبيتم باستخدام تقنيات زي التشفير لإخفاء البيانات عشان تتنقل بدون ما تتكشف
وهنا بيتم التحكم في الذاكرة من خلال تخصيص أو حجز أماكن معينة فيها للكتابة أو القراءة ، وده بيسمح بتنفيذ أوامر معينة مباشرة في النظام.
الـ Buffer Overflow :
وهنا بيتم استغلال الفجوات الناتجة عن أخطاء برمجية، وده بيسمح للمهاجم بكتابة وتنفيذ أكواد تجسس وتخريب في الذاكرة.
الـ Direct System Calls :
وهنا بيتم الاتصال المباشر بالنواة (Kernel) ولينا كلام كتيييير جاي عن الـ Kernal أو ببعض خدمات النظام، عشان ينفذ أوامر بصلاحيات عالية .
ده نوع من التهديدات بيدي للمهاجم وصول غير محدود للنظام، وبتشتغل غالبًا على مستوى النواة kernel وبتسمح بتغيير عمليات النظام وكمان بتخفيها
الـ Trojans (أحصنة طروادة) :
ودي برامج بتظهر للمستخدم كأنها طبيعية ، لكن جواها أكواد تجسس و malware بتدي صلاحيات تحكم للمهاجم .
الـ Exploit Kits :
ودي بقى أدوات بتستغل ثغرات معينة في النظام أو التطبيقات ، وبتساعد جدا ًفي تحقيق الاختراق.
الـ Ransomware (برامج الفدية):
ودي برمجيات بتشفر الملفات وتطلب فدية عشان تفك التشفير، وغالبًا بتشتغل بهدوء لتجنب الاكتشاف.
وهنا المهاجم بيحقن أكواد تجسس في برامج أو عمليات شغالة في النظام ، زي DLL Injection في Windows ، اللي بتمكننا من التحكم في العمليات الاساسية للنظام .
الـ Privilege Escalation:
هنا المهاجم بيبقى عاوز يوصل لصلاحيات أعلى بعد الدخول المبدئي، وده بيقوي عملية فرض سيطرته داخل النظام.
الـ Backdoors وPersistent Access:
ودع بيحصل بعد الاختراق، المهاجم بيضمن وجود باب خلفي كده عشان يقدر يدخل ويخرج من النظام بدون ما يتكشف.
وأخيراً وليس بأخر لا تنسى تزور قسم برمجة الفيروسات لأننا هنا فى أكتب كود مهتمين جداً بالأمن السيبرانى والفيروسات.
و دي نوع من الهجمات المتطورة اللي بتعتمد على تقنيات وأساليب معقدة عشان تضمن بيها بقائك كمهاجم داخل النظام المستهدف لمدة طويلة من غير ما يتم اكتشافك.
الهجمات دي مش مجرد محاولات سريعة نسرق بيها معلومات .. لكن هدفها الأساسي هو الوصول لمعلومات حساسة لها قيمة عالية ، وغالبًا بتكون معلومات خاصة بمؤسسات كبرى أو جهات حكومية.
طيب ايه هو اصلا الـ APT
الـ APT ده نوع متطور من الهجمات اللي بنستخدم فيه استراتيجيات مدروسة مش عشوائية خالص ، والهجوم ده بيمر بمراحل متتالية بتكون (مترتبة )عشان تقدر كمهاجم تحقق وصول مستمر لموارد النظام الحساسة بدون ما تتكشف بسهولة.طيب تعالى نتكلم عن مراحل الهجوم المتقدم APT
الاستطلاع (Reconnaissance):دي أول مرحلة ، وفيها المهاجم بيجمع معلومات أو بيعمل information gathering عن النظام المستهدف وبيفهم تركيب الشبكة عن طريق الهندسة الاجتماعية أو تجميع بيانات من الإنترنت او استخدام ادوات خاصة ال recon.
الفحص و الدخول الأولي : (Scanning and Initial Intrusion)
بعد ما المهاجم يجمع المعلومات، بيبدأ بيدور على ثغرات ممكن استغلالها ، وغالبًا بيستخدم برامج خبيثة زي Trojans أو RATs لدخول النظام بدون ما يلفت الانتباه.
التوسع في الشبكة (Lateral Movement):
بعد الدخول ، بيبدأ يتحرك داخل الشبكة بهدوء . ويحاول يوصل لأكبر عدد من الأجهزة المهمة لجمع معلومات أكتر .
الحفاظ على الوصول (Maintaining Access):
بيبدأ بإنشاء Backdoors عشان يضمن إنه يقدر يرجع للنظام في أي وقت بدون ما يكرر الهجوم.
استخراج البيانات (Exfiltration):
في المرحلة دي بيتم نقل البيانات المطلوبة بشكل مش ملحوظ، وبيتم باستخدام تقنيات زي التشفير لإخفاء البيانات عشان تتنقل بدون ما تتكشف
تعالى بقى نتكلم عن لغات البرمجة المستخدمة في صناعة فيروسات Apts
- اللغات دي لغات منخفضة المستوى بتساعدنا ننفذ تقنيات الوصول للذاكرة (Memory Access) ، والتحكم في مكونات الجهاز كهاردوير ونظام تشغيل على المستوى المنخفض
- اللغات اللى بتستخدمها كمهاجم في المجال ده هي مثلا C++ , C أو Assembly لأنها لغات بتسمح بالتحكم الكامل في النظام والوصول للذاكرة بشكل مباشر. اللغات دي قريبة جدًا من لغة الآلة ( 0،1) ، وبتدي للمهاجم السيطرة على البيانات والتفاصيل .اللي مش ممكن الوصول ليها بلغة عالية المستوى .
طيب مادام موضوع التحكم في الذاكرة ده مهم أوي كده ، تعالى نشوف الأدوات والتقنيات اللي بيتم استخدامها للتحكم في الذاكرة :
الـ Memory Manipulation :وهنا بيتم التحكم في الذاكرة من خلال تخصيص أو حجز أماكن معينة فيها للكتابة أو القراءة ، وده بيسمح بتنفيذ أوامر معينة مباشرة في النظام.
الـ Buffer Overflow :
وهنا بيتم استغلال الفجوات الناتجة عن أخطاء برمجية، وده بيسمح للمهاجم بكتابة وتنفيذ أكواد تجسس وتخريب في الذاكرة.
الـ Direct System Calls :
وهنا بيتم الاتصال المباشر بالنواة (Kernel) ولينا كلام كتيييير جاي عن الـ Kernal أو ببعض خدمات النظام، عشان ينفذ أوامر بصلاحيات عالية .
تعالى نتكلم عن أنواع التهديدات وأشكالها في الـ APTs:
الـ Rootkits الشغل الجامدده نوع من التهديدات بيدي للمهاجم وصول غير محدود للنظام، وبتشتغل غالبًا على مستوى النواة kernel وبتسمح بتغيير عمليات النظام وكمان بتخفيها
الـ Trojans (أحصنة طروادة) :
ودي برامج بتظهر للمستخدم كأنها طبيعية ، لكن جواها أكواد تجسس و malware بتدي صلاحيات تحكم للمهاجم .
الـ Exploit Kits :
ودي بقى أدوات بتستغل ثغرات معينة في النظام أو التطبيقات ، وبتساعد جدا ًفي تحقيق الاختراق.
الـ Ransomware (برامج الفدية):
ودي برمجيات بتشفر الملفات وتطلب فدية عشان تفك التشفير، وغالبًا بتشتغل بهدوء لتجنب الاكتشاف.
طيب تعالى كده نتكلم شوية عن التقنيات المتقدمة لاختراق الأنظم باستخدام Apts :
الـ Code Injection:وهنا المهاجم بيحقن أكواد تجسس في برامج أو عمليات شغالة في النظام ، زي DLL Injection في Windows ، اللي بتمكننا من التحكم في العمليات الاساسية للنظام .
الـ Privilege Escalation:
هنا المهاجم بيبقى عاوز يوصل لصلاحيات أعلى بعد الدخول المبدئي، وده بيقوي عملية فرض سيطرته داخل النظام.
الـ Backdoors وPersistent Access:
ودع بيحصل بعد الاختراق، المهاجم بيضمن وجود باب خلفي كده عشان يقدر يدخل ويخرج من النظام بدون ما يتكشف.
وأخيراً وليس بأخر لا تنسى تزور قسم برمجة الفيروسات لأننا هنا فى أكتب كود مهتمين جداً بالأمن السيبرانى والفيروسات.