- بواسطة x32x01 ||
من بداية 2017 و ال Attack Surface بدأ يتغير تماما...
ال Offensive Security بدأت تاخد Curve جديد و بدأت ال Complex Attacks تكتر اوي و تنتشر بشكل اكبر من الاول و في نفس الوقت ال Defensive Security مبقتش عارفة تسد الي كانت بتسده زمان الدنيا بدأت تصعب اكتر عليها و هنا جيه (من وجهة نظري) اكبر Challenge موجود في الساحة لحد لوقتي.....كل واحد في ال Cyber Security بقي بيسأل نفسه سؤال واحد : What's Next ?!
الراجل الي شغال Blue Team : بيسأل انا هعمل ايه عشان اقدر اوقف ال Attacks الي عمالة تتعقد كل شوية دي ؟! مبقاش الاعتماد علي ال Next-Generation Solutions يكفي لواحده زي زمان بقينا محتاجين Next-Generation لل Next-Generation عشان نقدر نقف قصاد ال Attacks دي او بمعني اصح ظهر مصلح جديد الي هو Next-Generation Cyber Attacks...ايه الي ممكن يقف في وش الناس دي !؟
الراجل الي شغال Offensive : دة مش حاسس بحاجة راجل عايش في الماية الساقعة عمال يفكر كل شوية ازاي ازود ال Complexity بتاعة ال Attacks بتاعتي عشان اقدر اعمل Evasion لأي Defensive Mechanism موجودة و اقدر أ-Mitigate ان اي Security Solution يقدر يعمل Detection لل Attacks بتاعتي سواء Detection لل Malware او Detection لل Exploit او حتي Detection لل Lateral Movements الي هي ال Post-Exploitation....
الاتنين وصلوا لنفس الاجابة و دة الي خلق ال Mortal Kombat الي احنا عايشين فيه دلوقتي في ال Cyber Security Space انهم هما الاتنين قرروا يعتمدوا علي نفس الحاجة في شغلهم.... الي هي ايه بقي ؟!
الاجابة هي ال Artificial Intelligence و ال Machine Learning.......افصل بقي كل حاجة جنبك لو يهمك تبقي Next-Generation Pentester و ركز معايا في الشوية الي جايين دول البوست هيبقي طويل شوية و معقد شوية بس لازم نتناقش في الموضوع دة لو حابب تاخد Next Step في ال Career بتاعك و متفضلش واقف مكانك.
الأول بس عشان الناس الي عايزة تعرف تفاصيل اكتر تعالي نعرف ايه الفرق بين ال AI و ال Machine Learning :
اول حاجة ال Artificial Intelligence ببساطة انك تخلي ال Computer او ال Application يفكر ويتصرف زي الانسان بالظبط يعني مش لازم ياخد اوامر منك عشان يتصرف او يقرر يعني ال Action الي هو هياخده هيكون هو المسؤول عنه نتيجة تفكيره هو.
ال Machine Learning : هي عبارة Algorithms انت بتعملها عشان تعلم ال Computer ازاي ياخد ال Data و يتعلم منها و يفهمها و علي اساس الي هو اتعلمه دة يقدر يقرر و ياخد Actions و يديلك Predictions كمان علي حاجات ممكن تحصل.....يعني من الاخر ال Machine Learning هي الطريقة الي انت بتعلم بيها ال Computer ازاي يكون عنده Artificial Intelligence.
نرجع بقي لل Core بتاع ال Part دة الي هو الخناقة الي حاصلة بين ال Blue Teams و ال Red Teams علي مين فيهم يستخدم ال Artificial Intelligence احسن من التاني......
ال Offensive Security Engineers قالوا احنا هنستخدم ال AI ف اننا نعمل Complex and Smart Cyber Attacks تعرف تخدع اي Security Mechanism موجودة يعني متقوليش بعد كدة Anti-virus و Firewall و Anti-spam و الكلام دة و من هنا ظهرت شوية Attacks فعلا بقي من الصعب جدا ان حد يمسكها زي ال File-less Attacks و ال Complex Social Engineering Attacks و ال Advanced persistent threats و غيرهم.
ال Defensive Security Engineers قالوا احنا بقي هنستخدم نفس السلاح بتاعكوا بس بالعكس يعني هنستخدمه عشان نعمل بيه Solutions تقدر تفهم ال AI-based Cyber Attacks و يكون عندنا Mechanisms ذكية جدا ف انها تقدر تعرف ان ال Environment بتاعتنا Under-Attack حتي قبل احنا ما نعرف و تقدر كمان تتصرف من غير ما ترجعلنا و دة يقدر يضمنلنا امان و حماية اكتر من الاول و يقدر يقف قصاد ال Attacks الجديدة بتاعتكوا.
انا جاي في ال Part بقي احكيلك شوية عن الخناقة دي و اقولك كل واحد فيهم استعد ازاي عشان يدخل الخناقة دي يعني ايا كان ال Team انت فيه سواء Blue او Red ف هتلاقي حاجة تخصك في الكلام الجاي دة لأن انت لو شغال في ال Cyber Security دلوقتي يبقي انت بمزاجك او غصب عنك داخل الخناقة دي (عاجلا ام اجلا).
الناس بتاعت ال Defensive Security قرروا يعلوا Level ال Security لل Peak ف استخدموا ال AI و عملوا Solutions تكون AI-Based عشان :
- يقدروا يعملوا Solutions تعمل Detect لل Spam و ال Phishing mails الي مفيش Anti-Spam Solution يقدر يمسكها
- يقدروا يعملوا Detection لل Internal & External Network Attacks الي مفيش Firewall ولا NGFW يقدر يمسكها
- يقدروا يمسكوا ال Zero-Day Malwares الي ملهاش Signatures
- يقدروا يوقفوا ال APTs و ال File-less Attacks
فيه بقي مشكلة و تحدي كبير الناس بتاعت ال Defensive Security معملوش حسابهم لما قرروا يعتمدوا علي ال AI و ال Machine Learning الي هي مشاكل ال AI عمتاً الي بتكون في ال Data Preparation و ال Unstructured Data يعني لما يكون ال Attack معتمد علي شوية Data مش مرتبطة ببعض بب Pattern معين ف كدة ال AI هتحصل فيه Issue ممكن هو نفسه ميفهمش ال Attack فيعديه....كمان ال AI عنده مشكلة في ال Defensive انه لو معندوش Data كافية عن ال Attributes بتاعت ال Attack ممكن يسيبه يعني مثلا Algorithm ال Machine Learning بتاعه ميعرفش حاجة عن Service ال SSH علي سبيل المثال ف بالتالي ال AI مش هيعرف حاجة عن ال SSH ف بالتالي مش هيقدر يتوقع ال Attacks بتاعت ال SSH ف بالتالي هيعدي اي SSH Attack ... و هكذا
طب انا عمال اتكلم كتير عن ال File-less Malwares و ال File-less Attacks بس مقولتش ايه دول اصلا و ليه هما عبارة عن كابوس بالنسبة للناس بتاعت ال Defensive Security تعالي نشرح شوية ال File-less Attacks قبل ما نروح لجزء ال AI Offensive....
ال File-less Malwares هو Computer Malware عادي بس كل الفكرة انه مش بيشتغل ولا بي Execute ولا بيعمل اي Activity علي ال Hard Disk
هو بيعمل كل ال Executions و ال Activities بتاعته في ال RAM ف بكدة بيعدي من كل ال End-Point Security Solutions و بيعمل Evasion لل Signature Based و ال Pattern Analysis و ال Behavior Analysis و ال Extension Whitelisting و كل حاجة اي Security Solution بيعتمد عليها ف بالتالي بيبقي شبه مستحيل علي ال Forensics Investigators انهم في العادي يعرفوا عنه اي حاجة او يمسكوه و يعرفوا هو بيعمل ايه لأنه مبيسيبش الا حاجات بسيطة جداً تقدر تاخدها كا Evidences عليه...طب ال File-less Attack بيشتغل ازاي بقي ؟!
ال File-less Attack بيشتغل علي 3 مراحل.....الي هما :
1- ال Incursion Phase : دي اول Phase ف اي Attack ان ال Hacker بياخد RCE Session علي ال Machine عن طريق Exploit اي Vulnerability موجودة عنده.
2- ال Persistence Phase : دي برضو زي اي Malware عايز يبقي Persistent انه بيرمي اي حاجة علي جهازك تضمنله انه يفضل موجود و شغال ب استمرار زي Key في ال Registry او Application في ال Startup و غيرهم كتير من ال Persistence Techniques.
3- ال Payload Phase : هنا بقي بيرمي ال Memory Only Payload بتاعه الي بيشتغل في ال Memory و مش بيكون ليه PE Header.
الناس بقي بتوع ال Offensive Security كان ليهم رأي تاني خالص و بيفكروا في الموضوع دة من الزاوية العكسية تماماً....هما ميهمهمش غير ان ال Attack ينجح و مفيش حاجة تمسكه.....الناس فكرت ازاي تستفيد من ال AI في ال Cyber Attacks ف طلعت في الاخر بشوية Scenarios تقدر تزود ال Value بتاعت ال Cyber Attacks......طب ايه هي ال Scenarios دي :
- قدروا انهم يخلوا ال AI يقدر يعمل Automated Social Engineering Attack و تكون Customized علي حسب كل Target
- تاني حاجة قروا يخلوا ال AI يقدر يعمل Automated Vulnerability & Bug Detection....طب دي بيعملها ازاي ؟!
1- اول حاجة بيشوف ال Version بتاعت ال Service او ال Binaries و يروح يعمل Check عليها في ال Public-known exploits database زي Securityfocus و exploit-db
2- يقدر يعمل reverse engineering و source code analysis و يطلع ال bugs الي في ال code
3- يقدر يلاقي حاجة بنسميها Copy & Paste Vulnerabilities و دي بتيجي من ال Developers الي بيستخدموا ال Copy & Paste Coding Techniques الي هو لو عايز يعمل اي Function بياخدها Copy Paste من علي النت من غير ما يعمل Validation ولا Testing لل Function دي و يشوف ال Impact بتاعها...
- تالت حاجة ال AI يقدر يرتب ال Victims من حيث الاهمية في ال Network عشان تعرف مين ال Victim المهمة و مين الي اقل اهمية...
وصلنا في الاخر اننا هنفضل في ال Mortal Kombat الأزلي الي ما بين ال Red Teams و ال Blue Teams الي ما بين ال Offensive Security و الي ما بين ال Defensive Security.....محدش يعرف مين هيكسب في الاخر كل واحد بيحاول يعقد الدنيا ع التاني و دة الممتع في الموضوع.....هيفضل ال AI هو ال Smart Devil الي هيتحكم في اللعبة الفترة الجاية و لمدة طويلة.
ال Offensive Security بدأت تاخد Curve جديد و بدأت ال Complex Attacks تكتر اوي و تنتشر بشكل اكبر من الاول و في نفس الوقت ال Defensive Security مبقتش عارفة تسد الي كانت بتسده زمان الدنيا بدأت تصعب اكتر عليها و هنا جيه (من وجهة نظري) اكبر Challenge موجود في الساحة لحد لوقتي.....كل واحد في ال Cyber Security بقي بيسأل نفسه سؤال واحد : What's Next ?!
الراجل الي شغال Blue Team : بيسأل انا هعمل ايه عشان اقدر اوقف ال Attacks الي عمالة تتعقد كل شوية دي ؟! مبقاش الاعتماد علي ال Next-Generation Solutions يكفي لواحده زي زمان بقينا محتاجين Next-Generation لل Next-Generation عشان نقدر نقف قصاد ال Attacks دي او بمعني اصح ظهر مصلح جديد الي هو Next-Generation Cyber Attacks...ايه الي ممكن يقف في وش الناس دي !؟
الراجل الي شغال Offensive : دة مش حاسس بحاجة راجل عايش في الماية الساقعة عمال يفكر كل شوية ازاي ازود ال Complexity بتاعة ال Attacks بتاعتي عشان اقدر اعمل Evasion لأي Defensive Mechanism موجودة و اقدر أ-Mitigate ان اي Security Solution يقدر يعمل Detection لل Attacks بتاعتي سواء Detection لل Malware او Detection لل Exploit او حتي Detection لل Lateral Movements الي هي ال Post-Exploitation....
الاتنين وصلوا لنفس الاجابة و دة الي خلق ال Mortal Kombat الي احنا عايشين فيه دلوقتي في ال Cyber Security Space انهم هما الاتنين قرروا يعتمدوا علي نفس الحاجة في شغلهم.... الي هي ايه بقي ؟!
الاجابة هي ال Artificial Intelligence و ال Machine Learning.......افصل بقي كل حاجة جنبك لو يهمك تبقي Next-Generation Pentester و ركز معايا في الشوية الي جايين دول البوست هيبقي طويل شوية و معقد شوية بس لازم نتناقش في الموضوع دة لو حابب تاخد Next Step في ال Career بتاعك و متفضلش واقف مكانك.
طالما وصلت للسطر دة يبقي انت مهتم بالموضوع و دة شئ مبشر....نبدأ بقي الموضوع علي بركة الله......الأول بس عشان الناس الي عايزة تعرف تفاصيل اكتر تعالي نعرف ايه الفرق بين ال AI و ال Machine Learning :
اول حاجة ال Artificial Intelligence ببساطة انك تخلي ال Computer او ال Application يفكر ويتصرف زي الانسان بالظبط يعني مش لازم ياخد اوامر منك عشان يتصرف او يقرر يعني ال Action الي هو هياخده هيكون هو المسؤول عنه نتيجة تفكيره هو.
ال Machine Learning : هي عبارة Algorithms انت بتعملها عشان تعلم ال Computer ازاي ياخد ال Data و يتعلم منها و يفهمها و علي اساس الي هو اتعلمه دة يقدر يقرر و ياخد Actions و يديلك Predictions كمان علي حاجات ممكن تحصل.....يعني من الاخر ال Machine Learning هي الطريقة الي انت بتعلم بيها ال Computer ازاي يكون عنده Artificial Intelligence.
نرجع بقي لل Core بتاع ال Part دة الي هو الخناقة الي حاصلة بين ال Blue Teams و ال Red Teams علي مين فيهم يستخدم ال Artificial Intelligence احسن من التاني......
ال Offensive Security Engineers قالوا احنا هنستخدم ال AI ف اننا نعمل Complex and Smart Cyber Attacks تعرف تخدع اي Security Mechanism موجودة يعني متقوليش بعد كدة Anti-virus و Firewall و Anti-spam و الكلام دة و من هنا ظهرت شوية Attacks فعلا بقي من الصعب جدا ان حد يمسكها زي ال File-less Attacks و ال Complex Social Engineering Attacks و ال Advanced persistent threats و غيرهم.
ال Defensive Security Engineers قالوا احنا بقي هنستخدم نفس السلاح بتاعكوا بس بالعكس يعني هنستخدمه عشان نعمل بيه Solutions تقدر تفهم ال AI-based Cyber Attacks و يكون عندنا Mechanisms ذكية جدا ف انها تقدر تعرف ان ال Environment بتاعتنا Under-Attack حتي قبل احنا ما نعرف و تقدر كمان تتصرف من غير ما ترجعلنا و دة يقدر يضمنلنا امان و حماية اكتر من الاول و يقدر يقف قصاد ال Attacks الجديدة بتاعتكوا.
انا جاي في ال Part بقي احكيلك شوية عن الخناقة دي و اقولك كل واحد فيهم استعد ازاي عشان يدخل الخناقة دي يعني ايا كان ال Team انت فيه سواء Blue او Red ف هتلاقي حاجة تخصك في الكلام الجاي دة لأن انت لو شغال في ال Cyber Security دلوقتي يبقي انت بمزاجك او غصب عنك داخل الخناقة دي (عاجلا ام اجلا).
نيجي نبدأ بالناس الطيبة الي مش عايزين يضروا حد الي كل همهم يحموا ال Assets بتاعتهم او بتاعت ال Customers بتاعتهم.....ال Blue Teamالناس بتاعت ال Defensive Security قرروا يعلوا Level ال Security لل Peak ف استخدموا ال AI و عملوا Solutions تكون AI-Based عشان :
- يقدروا يعملوا Solutions تعمل Detect لل Spam و ال Phishing mails الي مفيش Anti-Spam Solution يقدر يمسكها
- يقدروا يعملوا Detection لل Internal & External Network Attacks الي مفيش Firewall ولا NGFW يقدر يمسكها
- يقدروا يمسكوا ال Zero-Day Malwares الي ملهاش Signatures
- يقدروا يوقفوا ال APTs و ال File-less Attacks
فيه بقي مشكلة و تحدي كبير الناس بتاعت ال Defensive Security معملوش حسابهم لما قرروا يعتمدوا علي ال AI و ال Machine Learning الي هي مشاكل ال AI عمتاً الي بتكون في ال Data Preparation و ال Unstructured Data يعني لما يكون ال Attack معتمد علي شوية Data مش مرتبطة ببعض بب Pattern معين ف كدة ال AI هتحصل فيه Issue ممكن هو نفسه ميفهمش ال Attack فيعديه....كمان ال AI عنده مشكلة في ال Defensive انه لو معندوش Data كافية عن ال Attributes بتاعت ال Attack ممكن يسيبه يعني مثلا Algorithm ال Machine Learning بتاعه ميعرفش حاجة عن Service ال SSH علي سبيل المثال ف بالتالي ال AI مش هيعرف حاجة عن ال SSH ف بالتالي مش هيقدر يتوقع ال Attacks بتاعت ال SSH ف بالتالي هيعدي اي SSH Attack ... و هكذا
طب انا عمال اتكلم كتير عن ال File-less Malwares و ال File-less Attacks بس مقولتش ايه دول اصلا و ليه هما عبارة عن كابوس بالنسبة للناس بتاعت ال Defensive Security تعالي نشرح شوية ال File-less Attacks قبل ما نروح لجزء ال AI Offensive....
ال File-less Malwares هو Computer Malware عادي بس كل الفكرة انه مش بيشتغل ولا بي Execute ولا بيعمل اي Activity علي ال Hard Disk
هو بيعمل كل ال Executions و ال Activities بتاعته في ال RAM ف بكدة بيعدي من كل ال End-Point Security Solutions و بيعمل Evasion لل Signature Based و ال Pattern Analysis و ال Behavior Analysis و ال Extension Whitelisting و كل حاجة اي Security Solution بيعتمد عليها ف بالتالي بيبقي شبه مستحيل علي ال Forensics Investigators انهم في العادي يعرفوا عنه اي حاجة او يمسكوه و يعرفوا هو بيعمل ايه لأنه مبيسيبش الا حاجات بسيطة جداً تقدر تاخدها كا Evidences عليه...طب ال File-less Attack بيشتغل ازاي بقي ؟!
ال File-less Attack بيشتغل علي 3 مراحل.....الي هما :
1- ال Incursion Phase : دي اول Phase ف اي Attack ان ال Hacker بياخد RCE Session علي ال Machine عن طريق Exploit اي Vulnerability موجودة عنده.
2- ال Persistence Phase : دي برضو زي اي Malware عايز يبقي Persistent انه بيرمي اي حاجة علي جهازك تضمنله انه يفضل موجود و شغال ب استمرار زي Key في ال Registry او Application في ال Startup و غيرهم كتير من ال Persistence Techniques.
3- ال Payload Phase : هنا بقي بيرمي ال Memory Only Payload بتاعه الي بيشتغل في ال Memory و مش بيكون ليه PE Header.
نييجي بقي للجزء المهم و الممتع بالنسبة ليا الي هو جزء ال Offensive Artificial Intelligence Usage....ركز معايا في الي جاي سواء انت Offensive او Defensive...لان الكلام دة لو مكانش ليك هيبقي عليك....الناس بقي بتوع ال Offensive Security كان ليهم رأي تاني خالص و بيفكروا في الموضوع دة من الزاوية العكسية تماماً....هما ميهمهمش غير ان ال Attack ينجح و مفيش حاجة تمسكه.....الناس فكرت ازاي تستفيد من ال AI في ال Cyber Attacks ف طلعت في الاخر بشوية Scenarios تقدر تزود ال Value بتاعت ال Cyber Attacks......طب ايه هي ال Scenarios دي :
- قدروا انهم يخلوا ال AI يقدر يعمل Automated Social Engineering Attack و تكون Customized علي حسب كل Target
- تاني حاجة قروا يخلوا ال AI يقدر يعمل Automated Vulnerability & Bug Detection....طب دي بيعملها ازاي ؟!
1- اول حاجة بيشوف ال Version بتاعت ال Service او ال Binaries و يروح يعمل Check عليها في ال Public-known exploits database زي Securityfocus و exploit-db
2- يقدر يعمل reverse engineering و source code analysis و يطلع ال bugs الي في ال code
3- يقدر يلاقي حاجة بنسميها Copy & Paste Vulnerabilities و دي بتيجي من ال Developers الي بيستخدموا ال Copy & Paste Coding Techniques الي هو لو عايز يعمل اي Function بياخدها Copy Paste من علي النت من غير ما يعمل Validation ولا Testing لل Function دي و يشوف ال Impact بتاعها...
- تالت حاجة ال AI يقدر يرتب ال Victims من حيث الاهمية في ال Network عشان تعرف مين ال Victim المهمة و مين الي اقل اهمية...
وصلنا في الاخر اننا هنفضل في ال Mortal Kombat الأزلي الي ما بين ال Red Teams و ال Blue Teams الي ما بين ال Offensive Security و الي ما بين ال Defensive Security.....محدش يعرف مين هيكسب في الاخر كل واحد بيحاول يعقد الدنيا ع التاني و دة الممتع في الموضوع.....هيفضل ال AI هو ال Smart Devil الي هيتحكم في اللعبة الفترة الجاية و لمدة طويلة.