الـ Cyber Attacks بكل الـ Categories بتاعتها الـ Simple منها والـ Advanced

هتكلم عن Category كبيرة جداً و هي دي اساس وجود ال Cyber Security و اساس وجود ال Hackers وال Penetration Testers و اساس وجود ال RedTeam و ال Blue Team و اساس وجود ال Offensive Security و ال Defensive Security....هتكلم ان شاء الله عن ال Cyber Attacks بكل ال Categories بتاعتها ال Simple منها و ال Advanced ..
حياتنا و مستقبلنا في ال Cyber Security بيتمحوروا حوالين كلمة Cyber Attacks
لو انت Red Team Member يعني شغال Offensive Security ال Cyber Attacks هتكون بالنسبة ليك هي حياتك كلها عشان هي الي بتساعدك في ال Penetration Testing و غيرها من ال Offensive Activities يعني هي ال Hacking Techniques الي انت بتعتمد عليها ف شغلك.

لو انت Blue Team Member يعني شغال Defensive Security هتبقي برضو ال Cyber Attacks دي كل حياتك عشان دي الي انت متعين عشان تحمي الشركة منها اصلاً ف لازم دايماً تكون updated بكل ال Cyber Attacks الي بتحصل عشان تعمل Protection Mechanism ليها عشان ميحصلش اي Damage لل Assets بتاعت الشركة..

فيه مشكلة بتقابل كتير من الناس في المجال بتاعنا سواء كانوا كبار او صغيرين انهم مش عارفين ال Categories بتاعت ال Cyber Attacks يعني أبسط حاجة يقولك " الشركة حصلها Hack " ف انت كا Incident Responder متفهمش يعني ايه Hack تساله ايوة يعني ايه الي حصل او ايه نوع ال Attack الي حصل عندك يقولك حصلنا Hack و خلاص و دة طبعاً مينفعش....لازم اي حد شغال في ال Field دة يكون عارف علي الأقل ال Categories بتاعت ال Cyber Attacks الي هي حوالي 10 فئات ممكن تصنف بيهم اي Cyber Attacks حصل او لسة هيحصل :
1- Privilege Escalation
2- Defense Evasion
3- Credential Access
4- Discovery
5- Lateral Movement
6- Execution
7- Collection
8- Command & Control [C&C]
9- Exfiltration
10 - Persistence
دي كل ال Categories الي ممكن يتصنف فيها او منها اي Cyber Attack في الدنيا
تحت كل Category فيه Attacks كتير جداً هحاول اكتب اهم ال Attacks في كل Category مع شرح كل Category و شرح كل Attack انا هشرح اهم 4 Attacks في كل Category ان شاء الله لأن اكيد مش هينفع اشرحهم كلهم :
-----------------------------------------------------------------------------------
# أول_Category الي هي ال Privilege Escalation :
معني ال Category اصلاً ان دي ال Attacks المسؤلة عن ال Permissions و بتعتمد علي ال Extend سواء كان vertical او horizontal بمعني....ان انت دلوقتي User و ليك Permissions الي هما x,y,z في انك ممكن تعمل Attack يخليك تعمل حاجة من الاتنين : يا اما تروح علي User تاني ليه Permissions غيرك بس ف نفس مستواك يعني ليه Permissions مثلاً a,b,c و دي بيبقي ال Horizontal Escalation الي هو انت روحت من User لـ User ف نفس المستوي بس ب Permissions مختلفة,,,,او انك تعمل Escalation من User عنده x.y.z لـ User عندك Permissions مثلاً x,y,z,a,b,c او عنده Full Permissions ف دة كدة بيبقي اسمه Vertical Escalation انك روحت من User لـ User أعلي منه يعني اترقيت بمعني أصح....طب ايه هي اهم ال Attacks الي موجودة في ال Category دة الي بتوصل لل Escalation سواء كان Vertical او Horizontal :

اول Attack في ال Category دي اسمه Access Token Manipulation
الي هو انت خدت Token مش بتاعتك و عملت Access بيها كأنك انت صاحب ال Token دة ب اختصار جداً من غير الدخول في تعقيدات ملهاش لازمة عشان الناس الي أول مرة تسمع الكلام دة...زي مثلاً لما تسرق مفاتيح واحد و تستخدمها عشان تدخل المكتب بتاعه كدة انت خدت ال Token الي هي المفاتيح عشان تاخد ال Permission الي هو دخول المكتب...ال Token دي في المجال بتاعنا ممكن تبقي مفاتيح ممكن تبقي Password ممكن تبقي SessionID ممكن تبقي Session Token ممكن تبقي Access Card ممكن تبقي اي حاجة.

تاني Attack في ال Category دي اسمه DLL Injection الـ DLL الي ميعرفهاش هي ال Dynamic Link Library دي من ال System Files بتاعت ال Windows الي بتكون مسؤولة عن تشغيل حاجات معينة...
دلوقتي اي Process بيحصلها Execution في ال Operating System بيكون ليها DLL File مسؤول عنها بيكون موجود فيه ال Code بتاع ال Process دي
ال Attack بتاع ال DLL Injection هو زي اي Injection Attack بيبقي عبارة اني بعمل Inject لـ Malicious Code جوء ال DLL بتاع اي Process عشان لما ال Process دي يحصلها Execution تقوم مقومة معاها ال Process بتاعت ال Malware بتاع ال Attacker..

تالت Attack في ال Category دي اسمه Service Registry Permissions Weakness ال Attack دة بيعتمد علي ان ال Windows بيعمل Restore لأي Configuration خاص بالـ Local Services في ال Registry في Path ثابت الي هو :
HKLM\SYSTEM\CurrentControlSet\Services
انا طالما عرفت ال Path الي بتتخزن فيه ال Configuration بتاع ال Local Service ممكن اعمل Manipulation للـ Parameters و لل Configuration كلها و احط ال Configuration او ال Parameters بتاعت ال Services بتاعتي و يحصلها Execution عادي جداً دي وبتبقي من ال Attacks الرخمة في ال Investigations لأن ال Malicious Service بتكون شغالة كـ Local Service ف بتعمل Bypass لحاجات كتير ممكن متشوفهاش.
اخر Attack هتكلم عنه في ال Category دي اسمه Application Shimming
معني ال Attack دة ايه ؟!
قبل ما اشرح معني ال Attack لازم الأول اقول يعني ايه Application Shim
دي Methodology عملاها Microsoft في ال Compatibility Infrastructure بتاعتها بتخلي ال Program يعدل شوية حاجات في ال Code بتاعه عشان ميقعش في المشاكل بتاعت ال Compatibility يعني مثلاً Microsoft بتخلي ال Applications الي معمولة عشان تكون Compatible مع Windows XP انها تشتغل علي Windows 10....طب الموضوع بيتم ازاي ؟!
الموضوع بيتم ان ال Shim Framework بيبقي حلقة وصل ما بين ال Program و ال Windows لما ال Program بيحصله Execution بيجي ال shim يبعت ال Cache بتاعته تبص علي ال Program و تقوله انت Compatible مع ال Windows دة ولا محتاجني اترجمك ليه ؟! لو مش Compatible بتروح تنادي علي ال Shim Data Base الي هي sdb
طب ال sdb دي فيها ايه بقي ؟!
ال sdb دي فيها حاجة اسمها API Hooking دي كل وظيفتها انها تاخد جزء ال Code المسؤول عن ال Communication ما بين ال Operating System Kernel و ال Application و تقوم محولة الجزء دة الي هو مش Compatible مع ال Operating System لـ Code تاني يكون Compatible و بكدة ال Application يشتغل عادي حتي لو قديم جداً و انت شغال علي OS جديد جداً
طب لحد كدة الكلام جميل فين ال Attack او الخطورة في الموضوع ؟!
الخطورة هي لو ال Privilege بتاعت ال Shim Framework مش معمولها configuration صح ممكن من خلال ال Shim تستغل انها بتكلم ال Kernel بتاعت ال Operating و تعمل Malicious Functions كتير زي ال DLLInjection و ال Bypass UAC و لو انت عملت Bypass لل User Access control دي كدة بقيت Local Administrator علي ال Machine تقدر تعمل الي انت عايزه
او تقدر تعمل Backdoor في ال operating system او حتي توقف ال Local Defense Mechanisms زي ال Windows Defender او ال Windows Firewall و غيرها من ال Malicious Activities .

# تاني_Category الي هي ال Defense Evasion :
ال Category دي كل الغرض منها اني اخدع اي Defense Mechanism موجودة زي ال Anti-virus و ال Firewall و غيرهم و ال Evasions دي انا هعملها Part كامل مخصوص اتكلم عنها و بتتم ازاي بس هنا في ال Part دة طالما جات سيرتها يبقي هنقول كام Attack كدة منها :
اول Attack في ال Category دي اسمه File System Logical Offsets
فيه Programs كتير بيبقي ليها Access علي ال Logical Volumes الي هي ال Partitions الي هي ال Programs الي فيها Browsing او الي بتتعامل مع ال Files بصفة عامة دي بيكون ليها Direct Access علي ال File Hierarchy فا ساعات بيكون فيه Programs بتعمل Bypass لل Access control الي علي ال Folder زي ال Ninja Copy و ال ShadowCopy الي هما بيعملوا Copy من الحاجات الي انت في العادي ملكش Access عليها طبعاً مش في كل ال Operating Systems و مش في كل ال Builds.
تاني Attack في ال Category دي اسمه Binary Padding
طبعاً كل الناس الي مذاكرة Reverse او MA عارفة يعني ايه Padding بس انا بتكلم مع الناس الي هي المفروض لسة بتبدأ جديد في ال Field دة
ال Binary Padding هو اني بغير في ال Original Format او ال Original Image بتاعت ال File بحيث ان لو هو malware مثلاً اكيد هيبقي ليه Signature دة لو مكانش Zero-day ف طالما ليه Signature يبقي ليه اكيد Malware Definition زي مثلاًَ trojan-downloader.script.generic
ال Padding بقي اني بغير في ال Hash بتاعت ال File و بغير في ال Content بتاعته جوة بحيث ال Antivirus ميقدرش يقارنه بال Signature-DataBase الي عنده بس علي شرط ان التغير الي هعمله دة ميأثرش علي ال Functions بتاعته يعني لما ييجي يحصله Execution هيشتغل تمام زي ما هو..

# تالت_Category الي هي Credential Access
ال Credential مش بتبقي User Name و Password بس......ال Credentials هي اي حاجة ملكية خاصة بال User بتخليه يوصل لل Private Data بتاعته سواء كانت User Name او UserID او Password او PIN Code او Physical Token او Biometric Token او SessionID او Fingerprint او اي حاجة في الدنيا ينفع تبقي Credential
اول Attack في ال Category دي الي هو ال Credential Dumping
كل فكرة ال Attack دة اني بحاول اعمل Dump لل Username و ال Password عشان استخدمهم بعد كدة في ال Privilege Escalation او في اي حاجة تانية
فيه Tools كتير بتحاول تعمل الكلام دة زي Mimikatz و gsecdump و غيرهم
و هي بتعتمد علي اكتر من سيناريو منهم ان يكون فيه Local service موجود فيها Credential ف بعمل Dumping لل Service دي و اخد منها ال Credentials
او مثلاً اعمل Memory Dump و بعد كدة اعمل Memory Analysis و اشوف كل ال Credentials الي كانت موجودة في ال memory و سيناريوهات تانية كتير..
تاني Attack في ال Category دي الي هو ال Brute Force طبعاً اني اعمل Try-and-Error علي ال Credentials لحد ما اوصل للي انا عايزه
تالت Attack في ال Category دي الي هو ال Network Sniffing بس دة بيشترط اني اكون علي نفس ال Network بتاعت ال Victim الي عايز اسرق ال Credentials بتاعته..ف بعمل Sniffing علي ال Traffic و ال Packets الي ماشية في ال Network و بقدر اشوف لو فيه اي Credentials مبعوتة اقدر اخدها.

# رابع_Category الي هي ال Discovery
ال Discovery دي من اهم مراحل ال Penetration Testing او ال Hacking بصفة عامة الي هي اسمها Information Gathering و ال Reconnaissance
و دي الغرض منها انك تجمع كل المعلومات الممكنة علي ال System الي هو ال Scope بتاعك و تعرف كل حاجة عنه قبل ما تبدأ تعمل اي حاجة
مثال علي ال Attack s في ال Category دي الي هو ال Network Crawling او ال Network Scanning
الغرض منه انك مثلاً وصلت لـ IP ف من ال IP تقدر تجيب ال Subnet و من ال Subnet تقدر توصل لكل ال IPs الي معاك في ال Network عشان تعمل Scan عليهم هما كمان عشان تشوف مين فيهم تقدر تدخل عليه لأن ف معظم كتب ال Penetration Testing كلهم اتفقوا علي مقولة واحدة الي هي :
You Can't Crack the Chain , You Can Possible Crack the Node which leads to crack the chain
بيقولك انك لو عندك سلسلة كبيرة متقدرش تكسرها...لكن لو كسرت حلقة واحدة منها هتكون كدة كسرت السلسلة كلها و دة الي بنعمله بالظبط بنفضل نمشي ورا كل Node في ال Network لحد ما نلاقي اضعف جهاز حتي لو ال Fingerprint بتاع الشركة و تقدر تدخل عليه و منها تبتدي تنط من Node لي Node..

# خامس_Cateogry الي هي ال Lateral Movement
ليه سموها Lateral Movement ?!
لأن دي مجموعة من ال Attacks الي ممكن تنفذها ب ايدك من غير ما تعتمد علي اي Tools اضافية .
اول Attack في ال Category دي اسمه Logon Scripts
اي Operating Systems في الدنيا بيـ Run مجموعة من ال Scripts اول ما بيشتغل و قبل حتي ما يفتح ال Scripts دي وظيفتها انها بتقوم مجموعة من ال Features الأساسية الي بيعتمد عليها ال Operating System ال Attack هنا اني بقدر اوصل لل Path بتاع ال Scripts دي و بقدر أعدل فيها بحيث اني اخلي ال Operating System يقوم بالطريقة الي انا عايزها و يقوم معاه ال Applications ايل انا عايزها و طبعاً ممكن يبقي من ضمن ال Applications دي ال Malware بتاعي اكيد .
تاني Attack في ال Category دي اسمه Pass the Hash
و دي Attack مبقاش موجود دلوقتي كتير لأنه مش بيشتغل علي كل نسخ ال Windows بيشتغل علي نسخ معينة بس لكن لسة ساعات بنلاقي اجهزة Vulnerable للجهاز دة و ال Attack دة عبارة عن اني بقدر اوصل لل SAM File في ال Windows او لل Shadow File في ال Linux او اعمل Credentials Dump المهم انه بيبقي معايا ال Username و معايا ال Hash بتاعت ال Password مش ال Password نفسها....ف بعمل Login بال Username و بـ Hash ال Password و بقوم داخل علي طول من غير ما اعرف ال Password نفسها.