- بواسطة x32x01 ||
الـ Cyber Security Team سواء الـ Offensive أو الـ Defensive أو الـ Physical
كل واحد كالعادة بيشوفها من وجهة نظر شغلته....ال Red Team بيشوفها كنز و نعمة يديمها ربنا هي صحيح بتحتاج مجهود كبير لكن نتيجتها تستاهل كل التعب خصوصاً ان ناس قليلة اوي الي بتعرف تقف قصادها....
ال Blue Team بقي بيشوفها زي اسم الموضوع كدة انها عبارة عن كابوس علي اي حد شغله في ال Defensive Security.....ايه هو بقي موضوع ال Part !?
انهاردة حابب اتكلم علي واحد من اكتر المواضيع الي ال Blue Teams بتتمني انهم ميقابلوش اي Scenario منها الي هي ال APTs الي هي Advanced Persistent Threats.....لو اول مرة تسمع المصطلح دة او حتي سمعته قبل كدة و متعرفش تفاصيله افصل اي حاجة حواليك كدة في ال 10-15 دقيقة الجاية دول....ال APTs من ضمن الحاجات الي بتخليني الحمد لله مبسوط ان انا مش Blue Team Member عشان مشوفش الي هما بيشوفوه لو قابلوا APTs او Complex Attacks...واحدة من اهم مميزات ال Offensive Security ان ال Advantage دايماً بتكون عندك انت... انت صاحب الخطوة الاولي دايما و انت مش خايف علي حاجة انت الي مطلوب منك تجيب جون بس انما مش عايش طول عمرك في هيس هيس ان يحصل عليك Attack و لو معرفتش تسد الموضوع مش هيبقي مقتصر علي انك بس قصرت ف شغلك الموضوع هيبقي كمان فيه Data Loss و فيه Financial Loss و فيه Reputation Loss و حاجات تانية كتير.....فبجد تحية كبيرة للناس ال Blue Team members انكوا بتشوفوا كل دة و لسة مكملين في المجال بتاعكوا.
اول حاجة ال Cyber Attacks ليها 2 Categories :
- ال Conventional Cyber Attacks دي ال Legacy Attacks الحاجات المعروفة اسبابها و معروف حلولها و تقدر تعملها Footprint كامل من اول ال Attack ما يبدأ لحد ما يخلص تقدر ترسم تراك كامل كدة يوضحلك ال Attack حصل امتي و فين و ازاي و ايه الضرر الي سببه.
- ال Category التانية الي هي موضوع ال Part دة الي هي ال Advanced Persistent Threats.
طب اول حاجة ايه هي ال Attack Vectors بتاعت ال APTs ?! يعني ايه هي الحاجات الي بتعتمد عليها ال APTs دي !؟
- ال APTs بتعتمد علي حاجات كتير بس اهمهم 3 حاجات :
- ال Unpatched Services
- ال Zero-Day Malwares
- ال Social Engineering Campaigns
طب تاني سؤال ايه هي ال Characteristics بتاعت ال APTs ?! يعني ايه هي الحاجات الي بتميز ال APTs عن غيرها ؟!
قالك يا سيدي عندك 8 حاجات بتميز ال APTs عن غيرها من ال Cyber Attacks :
رقم (1) - بتتميز ال APTs انها Purposeful....يعني ايه ؟!
- انها بتكون Dedicated Attacks يعني بت Target هدف واحد بس و بتبقي Persistent معاه يعني بتفضل مستمرة مع ال Target دة مدة طويلة .
رقم (2) - بتتميز ال APTs انها Risk Tolerant....يعني ايه ؟!
- بمعني ان ال APTs مش دايماً بتكون Active يعني ممكن يكون فيه Attack في ال Environment بتاعتك و انت مش عارف لأنه ساكت دلوقتي مش بيعمل حاجة مستني وقت معين او بيشتغل علي فترات , تاني حاجة انها بتشتغل ب Deepen Control Methodology يعني بتتحكم ف حاجات كتير جدا في ال Environment يعني ممكن تلاقي ال APTss موجود علي Server واحد لكن تلاقيه متحكم ف حاجات اكبر من ال Server دة بكتير.
رقم (3) - بتتميز ال APTss انها Focused Attacks....يعني ايه ؟!
- بمعني ان ال APTs مش مجرد Attack عادي هياخد اي Data يلاقيها و خلاص لا ال APTs بتبقي بتدور علي Data معينة و بتبقي داخلة عارفة هي عايزة انهي Data بالظبط
يعني حتي لو لقت Data مهمة و هي مش عايزاها هتعتبر نفسها مشافتهاش.
رقم (4) - بتتميز ال APTss انها Resourceful Attacks....يعني ايه ؟!
- بمعني ان ال APTs من ال Cyber Attacks الذكية الي مش بتزهق من ال Try & Error يعني يفضل يجرب كذا Attack Path كل ما يفشل يروح يجرب واحد تاني و هكذا لحد ما ينجح في الاخر يعني مش بيشتغل مرة واحدة بس.....لا دة بيفضل يحاول ف اكتر من Attack Vector لحد ما يدخل جوة ال Environment.
رقم (5) - بتتميز ال APTss انها Sophisticated Attacks....يعني ايه ؟!
- يمكن دي اكتر Characteristic بتميز ال APTs انها دايماً بتطور نفسها دايماً بتعتمد علي ال Zero-day Exploits الي ملهاش Patches ولا اي Vendor يعرفها وكمان ال Zero-day Malwares الي ملهاش Signatures و لا اي Anti-Malware يقدر يمسكها.
رقم (6) - بتتميز ال APTss انها Multiple Locations Attacks....يعني ايه ؟!
- يعني ال Attack بيجي من اكتر من Location و دة سبب رئيسي انها كابوس للناس بتاعت ال Forensics عشان مبيعرفوش ال Root Cause بتاع ال Attack ولا ال Root Location بتاع ال Attack و كابوس بالنسبة للناس بتاعت ال Defensive لأنهم مبيبقوش عارفين يوقفوا ايه ولا ايه يعني ييجوا يوقفوا Attack من Location معين يقوم يلاقوا Attack جاي من Location تاني و هكذا بيفضلوا يجروا ورا نفسهم كدة.
رقم (7) - بتتميز ال APTss انها Massive Bandwidth Attacks....يعني ايه ؟!
- يعني ال APTss بتستمخدم Large Volume of Traffic و زي ما قولنا في ال Point الي قبل كدة انها بتكون من اكتر من Location ف عشان كدة ال Blue Team بيحس ان العالم كله بيعمل عليهم هما بس Attack بسبب حجم ال Traffic و كترة و تنوع ال Source Locations.
رقم (8) - بتتميز ال APTss انها Heavily Funded Attacks....يعني ايه ؟!
- يعني ال APTss مش بتتعمل لله و للوطن كدة بيكون ليها تمويل كبير جدا و التمويل بيكون ليه مصدرين يا اما دول عشان تضرب دول تانية يا اما Powerful Corporations زي Shadow Brokers كدة و غيرهم.
طب دلوقتي عرفت ال APTss عبارة عن ايه....عايز اعرف ال APTs بتشتغل ازاي ؟!
ال Kill Chain بتاع ال APTs الي هي دورة حياة ال Attack عبارة عن 9 Phases او 9 Steps الي هما :
1- Target Identification
اول حاجة هنا ال Hackers بيحددوا ال Attack Vector الي هما هيستخدموه عشان ي Launch ال APTs و بعد كدة يعمل Recruit ل Hackers تانين و دة الي بيخلي فيه تنوع في ال Locations و ال Attacks و بعد كدة بيحدد ال Target الي هو عايز يوصله.
2- Build/Acquire Tools
يبتدي ال Hackers يكتبوا ال Tools الي هيستخدموها في ال Attacks دي او يشتروها لو هما محتاجين حاجة معينة مش عارفين يعملوها عشان كدة ال Hacking Tools Market علي ال Dark Web من اكبر ال Markets الموجودة بعد السلاح و المخدرات.
3- Reconnaissance
يبتدي ال Hackers يعملوا Researches و Information Gathering علي ال Target بتاعهم و يعرفوا كل ال Services الي هو بيستخدمها و يحددوا ال Infrastructure بتاعته و يقدروا يحددوا ال Assets بتاعته عشان يبقي معاهم Target Map يقدروا منه يحددوا ال Scenarios الي هما هيعملوها.
4- Test & Simulation
يبتدوا يعملوا Test لل Scenarios بتاعهم علي Test Environments اوعي تفتكر ان لما يحصل اي Cyber Attacks ال Hackers بيكونوا بيجربوا لا دة ال Attack بيكون معموله Test كويس جداً عشان يشوفوا حاجتين :
- اول حاجة ال Detection Possibility لازم يشوفوا ال Attack هيتعمله Detection ولا لا علي حسب ال Infrastructure و ال security mechanisms الي عندك
- تاني حاجة ال Response بتاعه هيبقي عامل ازاي و ال Result هتطلع زي ماهي المفروض تطلع ولا لا و لما يتأكدوا ان كله تمام يقرروا انهم يعملوا Launch لل Attack.
5- Deployment
يبدأوا بقي يعملوا Deployment لل Attack Vectors بتاعت ال APTs بتاعهم سواء كان Zero-Day Malware او Social Engineering Campaign .
6- First Intrusion
هنا بيعملوا Exploitation و يدخلوا لأول مرة بقي علي ال Environment و طبعا هما مش محتاجين غير واحد بس الي يقدر يدخل عشان يقدر يدخل الباقي و بكدة ال Group كله يبقي معاه RCE علي ال Environment كلها.
7- Obtain/Extend Access
يبدأوا يعملوا Traps جوة ال Environment بحيث انهم يبدأوا يسحبوا Credentials كتير لناس كتير في ال Environment بحيث انهم يعملوا Sessions كتير من ال Accounts بتاعهم و ياخدوا Access علي حسب Privileges كل Account و من هنا بيبدأ الكابوس بقي لل Defensive Team انهم مش بيبقوا عارفين مين بيعمل ايه كل ما يروحوا لواحد يقولوله ايه الي انت بتعمله دة يقولهم مش انا الي بعمل كدة مع ان ال Attack معمول بال Account بتاعه بس فعلاً بيكون مش هو و بتبدي الحفلة بقي و ال Spaghetti Attack ان كله مش بيبقي عارف مين بيعمل ايه و مش بيبقوا عارفين يوقفوا ال Attack علي ايه ولا ايه لأن ال Group بي Attack كذا Asset ف نفس الوقت و دة بيبقي عشان حاجتين :
- فيه Assets بتتهاجم عشان تشتت ال Defensive Team مش بيبقوا عايزين منها حاجة غير انهم بس يشغلوا ال blue Team و بصرفوا نظرهم عن ال Assets التانية المهمة الي فعلا بيحصلها Attack.
8- Data Exfiltration
هنا بتكون اهم Phase الي بيكون ال Hackers داخلين عشانها اصلا الي فيها بيتم سحب ال Sensitive Data الي هما داخلين عشانها اساساً و طبعاً ال Blue Team بيكتشف غالباً ان ال Data اتسربت بعد ما بيكون ال Hackers خلصوا لان زي ما فيه Hacker بيسحب Data بيكون فيه اخوه بيعمل Attack ف حتة تانية و ساحب عليه ال Defensive Team عشان مياخدوش بالهم من ال Data الي بتتسرب.
9- Covering Tracks
هنا بيكون ال Hackers خلاص بيلموا حاجتهم و ماشيين بيعملوا حاجتين بقي قبل ما يمشوا :
- اول حاجة بيخفوا كل الاثار الي هما عملوها عشان مفيش Forensics Investigator يقدر يوصلهم و ميعرفش هما دخلوا امتي ولا من فين و لا عملوا ايه بالظبط
- تاني حاجة بيعملوا Setup لي Persistence Backdoor عشان يقدروا يدخلوا منه تاني ف اي وقت لو احتاجوا اي حاجة من ال Environment دي تاني بحيث انه يكون Standby و undetectable عشان محدش يحس بيه و يفضل موجود طول الوقت.
طب و بعدين اخواتنا في الله ال Blue Team يعملوا ايه في الكابوس دة !؟
- فيه حاجة لازم نتفق عليها في الاول كدة انك عشان تعمل Detection لل APTs دي مش حاجة سهلة تماماً دة موضوع صعب جدا و بيحتاج جهد كبير.. بس تعالي نشوف ايه هي ال Detection Life Cycle بتاعت ال APTs بس عشان برضو نفضل متفقين ان ممكن تعمل كل الي انا هقوله دة و في الاخر تلبس في APTs برضو :
- Network Logs Analysis
لازم كل شوية تعمل Analysis علي ال Network Appliances Logs زي ال Routers و ال Switches و تشوف هي بتت Access منين و مين الي بيعمل Access ليها ؟!
- IP Allocations
لازم تعمل Control علي ال DHCP Pools و تعرف كمان الاجهزة الي ساحبة IPs من ال Network دي هل هي كلها Corporate Devices ولا لا و لازم يكون عندك NAC في ال Environment بتاعتك الي هو Network Access Control عشان يحدد مين يدخل علي ايه.
- Integrity of Crypto Keys and Packages List
لازم كل شوية تعمل Analysis لل Crypto Keys زي بتاعت ال SSH او حتي ال SFTP و تعمل analysis لل Packages Lists الي نازلة عند ال end points عشان لو فيه حاجة مش من ضمن ال corporate package list بتاعتك يبقي دي threat بالنسبة ليك و طبعاً الي هيساعدك ف كل دة هي ال Monitoring Solutions
زي Nexthink و Microsoft SCOM و غيرهم
- CCTV Footage and Access Control Logs
لازم كاميرات المراقبة كلها تكون شغال خصوصاً الحاجات الي بتراقب ال Datacenter و ال Servers Room لان فيه Attack Vector مهم في ال APTss الي هو ال Physical Breaches الي هو واحد يدخل مكان عن طريق ان ينتحل صفة موظف جوة او يخدع موظف الامن و يقدر يدخل ال Servers Room عن طريق بقي Lockpicking او حتي ان ال Room تكون مفتوحة كدة و دي انا شفتها ف اكتر من مكان .
- Phishing Campaigns
لازم كل شوية تعمل Phishing Campaigns علي الموظفين بتوعك...ايه ؟! هعمل Phishing علي الموظفين بتوعي ؟!
اه هتعمل كدة علي الموظفين بتوعك عشان تشوف ال Response بتاعتهم علي ال Phishing Campaigns مين هيلبس و مين هيبلغ و مين مش هيهتم اصل عشان توصل في الاخر للناس الي ممكن يكونوا خطر عليك و تبدأ تعلمهم اكتر حتي تعمل عليهم Monitoring اكتر من اي حد تاني.
قبل ما اختم بس حابب اقول حاجة.....ال APTss ممكن يكون الغرض منها ال Destruction مش لازم يكون Data Exfiltration علي طول ممكن يكون ال Hacker غرضه بس يدمر ال Environment و دة ساعتها هيكون اسوء Scenario لان ساعتها ال Forensics مش هتفيد او هتكون خلاص كل حاجة خربت...
كل واحد كالعادة بيشوفها من وجهة نظر شغلته....ال Red Team بيشوفها كنز و نعمة يديمها ربنا هي صحيح بتحتاج مجهود كبير لكن نتيجتها تستاهل كل التعب خصوصاً ان ناس قليلة اوي الي بتعرف تقف قصادها....
ال Blue Team بقي بيشوفها زي اسم الموضوع كدة انها عبارة عن كابوس علي اي حد شغله في ال Defensive Security.....ايه هو بقي موضوع ال Part !?
انهاردة حابب اتكلم علي واحد من اكتر المواضيع الي ال Blue Teams بتتمني انهم ميقابلوش اي Scenario منها الي هي ال APTs الي هي Advanced Persistent Threats.....لو اول مرة تسمع المصطلح دة او حتي سمعته قبل كدة و متعرفش تفاصيله افصل اي حاجة حواليك كدة في ال 10-15 دقيقة الجاية دول....ال APTs من ضمن الحاجات الي بتخليني الحمد لله مبسوط ان انا مش Blue Team Member عشان مشوفش الي هما بيشوفوه لو قابلوا APTs او Complex Attacks...واحدة من اهم مميزات ال Offensive Security ان ال Advantage دايماً بتكون عندك انت... انت صاحب الخطوة الاولي دايما و انت مش خايف علي حاجة انت الي مطلوب منك تجيب جون بس انما مش عايش طول عمرك في هيس هيس ان يحصل عليك Attack و لو معرفتش تسد الموضوع مش هيبقي مقتصر علي انك بس قصرت ف شغلك الموضوع هيبقي كمان فيه Data Loss و فيه Financial Loss و فيه Reputation Loss و حاجات تانية كتير.....فبجد تحية كبيرة للناس ال Blue Team members انكوا بتشوفوا كل دة و لسة مكملين في المجال بتاعكوا.
اول حاجة ال Cyber Attacks ليها 2 Categories :
- ال Conventional Cyber Attacks دي ال Legacy Attacks الحاجات المعروفة اسبابها و معروف حلولها و تقدر تعملها Footprint كامل من اول ال Attack ما يبدأ لحد ما يخلص تقدر ترسم تراك كامل كدة يوضحلك ال Attack حصل امتي و فين و ازاي و ايه الضرر الي سببه.
- ال Category التانية الي هي موضوع ال Part دة الي هي ال Advanced Persistent Threats.
طب اول حاجة ايه هي ال Attack Vectors بتاعت ال APTs ?! يعني ايه هي الحاجات الي بتعتمد عليها ال APTs دي !؟
- ال APTs بتعتمد علي حاجات كتير بس اهمهم 3 حاجات :
- ال Unpatched Services
- ال Zero-Day Malwares
- ال Social Engineering Campaigns
طب تاني سؤال ايه هي ال Characteristics بتاعت ال APTs ?! يعني ايه هي الحاجات الي بتميز ال APTs عن غيرها ؟!
قالك يا سيدي عندك 8 حاجات بتميز ال APTs عن غيرها من ال Cyber Attacks :
رقم (1) - بتتميز ال APTs انها Purposeful....يعني ايه ؟!
- انها بتكون Dedicated Attacks يعني بت Target هدف واحد بس و بتبقي Persistent معاه يعني بتفضل مستمرة مع ال Target دة مدة طويلة .
رقم (2) - بتتميز ال APTs انها Risk Tolerant....يعني ايه ؟!
- بمعني ان ال APTs مش دايماً بتكون Active يعني ممكن يكون فيه Attack في ال Environment بتاعتك و انت مش عارف لأنه ساكت دلوقتي مش بيعمل حاجة مستني وقت معين او بيشتغل علي فترات , تاني حاجة انها بتشتغل ب Deepen Control Methodology يعني بتتحكم ف حاجات كتير جدا في ال Environment يعني ممكن تلاقي ال APTss موجود علي Server واحد لكن تلاقيه متحكم ف حاجات اكبر من ال Server دة بكتير.
رقم (3) - بتتميز ال APTss انها Focused Attacks....يعني ايه ؟!
- بمعني ان ال APTs مش مجرد Attack عادي هياخد اي Data يلاقيها و خلاص لا ال APTs بتبقي بتدور علي Data معينة و بتبقي داخلة عارفة هي عايزة انهي Data بالظبط
يعني حتي لو لقت Data مهمة و هي مش عايزاها هتعتبر نفسها مشافتهاش.
رقم (4) - بتتميز ال APTss انها Resourceful Attacks....يعني ايه ؟!
- بمعني ان ال APTs من ال Cyber Attacks الذكية الي مش بتزهق من ال Try & Error يعني يفضل يجرب كذا Attack Path كل ما يفشل يروح يجرب واحد تاني و هكذا لحد ما ينجح في الاخر يعني مش بيشتغل مرة واحدة بس.....لا دة بيفضل يحاول ف اكتر من Attack Vector لحد ما يدخل جوة ال Environment.
رقم (5) - بتتميز ال APTss انها Sophisticated Attacks....يعني ايه ؟!
- يمكن دي اكتر Characteristic بتميز ال APTs انها دايماً بتطور نفسها دايماً بتعتمد علي ال Zero-day Exploits الي ملهاش Patches ولا اي Vendor يعرفها وكمان ال Zero-day Malwares الي ملهاش Signatures و لا اي Anti-Malware يقدر يمسكها.
رقم (6) - بتتميز ال APTss انها Multiple Locations Attacks....يعني ايه ؟!
- يعني ال Attack بيجي من اكتر من Location و دة سبب رئيسي انها كابوس للناس بتاعت ال Forensics عشان مبيعرفوش ال Root Cause بتاع ال Attack ولا ال Root Location بتاع ال Attack و كابوس بالنسبة للناس بتاعت ال Defensive لأنهم مبيبقوش عارفين يوقفوا ايه ولا ايه يعني ييجوا يوقفوا Attack من Location معين يقوم يلاقوا Attack جاي من Location تاني و هكذا بيفضلوا يجروا ورا نفسهم كدة.
رقم (7) - بتتميز ال APTss انها Massive Bandwidth Attacks....يعني ايه ؟!
- يعني ال APTss بتستمخدم Large Volume of Traffic و زي ما قولنا في ال Point الي قبل كدة انها بتكون من اكتر من Location ف عشان كدة ال Blue Team بيحس ان العالم كله بيعمل عليهم هما بس Attack بسبب حجم ال Traffic و كترة و تنوع ال Source Locations.
رقم (8) - بتتميز ال APTss انها Heavily Funded Attacks....يعني ايه ؟!
- يعني ال APTss مش بتتعمل لله و للوطن كدة بيكون ليها تمويل كبير جدا و التمويل بيكون ليه مصدرين يا اما دول عشان تضرب دول تانية يا اما Powerful Corporations زي Shadow Brokers كدة و غيرهم.
طب دلوقتي عرفت ال APTss عبارة عن ايه....عايز اعرف ال APTs بتشتغل ازاي ؟!
ال Kill Chain بتاع ال APTs الي هي دورة حياة ال Attack عبارة عن 9 Phases او 9 Steps الي هما :
1- Target Identification
اول حاجة هنا ال Hackers بيحددوا ال Attack Vector الي هما هيستخدموه عشان ي Launch ال APTs و بعد كدة يعمل Recruit ل Hackers تانين و دة الي بيخلي فيه تنوع في ال Locations و ال Attacks و بعد كدة بيحدد ال Target الي هو عايز يوصله.
2- Build/Acquire Tools
يبتدي ال Hackers يكتبوا ال Tools الي هيستخدموها في ال Attacks دي او يشتروها لو هما محتاجين حاجة معينة مش عارفين يعملوها عشان كدة ال Hacking Tools Market علي ال Dark Web من اكبر ال Markets الموجودة بعد السلاح و المخدرات.
3- Reconnaissance
يبتدي ال Hackers يعملوا Researches و Information Gathering علي ال Target بتاعهم و يعرفوا كل ال Services الي هو بيستخدمها و يحددوا ال Infrastructure بتاعته و يقدروا يحددوا ال Assets بتاعته عشان يبقي معاهم Target Map يقدروا منه يحددوا ال Scenarios الي هما هيعملوها.
4- Test & Simulation
يبتدوا يعملوا Test لل Scenarios بتاعهم علي Test Environments اوعي تفتكر ان لما يحصل اي Cyber Attacks ال Hackers بيكونوا بيجربوا لا دة ال Attack بيكون معموله Test كويس جداً عشان يشوفوا حاجتين :
- اول حاجة ال Detection Possibility لازم يشوفوا ال Attack هيتعمله Detection ولا لا علي حسب ال Infrastructure و ال security mechanisms الي عندك
- تاني حاجة ال Response بتاعه هيبقي عامل ازاي و ال Result هتطلع زي ماهي المفروض تطلع ولا لا و لما يتأكدوا ان كله تمام يقرروا انهم يعملوا Launch لل Attack.
5- Deployment
يبدأوا بقي يعملوا Deployment لل Attack Vectors بتاعت ال APTs بتاعهم سواء كان Zero-Day Malware او Social Engineering Campaign .
6- First Intrusion
هنا بيعملوا Exploitation و يدخلوا لأول مرة بقي علي ال Environment و طبعا هما مش محتاجين غير واحد بس الي يقدر يدخل عشان يقدر يدخل الباقي و بكدة ال Group كله يبقي معاه RCE علي ال Environment كلها.
7- Obtain/Extend Access
يبدأوا يعملوا Traps جوة ال Environment بحيث انهم يبدأوا يسحبوا Credentials كتير لناس كتير في ال Environment بحيث انهم يعملوا Sessions كتير من ال Accounts بتاعهم و ياخدوا Access علي حسب Privileges كل Account و من هنا بيبدأ الكابوس بقي لل Defensive Team انهم مش بيبقوا عارفين مين بيعمل ايه كل ما يروحوا لواحد يقولوله ايه الي انت بتعمله دة يقولهم مش انا الي بعمل كدة مع ان ال Attack معمول بال Account بتاعه بس فعلاً بيكون مش هو و بتبدي الحفلة بقي و ال Spaghetti Attack ان كله مش بيبقي عارف مين بيعمل ايه و مش بيبقوا عارفين يوقفوا ال Attack علي ايه ولا ايه لأن ال Group بي Attack كذا Asset ف نفس الوقت و دة بيبقي عشان حاجتين :
- فيه Assets بتتهاجم عشان تشتت ال Defensive Team مش بيبقوا عايزين منها حاجة غير انهم بس يشغلوا ال blue Team و بصرفوا نظرهم عن ال Assets التانية المهمة الي فعلا بيحصلها Attack.
8- Data Exfiltration
هنا بتكون اهم Phase الي بيكون ال Hackers داخلين عشانها اصلا الي فيها بيتم سحب ال Sensitive Data الي هما داخلين عشانها اساساً و طبعاً ال Blue Team بيكتشف غالباً ان ال Data اتسربت بعد ما بيكون ال Hackers خلصوا لان زي ما فيه Hacker بيسحب Data بيكون فيه اخوه بيعمل Attack ف حتة تانية و ساحب عليه ال Defensive Team عشان مياخدوش بالهم من ال Data الي بتتسرب.
9- Covering Tracks
هنا بيكون ال Hackers خلاص بيلموا حاجتهم و ماشيين بيعملوا حاجتين بقي قبل ما يمشوا :
- اول حاجة بيخفوا كل الاثار الي هما عملوها عشان مفيش Forensics Investigator يقدر يوصلهم و ميعرفش هما دخلوا امتي ولا من فين و لا عملوا ايه بالظبط
- تاني حاجة بيعملوا Setup لي Persistence Backdoor عشان يقدروا يدخلوا منه تاني ف اي وقت لو احتاجوا اي حاجة من ال Environment دي تاني بحيث انه يكون Standby و undetectable عشان محدش يحس بيه و يفضل موجود طول الوقت.
طب و بعدين اخواتنا في الله ال Blue Team يعملوا ايه في الكابوس دة !؟
- فيه حاجة لازم نتفق عليها في الاول كدة انك عشان تعمل Detection لل APTs دي مش حاجة سهلة تماماً دة موضوع صعب جدا و بيحتاج جهد كبير.. بس تعالي نشوف ايه هي ال Detection Life Cycle بتاعت ال APTs بس عشان برضو نفضل متفقين ان ممكن تعمل كل الي انا هقوله دة و في الاخر تلبس في APTs برضو :
- Network Logs Analysis
لازم كل شوية تعمل Analysis علي ال Network Appliances Logs زي ال Routers و ال Switches و تشوف هي بتت Access منين و مين الي بيعمل Access ليها ؟!
- IP Allocations
لازم تعمل Control علي ال DHCP Pools و تعرف كمان الاجهزة الي ساحبة IPs من ال Network دي هل هي كلها Corporate Devices ولا لا و لازم يكون عندك NAC في ال Environment بتاعتك الي هو Network Access Control عشان يحدد مين يدخل علي ايه.
- Integrity of Crypto Keys and Packages List
لازم كل شوية تعمل Analysis لل Crypto Keys زي بتاعت ال SSH او حتي ال SFTP و تعمل analysis لل Packages Lists الي نازلة عند ال end points عشان لو فيه حاجة مش من ضمن ال corporate package list بتاعتك يبقي دي threat بالنسبة ليك و طبعاً الي هيساعدك ف كل دة هي ال Monitoring Solutions
زي Nexthink و Microsoft SCOM و غيرهم
- CCTV Footage and Access Control Logs
لازم كاميرات المراقبة كلها تكون شغال خصوصاً الحاجات الي بتراقب ال Datacenter و ال Servers Room لان فيه Attack Vector مهم في ال APTss الي هو ال Physical Breaches الي هو واحد يدخل مكان عن طريق ان ينتحل صفة موظف جوة او يخدع موظف الامن و يقدر يدخل ال Servers Room عن طريق بقي Lockpicking او حتي ان ال Room تكون مفتوحة كدة و دي انا شفتها ف اكتر من مكان .
- Phishing Campaigns
لازم كل شوية تعمل Phishing Campaigns علي الموظفين بتوعك...ايه ؟! هعمل Phishing علي الموظفين بتوعي ؟!
اه هتعمل كدة علي الموظفين بتوعك عشان تشوف ال Response بتاعتهم علي ال Phishing Campaigns مين هيلبس و مين هيبلغ و مين مش هيهتم اصل عشان توصل في الاخر للناس الي ممكن يكونوا خطر عليك و تبدأ تعلمهم اكتر حتي تعمل عليهم Monitoring اكتر من اي حد تاني.
قبل ما اختم بس حابب اقول حاجة.....ال APTss ممكن يكون الغرض منها ال Destruction مش لازم يكون Data Exfiltration علي طول ممكن يكون ال Hacker غرضه بس يدمر ال Environment و دة ساعتها هيكون اسوء Scenario لان ساعتها ال Forensics مش هتفيد او هتكون خلاص كل حاجة خربت...