Professional Documents
Culture Documents
نمذجة التهديدات السيبرانية باللغة العربية Mitre - att&Ck -1
نمذجة التهديدات السيبرانية باللغة العربية Mitre - att&Ck -1
نمذجة التهديدات السيبرانية باللغة العربية Mitre - att&Ck -1
1
2
لماذا هذا العمل ..
ن
متقدمي ( )APTمتعددة .مما ن
المبتدئي ( )script kiddieاو ال ن
المهاجمي ر
الت يقوم بها
التقنيات واألساليب والطرق ( )TTPsي
ن
المهاجمي بطريقة سهله الفهم وفعالة عند استدعت الحاجة اىل وجود إطار يقوم بنمذجة تلك التهديدات الصادرة من قبل
التطبيق .ووجود هذا اإلطار باللغة العربية يعزز من عملية الفهم واالدراك لمستوى الهجمات والتقنيات واألساليب المتبعة
ان.ن
السيب ي
ر محلل االمن
ي لدى
شكر وتقدير
كل الشكر والتقدير ر
للشكة السعودية ( )CyberCaveوكذلك الزمالء:
-مالك الدوشي
-ثامر الشمري
السحيم
ي -محمد
Nowayer -
3
عمليات االستطالع والمسح Reconnaissance/
ر
الت يقوم بها المهاجم سواء كانت بطريقة نشطة أو غب نشطة لجمع ه العمليات والتقنيات ي االستطالع والمسح :ي إن المقصود بعمليات
والت قد تفييده ن يف عمليات االستهداف المستقبلية .وقد تتضمن هذه المعلومات بعض التفصيل عن المنظمة أو الشخص ي
المعلومات ر
ّ ُ
الموظفي .حيث تمكن هذه المعلومات المهاجم من االستفادة من تلك المعلومات المفصلة ن يف المراحل
ن المستهدف أو البنية التحتية أو
ي
االوىل " "Initial Accessأو لتحديد الت تم جمعها لتخطيط وتنفيذ الوصول المتقدمة من دورة حياة الهجوم كاستخدام المعلومات ر
ي ي
ر
الت ر ر
االوىل ،أو توجيهه بإكمال عمليات االستطالع حيث أن المعلومات ي
ي االخباق الت يجب عل المهاجم القيام بها بعد عملية األولويات ي
تم جمعها غب كافية.
4
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
الت قد تفييده ن يف عمليات االستهداف. ي
االخباق يقوم المهاجم بإجراء عمليات مسح واستطالع وجمع للمعلومات ر ر قبل عملية
ر ن ر ر ر
يأن ذلك من خالل الفحص تأن بتفاعل مباش ما بي المهاجم والمستهدف .ي الت يونقصد هنا عمليات االستطالع النشطة ي المسح النشط Active /
T1595
الت تكون غب نشطة للبنية التحتية للمستهدف واكتشاف حركة مرور البيانات وه عل عكس عمليات االستطالع االخرى ر Scanning
ي ي
مباشة مع المستهدف. وغب ر
قبل عمليات االستهداف قد يقوم المهاجم بعمليات مسح لمجموعة من المعرفات IP addressلغرض جمع المعلومات
المسح لمجموعة معرفات /
حت يتم استخدامها ن يف المراحل المتقدمة .إن جمع المعلومات من خالل المعرفات قد يفيد المهاجم الخاصة بالمستهدف ر 001 T1595
Scanning IP Blocks
بتحديد عدد المعرفات التابعة لجهة معينة.
حت يتم استخدام نقاط الضعف ن يف المراحل المتقدمة من العملية. االخباق يقوم المهاجم بفحص الثغرات للهدف ر ر قبل عملية
مسح الثغرات /
إن فحص الثغرات هو عبارة عن سلسلة من عمليات الفحص لإلعدادات الخاطئة لألجهزة واألنظمة والتطبيقات والشبكات 002 T1595
Vulnerability Scanning
(مثل اصدار التطبيق) ومحاولة المهاجم معرفة اإلصدار من أجل استغالل الثغرات الخاصة به.
ر ر ر جمع المعلومات من النظام
االخباق .ولربما الت لدى الهدف وقد تستخدم أثناء عمليات قبل عملية االخباق يقوم المهاجم بجمع المعلومات عن االجهزة ي المستهدف Gather /
تتضمن المعلومات أسماء االجهزة وبيانات حسابات المدراء لألنظمة والمعرفات الخاصة بهم وبعض االعدادات الخاصة T1592
Victim Host
باألنظمة.
Information
ر
االخباق. والت قد تستخدم أثناء عمليات ر ر
الت لدى الهدف ي قبل عملية االستهداف يقوم المهاجم بجمع المعلومات عن األجهزة ي
وقد تحتوي المعلومات تفاصيل البنية التحتية لألجهزة والعتاد وبعض التفاصيل مثل اإلصدارات الخاصة بتلك العتاد أو بعض
ر ر ر العتاد Hardware / 001 T1592
المؤشات والت قد تستخدم للحماية مثل (قارئ البطاقات / الت قد تكون إلضافات تم اضافتها عل العتاد ي المعلومات ي
الحيوية /أجهزة التشفب المتخصصة وما اىل ذلك).
الت تفييده ن يف عمليات االستهداف ي
البمجيات والتطبيقات ر ر عن المعلومات قبل عمليات االستهداف ،قد يقوم المهاجم بجمع
ر ً
بالبمجيات مثل المعلومات المرتبطة بها من إصدارات وتواريخها ،أو الت تختص ر مستقبال .وقد تشتمل بعض المعلومات ي البمجيات Software /
ر 002 T1592
البمجية أو التطبيقات االصلية. الت قد تكون مضافة مع ر ر
البمجيات ي ر
والت قد ر
البامج وأنظمة التشغيل الخاصة ببعض األجهزة ي قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات عن ر
ً
الت تختص بأنظمة التشغيل مثل المعلومات المرتبطة بها من إصدارات ر انظمة Firmware /
تستخدم مستقبال ،وقد تشتمل بعض المعلومات ي 003 T1592
البمجية أو التطبيقات االصلية. الت قد تكون مضافة مع ر ر
ً
مستقبال فن البمجيات ي وتاريخها والغرض منها وآلية االعداد ،أو ر
والت قد تستخدم ر
ي قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات عن اعدادات التكوين للمستهدف ي اعدادات العميل Client /
االستهداف .قد تتضمن المعلومات طريقة اإلعدادات وتفصيالتها .بما ن يف ذلك نوع نظام التشغيل واإلصدار واألنظمة 004 T1592
ر Configurations
االفباضية والبيئة المعمارية ( )bit /32 bit 64او اللغة المستخدمة أو المنطقة الزمنية.
جمع المعلومات عن هوية
والت من الممكن استخدامها ن يف مراحل ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات حول هوية المستهدف ي
االستهداف المتقدمة .وقد تتضمن المعلومات الهوية الشخصية أو هويات المجموعات عل سبيل المثال (أسماء الموظفين المستهدف Gather /
T1589
ر ن Victim Identity
ون وما اىل ذلك) باإلضافة اىل بعض البيانات الحساسة مثل بيانات األرقام الشية. البيد االلكب ي وعناوين ر
Information
5
والت قد تستخدم ن يف مراحل االستهداف ر
عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات عن بيانات االعتماد ي قبل
ً بيانات االعتماد /
مستقبال ،وقد تكون بيانات االعتماد عبارة عن حسابات يقوم المهاجم بجمعها بهدف استهداف المنظمة للشخص 001 T1589
Credentials
المستهدف نف حال كان الشخص المستهدف يقوم باستخدام بيانات اعتماد موحدة.
قبل عمليات ي االستهداف ،قد يقوم المهاجم بجمع المعلومات عن البيد الشخص للشخص المستهدف بهدف استخدامها فن ر ن
ون Email /
ي ر ي ر البيد االلكب ي
ر
002 T1589
للموظفي وغبهم. ن والت قد تستخدم فقط باإلنبنت ر المتصلة المراحل المتقدمة .وذلك من خالل استهداف بعض الخدمات Addresses
ي
الت يمكن استخدامها ن يف مرحلة ي
الموظفي ر
ن أسماء عن قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات ن
ن ن ر ن ُ الموظفي / اسماء
ون الخاص بهم وكذلك يف مساعدة جهود المسح البيد االلكب ي الموظفي الستخراج ر االستهداف المتقدمة .وقد تستخدم أسماء 003 T1589
Employee Names
واالستطالع والتصيد.
والت يمكن استخدامها ن يف مرحلة ي
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات حول الشبكة المستهدفة ر
جمع معلومات الشبكة /
االستهداف المتقدمة .وقد تتضمن المعلومات المتعلقة بالشبكة مجموعة متنوعة من التفاصيل والبيانات الهامة والحساسة
ن Gather Victim Network T1590
وف بعض األحوال قد يستطيع المهاجم رسم الطوبولوجيا وطريقة الداخل وغبها) ي
ي مثل (بيانات المعرفات وبيانات النطاق
Information
عملها.
ن
والت يمكن استخدامها يف مرحلة ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات حول الشبكة المستهدفة ي خصائص النطاق Domain /
االستهداف المتقدمة ،قد تتضمن العملية بعض الخصائص عن النطاق والمالك له ووسيلة التواصل ومعلومات التسجيل .وقد 001 T1590
ن ر ن Properties
التعي له داخل المنظمة (مثال أول حرف من اسم الشخص واسم العائلة وهكذا). ون وطريقةالبيد االلكب يتتضمن كذلك ر
والت يمكن ر بالمستهدف الخاصة DNS النطاقات أسماء معلومات بجمع المهاجم يقوم قد االستهداف، قبل عمليات
ي
استخدامها ن يف مرحلة االستهداف المتقدمة ،قد تتضمن العملية بعض المعلومات التفصيلية عن المستهدف منها عدد الخوادم اسماء النطاقات DNS / 002 T1590
ون وغبها). ر ن
البيد االلكب ي وأسماء النطاقات الفرعية والهدف منها والخدمات كذلك (مثل خدمات ر
والت قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات لمعرفة مستوى الثقة داخل الشبكة الخاصة بالمستهدف ر الثقة ن
بي الشبكات وتبعياتها /
ي
يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .قد تتضمن العملية بعض المعلومات التفصيلية عن المستهدف منها عدد Trust Network 003 T1590
الت ترتبط بالمنظمة من خالل الشبكة والفروع والخدمات المدارة والمتعاقدين وما إىل ذلك. ر
الجهات الخارجية ي Dependencies
والت يمكن استخدامها ر
نقبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات عن هيكلة الشبكة الخاصة بالمستهدف ي
ر
الفبيائية أو االفباضية أو ف مرحلة االستهداف المتقدمة ،قد تتضمن العملية بعض المعلومات التفصيلية عن هيكلة الشبكة ن طوبولوجيا الشبكات /
ي 004 T1590
االنبنت وبعض معلومات البنية باإلنبنت .وقد تتضمن بعض المعلومات الحساسة حول الشبكات وبوابات ر ر الخدمات المتصلة Network Topology
التحتية.
والت يمكن استخدامها ن يف مرحلة ي
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع معلومات المعرفات الخاصة بالمستهدف ر
االستهداف المتقدمة ،قد تتضمن العملية بعض المعلومات التفصيلية عن المعرفات الخاصة بالمنظمات وتسلسل المعرفات
المعرف IP Addresses / 005 T1590
". "IP address rangeويستطيع المهاجم من خالل المعرفات استخراج الخدمات المرتبطة بالمنظمة كالمواقع المادية
الخاصة بالمنظمة ومزودي خدمات ر
االنبنت والبنية التحتية.
والتر انظمة حماية الشبكات /
االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة والخاصة بأجهزة الحماية بالشبكة المستهدفة ي قبل عمليات
يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .قد تتضمن العملية بعض المعلومات التفصيلية عن أجهزة وجدران الحماية Network Security 006 T1590
االنبنت واألجهزة األخرى المتعلقة بحماية ر
االنبنت. وخدمات الوكيل ومصفيات ر Appliances
6
والت يمكن استخدامها ن يف ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة حول المنظمة المستهدفة ي
ر جمع معلومات المنظمة
والت قد تحتوي عل األقسام مرحلة االستهداف المتقدمة .قد تتضمن العملية بعض المعلومات التفصيلية عن المنظمات ي المستهدفة Gather / T1591
الموظفي ذوي األهمية داخل هذه ن واإلدارات وبعض االعمال الداخلية والعمليات الخاصة بها والمهام الوظيفية وبعض
Victim Org Information
المنظمة.
والت يمكن استخدامها فن قبل عمليات االستهداف ،قد يقوم المهاجم بجمع معلومات المكان الجغر ناف للمنظمة المستهدفة ر
ي ن
ي ن ي اف /
تحديد الموقع الجغر ي
اف والمواد األساسية مرحلة االستهداف المتقدمة .قد تتضمن العملية بعض المعلومات التفصيلية عن مكان المنظمة الجغر ي Determine Physical 001 T1591
القضان حسب الت تعتمد عليها المنظمة باإلضافة إىل مكان البنية التحتية ومرجعتيها اإلدارية والنطاق الخاص بالتحاكم ر
ي ي Locations
القضان.
ي المنظمة والدولة والنظام
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة حول العالقات التجارية للمنظمة المستهدفة ر
والت
ي
يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .قد تتضمن العملية بعض المعلومات التفصيلية حول العالقات التجارية عالقة االعمال Business /
ر ن 002 T1591
الت لديها صالحيات الوصول لشبكة الثان أو الثالث والخدمات المدارة والمتعاقدين أو ي للمؤسسة من الطرف األول أو ي Relationships
الت تستخدمها المنظمة. ر للمنظمة .وقد يستطيع المهاجم كشف عالقات الموردين مع ر
البمجيات ي الشكة والقيام باستهداف ر
والت يمكن ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات عن وتبة االعمال داخل المنظمة المستهدفة ي وتبة العمل داخل المنظمة /
استخدامها ن يف مرحلة االستهداف المتقدمة .قد تتضمن العملية بعض المعلومات التفصيلية فيما يخص درجة شعة وخطورة
االعمال وساعات العمل الرسمية وعدد أيام العمل نف األسبوع وتواري خ ر Business Identify 003 T1591
والبامج الشاء والبيع والشحن للموارد واألجهزة ر ي Tempo
الخاصة بالمنظمة المستهدفة.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة عن األدوار والمسؤوليات والهويات لألشخاص
والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .قد تتضمن العملية بعض ر
المستهدفي داخل المنظمة المستهدفة ي
ن تحديد الصالحيات /
ن ن 004 T1591
الهيكل لها واألدوار للموظفي الرئيسيي باإلضافة اىل البيانات والمصادر المتاحة ي المعلومات الحساسة عن المنظمة والكيان Identify Roles
للوصول لها.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد تستهدف العاملين
تصيد المعلومات /
االحتياىل هو الحصول عل ي والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .إن التصيد ر
بداخل المنظمة المستهدفة ي Phishing for T1598
المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد .حيث يختلف التصيد المقصود بجمع
Information
المعلومات عن التصيد إليصال برمجية تنفيذية ضارة.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد اشخاص محددين
والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .إن التصيد ر
داخل المنظمة من خالل استخدام خدمات الطرف الثالث ي خدمات التصيد /
ً 001 T1598
االحتياىل هو الحصول عل المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد .وغالبا ما ي Spearphishing Service
يستخدم التصيد المستهدف الهندسة االجتماعية كوسيلة لجمع المعلومات كإرسال وظائف أو رسائل عاجلة وهامة.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد اشخاص محددين
تصيد من خالل المرفقات /
االحتياىل هو
ي والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .إن التصيد ر
داخل المنظمة من خالل ارفاق ملف ضار ي
ً Spearphishing 002 T1598
الحصول عل المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد .وغالبا ما يستخدم التصيد
Attachment
المستهدف الهندسة االجتماعية كوسيلة لجمع المعلومات كإرسال وظائف أو رسائل عاجلة وهامة.
قبل عمليا ت االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد اشخاص محددين تصيد من خالل الروابط /
003 T1598
االحتياىل هو
ي والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .إن التصيد ر
داخل المنظمة من خالل ارفاق رابط ضار ي Spearphishing Link
7
وغالبا ما يستخدم التصيد ً الحصول عل المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد.
المستهدف الهندسة االجتماعية كوسيلة لجمع المعلومات كإرسال وظائف أو رسائل عاجلة وهامة.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل مصادر معلومات مغلقة عن المنظمة أو
ن
بالمستهدفي والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة .وقد تكون المعلومات المتعلقة ر
الشخص المستهدف ي البحث ن يف المصادر المغلقة /
ن ر ن متاحة ر T1597
للشاء من مصادر وقواعد بيانات خاصة أو قد يقوم المهاجمي بشاء المعلومات لالستفادة منها يف عمليات االستهداف Sources Search Closed
ر
ومن أشهرها االنبنت المظلم وغبها.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل مصادر الخاصة بالمعلومات االستباقية عن
الت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة .وقد يقدم با ِئ ُعو المعلومات االستباقية مصادر تغدية ر
التهديدات ي
ن ي ً موفري المعلومات االستباقية
مجانا أو متقدم تحتوي معلومات متقدمة وغنية .كما أنه يف بعض األحيان يتم تقديم معلومات حساسة مثل أسماء العمالء أو 001 T1597
ن ر ر Vendors Threat Intel /
معي الت تستهدف قطاع المعرفات المصابة وغبها .وربما تحتوي بعض المعلومات تفاصيل عن االخباقات وتشيب البيانات ي
أو عمليات ربط ونمذجة التهديدات المبنية عل السلوك والتقنيات . TTPS
ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل شاء بعض التفاصيل والمعلومات الفنية رشاء البيانات الفنية /
بشاء تلك المعلومات من مصادر موثوقة أو من خالل والت من الممكن استخدامها نف مرحلة االستهداف المتقدمة .وقد يقوم ر ر Purchase Technical 002 T1597
ي ي
االشباك بوسائل المدفوعة الخاصة بمصادر المسح أو االستطالع وغبها. ر Data
ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل قواعد البيانات الفنية المتاحة عل االنبنت البحث من خالل قواعد
والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة .وقد تتضمن تلك المعلومات عل ر
عن المنظمة المستهدفة ي البيانات الفنية المفتوحة /
ر T1596
مسجل النطاقات أو بعض ي مستودعات البيانات الخاصة بالمنظمة أو سجالت االنبنت أو عدد النطاقات والشهادات وأسماء Search Open Technical
البمجيات أو التعليقات المتوفرة عند عمليات الفحص واالستطالع. المعلومات الحساسة عن المنظمة داخل ر Databases
والت من الممكن قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل أسماء النطاقات DNSر البحث من خالل اسماء
ي
استخدامها ن يف مرحلة االستهداف المتقدمة .وقد تتضمن تلك المعلومات أسماء األشخاص أو المنظمة المالكة للنطاق أو النطاقات بشكل غب ر
مباش / 001 T1596
البيد وغبها. العناوين الفرعية المستهدفة ومنها عل سبيل المثال خدمات ر DNS/Passive DNS
ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل قواعد البيانات الفنية المتاحة عل االنبنت
والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة. ر
عن المنظمة المستهدفة باستخدام مواقع ونطاقات WHOISي
ن ر
حيث يتم تخزين البيانات بواسطة WHOISوذلك بتخزين وتسجيل البيانات من خالل سجالت االنبنت والمسؤولي عن ربط مالك العنوان whois / 002 T1596
وماه العناوين ي المعرفات بإصحابها حيث يمكن ألي شخص االستعالم عن النطاق والمعرف الخاص به ومن قام بتسجيله
والنطاقات الفرعية المرتبطة به.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث ن يف بيانات الشهادة الرقمية للحصول
والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة .حيث يتم اصدار الشهادات الرقمية من ر
عل معلومات حساسة ي الشهادات الرقمية Digital /
003 T1596
ِقبل مراجع التصديق CAوذلك بهدف التحقق من أن محتوى الموقع يتم نقله واالتصال به بشكل مشفر ،حيث تحتوي تلك Certificates
اف.والشكة والموقع الجغر ن الشهادات عل بعض المعلومات الخاصة بالتسجيل مثل االسم ر
ي
ن
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث يف بيانات شبكة خدمات المحتوى
مقدم خدمات المحتوى
والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة .تسمح شبكات الخدمات الموزعة للمؤسسات ر
الموزع CDNي 004 T1596
المحتوى عل مجموعة متوازية من الخوادم نف نطاق جغر ن الشبك CDNs /
ي
اف حسب طلب العميل. ي ي باستضافة
8
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث ن يف بيانات المسح واالستطالع العامة
مباشة مع المستهدف ومن الممكن استخدامها نف مرحلة االستهداف المتقدمة .ر والت ال يكون لها صلة ر ر قواعد البيانات الخاصة
تنتش العديد من ي ي
ً ر بمنصات المسح واالستطالع / 005 T1596
الخدمات الخاصة بالمسح واالستطالع عل االنبنت ،وغالبا تقوم هذه األدوات بالمسح من خالل العناوين أو النطاقات أو
Scan Databases
وماه شهادات التشفب المستخدمة. ي مسجل تلك النطاقات أو تقوم بعض األدوات بفحص المنافذ المفتوحة ي أسماء
ن ر
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة والمتاحة عل االنبنت من خالل البحث يف مواقع
Search Open
مباش مع المستهدف ومن الممكن استخدامها ن يف مرحلة االستهداف المتقدمة، والت ال تكون عل اتصال ر ر
مجان ي ي
ن الويب وبشكل
ن ن ً ر ر Websites/Domains / T1593
االجتماع أو
ي وقد تكون المعلومات المنتشة عل االنبنت مفيدة جدا للمهاجمي مثل المعلومات المتوفرة يف وسائل التواصل
البحث من خالل المواقع
العقود أو طلبات التوظيف أو المكافآت وغبها.
والت قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث نف وسائل التواصل االجتماع ر
ي ي ي االجتماع Social / التواصل
ن
المستهدفي االجتماع عل معلومات عن
ي من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة .قد تحتوي مواقع التواصل ي 001 T1593
Media
منظمات كانوا أو اشخاص مثل مناصبهم الوظيفية أو مواقعهم الجغرافية وكذلك اهتماماتهم.
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل استخدام محركات البحث حول المستهدف
والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة .قد تقوم محركات البح ث بالبحث وارشفة البيانات الحساسة ي
ر محركات البحث Search /
ّ 002 T1593
والغب حساسة بهدف جمع المحتوى لتسهيل الوصول له من خالل فهرسته .مما قد يمكن المهاجم من الوصول لبعض Engines
مؤمنه وقد تقدم بعض محركات البحث فالتر خاصة تمكنك من البحث عن امتدادات معينه أو غبها. المعلومات الغب ي
البحث من خالل الموقع
قبل عمليات االستهداف ،قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث ن يف مواقع الويب الخاصة بالجهة أو
المستهدف Search /
والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة .وقد تحتوي مواقع الويب تلك عل ر
الشخص المستهدف ي T1594
ن ر معلومات متنوعة ومفصلة بما فيها أقسام ر Victim-Owned
ون وعمالئها. البيد االلكب ي
الشكة وموظفيها وكذلك تركيبة ر
Websites
9
تطوير الموارد Resource Development /
10
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
والت من الممكن استخدامها أثناء عملية االستهداف .حيث توجد ر ر
قبل عمليات االستهداف ،قد يقوم المهاجم بشاء أو استئجار البنية التحتية ي امتالك بنية تحتية
T1583
ن
الت تتيح للمهاجم التنسيق بي العمليات الهجومية .ومن الممكن أن يقوم المهاجم باستخدام الخدمات السحابية ر
ن أنواع متعددة نمن الخوادم ي Acquire /
ن
ألعمال ضارة يف أماكن مختلفة .يف بعض األحيان قد يكون المهاجم قام باستخدام برمجيات الطرف الثالث ألغراض ضارة مثل الربط بي شبكات
Infrastructure
البوت وغبها.
ر
والت من الممكن استخدامها أثناء عملية االستهداف .إن أسماء النطاقات ر
قبل عمليات االستهداف ،قد يقوم المهاجم بشاء او استئجار النطاقات ي النطاقات
.001 T1583
وه بديل عن المعرفات IP addressوالجدير بالذكر أن هناك نطاقات تستطيع استخدامها ه مفردات يستطيع قراءتها وحفظها االنسان ي ي
ن Domains/
جان.
بشكل م ي
ر خوادم أسماء .002 T1583
والت من الممكن استخدامها أثناء عملية االستهداف .وقد
قبل عمليات االستهداف ،قد يقوم المهاجم بإعداد خوادم أسماء النطاقات DNSي
يستخدم المهاجم قنوات خوادم أسماء النطاقات لعمليات التحكم والسيطرة أو لدعم عمليات التشغيل الخاصة بالمهاجمي.ن النطاقات DNS /
Server
والت من الممكن استخدامها أثناء عملية االستهداف .حيث ر ر
قبل عمليات االستهداف قد يقوم المهاجم باستئجار الخوادم االفباضية الخاصة ي الخوادم ر
االفباضية
.003 T1583
والت تقوم بتوفب الخدمات السحابية والمستودعات والخوادم ر
االفباضية .ويقوم ر
توجد مجموعة متنوعة من مزودي الخدمات السحابية ي Virtual /
ن
المهاجمون باستخدام مثل هذه التقنية لتصعب عمليات ربط عملياتهم عل المحللي بشكل واضح وكذلك لسهولة اعداد تلك الخوادم وشعة
Server Private
اغالقها.
والت من الممكن استخدامها اثناء عملية االستهداف .حيث يتم استخدام ر ر
قبل عمليات االستهداف قد يقوم المهاجم بشاء أو استئجار الخوادم ي .004 T1583
تلك الخوادم لتنفيذ العمليات الضارة ضد المنظمات المستهدفة أو يتم استخدامها كذلك ن يف التحكم والسيطرة .والسبب خلف استخدامها هو الخوادم Server /
الت تستخدم ر
فبة الهجوم. ر
الحفاظ عل خصوصية األدوات ي
ر
والت تحتوي عل عدد كبب من األنظمة المخبقة ومن الممكن استخدامها ر ر
قبل عمليات االستهداف قد يقوم المهاجم بشاء أو استئجار الشبكات ي .005 T1583
ن
للمهاجمي ر
المخبقة ويتم استخدامها بتوجيهها ألداء مهام منسقة .ويمكن اثناء عملية االستهداف .حيث أن البوت عبارة عن شبكات من األنظمة البوت Botnet /
االشباك الستخدام شبكة البوت ن يف هجمات حجب الخدمة أو هجمات التصيد. ر رشاء أو
والت من الممكن استخدامها أثناء عملية االستهداف .توجد مجموعة ر ر
قبل عمليات االستهداف قد يقوم المهاجم بشاء أو استئجار خدمات الويب ي .006 T1583
والت يقوم المهاجمي بالتسجيل فيها واالستفادة من خدماتها (مثل خدمات التحكم والسيطرة أو خدمات نقلن ر
متنوعة من مواقع الويب الشائعة ي خدمات الويب
لك تساعدهم ن
االجتماع للتحكم والسيطرة حيث يقوم المهاجمي باستخدامها يي وتشيب وحفظ الملفات) باإلضافة إىل استخدام وسائل التواصل Web Services/
التخف من الرصد واالكتشاف وكذلك تسهل عليهم ربط عملياتهم. ي
ن ن يف
باخباق الحسابات ر قبل عمليات االستهداف قد يقوم المهاجم ر الحسابات T1586
والت من الممكن استخدامها اثناء عملية االستهداف .يستخدم المهاجمون ي ر
المخبقة /
والت قد تؤدي ن يف
ر
لك يولد الثقة لديه يالهندسة االجتماعية لهذا الغرض حيث يتم القيام بانتحال شخصيات معروفة لدى الشخصية المستهدفة ي
النهاية إىل ر Compromise
اخباق حسابه.
Accounts
11
والت من الممكن استخدامها أثناء عملية االستهداف .يستخدم ر حسابات وسائل قبل عمليات االستهداف قد يقوم المهاجم ر .001 T1586
االجتماع ي ي باخباق حسابات التواصل
حت يولد الثقة االجتماع المهاجمون الهندسة االجتماعية لهذا الغرض .حيث يقوم المهاجمون بانتحال شخصيات معروفة لدى الشخصية المستهدفة ر ي التواصل
ن
والت قد تؤدي ف النهاية إىل ر ر Media Social /
اخباق الحساب. ي لديه ي Accounts
والت من الممكن استخدامها أثناء عملية االستهداف .وقد يستخدم ر ر ن قبل عمليات االستهداف قد يقوم المهاجم ر
ون ي البيد االلكب ي باخباق حسابات ر ون / ر ن .002 T1586
ون يقوم بإرسال رسائل تصيد ن ر
االلكب يد للب
ر اق ر
االخب عملية بعد المثال سبيل عل .بها يقومون الت ر العمليات لتعزيز ون االلكب ن
ر يد
الب ر المهاجمون البيد االلكب ي ر
ي ي ي Email
ر ر للمستهدفي حيث سيكون هناك إحساس بالثقة ما ن ن
البمجيات الضارة والت قد يتم استخدامها لتثبيت ر والبيد المخبق .ي بي الشخص المستهدف ر
Accounts
أو الحصول عل صالحيات الوصول للبنية التحتية.
والت من الممكن استخدامها أثناء عملية االستهداف .قد تشمل ر ر ر
ً بنية تحتية مخبقة قبل عمليات االستهداف قد يقوم المهاجم باخباق البنية التحتية التابعة للجهات ي T1584
المهاجمي بهذه الهجمات بدال من رشاء أو ن Compromise /حلول البنية التحتية عل الخوادم المادية أو السحابية أو خدمات الويب التابعة للجهات .يقوم
Infrastructureاستئجار البنية التحتية باستخدام تلك المنصة لمهاجمة منظمات أخرى أو من خالل استخدام تلك البنية التحتية لشبكات البوت.
والت من الممكن استخدامها أثناء عملية االستهداف .إن أسماء ر
قبل عمليات االستهداف ،قد يقوم المهاجم بشقة النطاقات الرئيسية أو الفرعية ي .001 T1584
وه بديل عن المعرفات IP addressوالجدير بالذكر أن المهاجم يستطيع شقة وحفظها االنسان ي ه مفردات يستطيع قراءتها النطاقات ي النطاقات /
وف بعض الحاالت يتم ومن ثم يقوم باستعداد كلمة المرور للنطاق المراد شقته ن للمستهدف ونااللكب ن
ر يدالب اق النطاقات من خالل ر
اخب Domains
ي ي ر
استخدام الهندسة االجتماعية أو استغالل بعض اإلعدادات الخاطئة.
والت من الممكن استخدامها أثناء عملية ر قبل عمليات االستهداف ،قد يقوم المهاجم ر
لمقدم الخدمات ي ي باخباق خوادم أسماء النطاقات التابعة
خوادم اسماء
.002 T1584
ر
وه بديل عن المعرفات .IP addressبعد قيام المهاجم باالخباق ه مفردات يستطيع قراءتها وحفظها االنسان ي النطاقات DNS /االستهداف .إن أسماء النطاقات ي
لمقدم الخدمات لدعم باخباق خوادم أسماء النطاقات التابعة يقوم بإعادة حركة المرور لالستعالمات لخوادم التحكم والسيطرة وقد يقوم ر
ي Server
الت يقوم بها. ر
العمليات ي
والت من الممكن استخدامها أثناء عملية ر باخباق الخوادم ر قبل عمليات االستهداف ،قد يقوم المهاجم ر
لمقدم الخدمات ي ي االفباضية التابعة
االفباضية الخوادم ر .003 T1584
ن
مقدم خدمات االفباضية VMsحيث تتنوع ما بي خوادم سحابية ومستودعات وخدمات .وقد يقوم ر من متعددة أنواع توجد . االستهداف
ي Virtual /
مقدم الخدمات وذلك لجعل فرصة ايجادهم وربط البنية التحتية لدى باخباق خوادم خاصة تم رشاءها أو استئجارها من قبل المهاجم ر
ي Server Private
المدافعي أصعب. ن
والت من الممكن استخدامها اثناء عملية االستهداف. ر قبل عمليات االستهداف ،قد يقوم المهاجم ر
لمقدم الخدمات ي ي باخباق الخوادم التابعة .004 T1584
المهاجمي كذلك ألغراض مختلفة بما فيها مهام التحكم ن المهاجمي ن يف تنفيذ وتنظيم الهجمات .ويستخدمه ن الخوادم Server /يسمح استخدام الخوادم من قبل
عوضا عن رشاء أو استئجار خادم خاص. ً والسيطرة
والت من الممكن استخدامها أثناء قبل عمليات االستهداف ،قد يقوم المهاجم باخباق عدد كبب من األنظمة والخوادم التابعة لمقدم الخدمات ر ر .005 T1584
ي ي
والت من الممكن توجيهها المهاجمي باستهداف عدد كبب من األنظمة وذلك من أجل استخدامها كشبكة بوت ر ن عملية االستهداف .يقوم
ي البوت Botnet /
ر ر ن
واستخدامها لعمليات هجمات حجب الخدمة وغبها .وقد يقوم المهاجمي باخباق خوادم جاهزة لعمليات البوت أو استئجارها أو شاءها .ومن
ه هجمات حجب الخدمة أو التحكم والسيطرة عل نطاق واسع. أنواع الهجمات المتوقع القيام بها ي
والت من الممكن استخدامها أثناء عملية ر ر
لمقدم الخدمات ي ي قبل عمليات االستهداف ،قد يقوم المهاجم باخباق األنظمة والخوادم التابعة .006 T1584
مقدم خدمات الويب المشهورين مثل GitHubو Twitterو Drobboxو googleالخ ليقوم ن
المهاجمي بعض خدمات الويب /االستهداف .قد يستخدم
ي
.
Web Servicesبالحصول عل صالحيات الحساب المستهدف من خالل استغالل الخدمات أو البنية التحتية الخاصة به وذلك ألغراض وعمليات ضارة عل
ً
سبيل المثال استخدامها لعمليات التحكم والسيطرة من خالل أدوات معدة مسبقا وتستطيع التعامل مع الخدمات العامة مثل googleو
12
حت يصعب اكتشافه ورصدة وربطه التخف وتقليل البيانات الضارة عل الشبكة رن يعط األفضلية للمهاجم من حيث Twitterوغبها مما
ي ي
ن
معيني. بمجموعة أو مهاجمين
ً
قبل عمليات االستهداف ،قد يقوم المهاجم ببناء قدرات برمجية تمكنه من استخدامها أثناء عملية االستهداف بدال من رشائها أو استئجارها أو T1587
ر ً ن ً ر القدرات التطويرية
تأن عملية المتطلبات الخاصة من توفر قدرات حت الحصول عليها مجانا أو شقتها .يمكن للمهاجمي من تطوير قدراتهم وبرمجياتهم داخليا وهنا ي Develop /
ن
التحكم والسيطرة والتهرب من االكتشاف والتمكن من تشفب البيانات واستخدامها لشهادات الموقعة .قد يطور المهاجمي مثل هذه األدوات
Capabilities
لدعم العمليات ن يف مراحل متعددة من مراحل الهجوم.
البمجيات الضارة بعض قبل عمليات االستهداف ،قد يقوم المهاجم بتطوير برمجيات ضارة يمكن استخدامها أثناء عملية االستهداف .تتضمن ر .001 T1587
والت تفيد ن يف مراحل متقدمة من مراحل الهجوم .وتكون ن يف الغالب اما تحكم وسيطرة أو أبواب خلفية أو برمجية تستطيع نسخ ر
االكواد نالضارة ي البمجيات الضارة
ر
ن ن
البمجيات هو جعل عملية المهاجمي يف مراحل الهجوم األخرى .والسبب يقف خلف تطوير تلك ر نفسها يف األجهزة القابلة لإلزالة USBمما يفيد Malware /
اكتشافهم أصعب وكذلك التهرب من برمجيات وأنظمة الدفاع عن الشبكات واألجهزة.
ر ً شهادات التواقيع .002 T1587
والت من الممكن استخدامها أثناء عملية االستهداف .وقد تشمل
قبل عمليات االستهداف ،قد يقوم المهاجم باستخدام تواقيع لألكواد ذاتيا ي البمجية Code / ر
والبامج النصية وذلك بغرض التأكيد وضمان عدم التعديل أو التغب أو اإلتالف .وقد يولدوالبمجيات التنفيذية ر عمليات التواقيع عل األكواد ر
والبمجيات آمنة ر ن Signing
حت وإن كان مصدرها غب معروف أو غب آمن. وجود التواقيع الرقمية لألكواد بعض الثقة لدى المستخدمي من أن هذه األكواد ر
Certificates
ً ر
والت من الممكن استخدامها أثناء عملية االستهداف .تم
المهاجم بإنشاء شهادات SSL/TLSموقعه ذاتيا ي قبل عمليات االستهداف ،قد يقوم
تصميم شهادات SSL/TLSلوضع الثقة ن الشهادات الرقمية
.003 T1587
وه تتضمن معلومات متعددة حول المفاتيح المستخدمة ومعلومات تخص ي البيانات نقل عملية في Digital /
الرقم للكيان الذي تحقق من صحة محتويات الشهادة .ن يف حال كانت الشهادة صحيحة وكان الشخص يثق بالنطاق الذي يحمل تلك ي التوقيع
ً ن Certificates
الشهادة فعندئذ يقوم بالتواصل مع النطاق المالك للشهادة .يف كثب من األحيان تفقد تلك الشهادات الموقعة ثقتها بسبب كونها موقعة ذاتيا.
والت من الممكن استخدامها أثناء عملية االستهداف .حيث يتم ر ر
قبل عمليات االستهداف ،قد يقوم المهاجم بتطوير أدوات اخباق متعددة ي .004 T1587
ن
جمي الت لم تقم بسد تلك الثغرات .حيث يقوم المها ر ي
ن تصميم تلك األدوات الستغالل ثغرات أو أخطاء برمجية وأمنية تستهدف األنظمة والخوادم ي ر
االخباق /
بتطوير أدواتهم بدل عمليات رشاء أو شقة تلك األدوات .وقد يستخدم المهاجم قدراته من خالل المعرفة العميقة يف الثغرات لبناء أدوات مطورة
ً Exploits
االخباق يقوم المهاجم باستخدام الطرق المعتادة ن يف عمليات البحث والهندسة العكسية لألنظمة أو
ر داخليا .وكجزء من عمليات تطوير أدوات
الثغرات.
ر إنشاء حسابات أو T1585
والت من الممكن استخدامها أثناء عملية االستهداف .يمكن
قبل عمليات االستهداف ،قد يقوم المهاجم بإنشاء حسابات خاصة للخدمات ي
ر ن ن جمعها /
للمهاجمي إنشاء حسابات وبناء شخصيات وهمية تحتوي عل معلومات شخصية وتاريخية بهدف استخدامها يف عمليات اخباق مستقبلية.
Establish
وقد تكون تلك الحسابات إما ن يف وسائل التواصل أو ن يف المواقع األخرى.
Accounts
ر حسابات وسائل .001 T1585
والت من الممكن استخدامها أثناء عملية
االجتماع ي
ي قبل عمليات االستهداف ،قد يقوم المهاجم بإنشاء حسابات خاصة عل وسائل التواصل
ن االجتماع التواصل
للمهاجمي إنشاء حسابات وبناء شخصيات وهمية تحتوي عل معلومات شخصية وتاريخية .بهدف استخدامها يف عمليات ن ي االستهداف .يمكن
Media Social /
اخباق مستقبلية .وقد تكون تلك الحسابات إما ن يف وسائل التواصل أو ن يف المواقع األخرى. ر
Accounts
ن
المهاجمي ون والذي من الممكن استخدامه اثناء عملية االستهداف .قد يقوم االلكب ن
ر بريد بإنشاء المهاجم يقوم قد االستهداف، عمليات قبل / ونر ن
ن ي البيد االلكب ي
ر .002 T1585
المجان لتعزيز عملياتهم الهجومية مثل عمليات التصيد وغبها أو قد تستخدم البيد
إلكبونية من موفري خدمات ر بإنشاء حسابات بريد ر Email
ي
االجتماع وذلك لزيادة فرصة نجاح الهندسة االجتماعية.ي للتسجيل ن يف وسائل التواصل Accounts
13
ً ً ر ر
والت من الممكن استخدامها أثناء عملية االستهداف بدال من تطويرها داخليا االستهداف ،قد يقوم المهاجم بشاء أو شقة القدرات ي قبل عمليات T1588
ً امتالك القدرات /
.
أو الحصول عليها مجانا وقد تشتمل تلك القدرات عل برمجيات ضارة أو الحصول عل تراخيص رلبمجيات التحكم والسيطرة أو استغالل وشقة
Obtain
الشهادات الرقمية وكذلك شقة المعلومات الخاصة ببعض الثغرات وطرق استغاللها .من الممكن استخدام تلك القدرات ن يف جميع عمليات
ر Capabilities
االخباق المستقبلية.
والت يمكن استخدامها أثناء عملية االستهداف .تتضمن ر قبل عمليات االستهداف ،قد يقوم المهاجم ر
ن البمجيات الضارة ي بشاء أو تحميل ر
ن
.001 T1588
والت تفيد يف مراحل متقدمة من مراحل الهجوم .وتكون يف الغالب إما تحكم وسيطرة أو أبواب خلفية أو ر
ن األكواد الضارة ي
ن
البمجيات الضارة بعض ر البمجيات الضارة
ر
. ن
برمجية تستطيع نسخ نفسها يف األجهزة القابلة لإلزالة USBمما يفيد المهاجمي يف مراحل الهجوم األخرى والسبب يقف خلف تطوير تلك Malware /
البمجيات هو جعل عملية اكتشافهم أصعب وكذلك التهرب من برمجيات وأنظمة الدفاع عن الشبكات واألجهزة. ر
والت يمكن استخدامها أثناء عملية االستهداف وتتضمن أدوات بشاء أو تحميل أو شقة األدوات رقبل عمليات االستهداف ،قد يقوم المهاجم ر .002 T1588
ي ُ
ن
المهاجمي مفتوحة المصدر او مغلقة مجانية أو مدفوعة .قد تستخدم تلك األدوات لعمليات ضارة عل سبيل المثال استخدام . PsExecيقوم
ن ر األدوات Tools /
المهاجمي إما بكش اإلصدارات المتوفرة االخباق وأشهرها .CobaltStrikeوفيها يقوم باستخدام أدوات معدة لعمليات تقييم الثغرات أو اختبار
الباخيص. لديهم أو شقة ر
14
االوىل Initial Access / اق ر
االخب
ي
الت تستخدم للحصول عل صالحيات أولية للوصول للنظام او الشبكة ر
االخباق االوىل :يتكون الوصول االوىل من مجموعة من التقنيات ر
ي ي ي
ر
باإلنبنت .وقد يسمح بي رسائل تصيدية او استغالل نقاط الضعف عل الخدمات المتصلة المستهدفة .وتشتمل األساليب المستخدمة ما ن
االوىل للمهاجم باستمرارية وانتشاره داخل الشبكة بل قد يستطيع المهاجم الحصول عل احد الحسابات الفعالة واستخدامه ن يفي الوصول
ر
احد الخدمات المتصلة باإلنبنت او تغب كلمات المرور الخاصة بها.
15
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
للمهاجمي من الوصول للنظام من خالل قيام المستخدم بزيارة موقع من خالل عمليات التصفح .وقد يقوم المهاجم ر
باخباق ن يمكن T1189
ر
االخباق من خالل الوصول
ر
الموقع وحقنه باكواد تمكن من سحب بعض المعلومات الهامة من المتصفح دون عملية اخباقه المعتادة .ان بعض تقنيات الهجوم
Compromise Drive-by
تقوم عل استهداف المتصفحات المصابة بثغرات
ر
قد يحاول المهاجمون االستفادة من نقاط الضعف عل االنظمة واالجهزة المتصلة باإلنبنت بشكل مقصود او غب مقصود .ويمكن T1190
ً ر
اخباق تطبيقات المتصلة
البمجيات وامانها .وغالبا ما تكون هذه التطبيقات ن ن
ان تكون نقاط الضعف اما ثغرة برمجية او خطا يف االعدادات او خطا يف تصميم ر ر
باألنبنت Public- Exploit /
تطبيقات الويب ،لكن من الممكن ان تتضمن خدمات مثل قواعد البيانات SQLوخدمات .SMB,SSHاو ادارة اجهزة الشبكات
.SNMPاو اي تطبيق اخرى يمكن الوصول له من خالل ر Facing Application
االنبنت.
مباش ألجهزة وانظمة الشبكة .وتتيح باإلنبنت وال رت تودي الوصول بشكل ر ر المهاجمي من الخدمات الخارجية المتصلة ن قد يستفيد T1133
ي خدمات االتصال عن بعد /
ن
ه تسمح للمستخدمي بالوصول عن بعد ألجهزة وموارد والخدمات االجهزة ان . Citrix و VPN مثل بعد عن الوصول الخدمات
ي External Remote
النظام .وكما توجد بعض خدمات االتصال عن بعد لها بوابات تحقق ومصادقة ومن امثلتها خدمة " Windows Remote
Services
"Management
االوىل .لم يتم رصد مجموعات هجوم تقوم بمثل هذه ي الوصول لضمان والشبكات الكمبيوتر ملحقات بعض المهاجمون قد يستخدم T1200
االوىل لشبكة .ومثل هذه الملحقات متوفرة للوصول اق ر
االخب يمختب قبل من االحيان بعض ف الهجمات .وقد يتم استخدامها ن ن
االضاف Hardware / العتاد
ي ر ي ي
بكبه ومنها ما هو متوفر بشكل مفتوح ومغلق المصدر وتجاري .مثل اجهزة تسجيل نضبات المفاتيح وهجمات ر
اعباض البيانات ر Additions
الالسلك.
ي وحقن النواة واستخراج الذاكرة العشوائية او من خالل استغالل بعض ملحقات االتصال
المهاجمي من رسائل التصيد للوصول ألنظمة المستهدف .ويتم ارسال رسائل التصيد باستخدام الهندسة االجتماعية. ن قد يستفيد T1566
ر
والت قد تستهدف االفراد والشكات والقطاعات والصناعات .وقد يتم ارسال ر . الموجهة المستهدف التصيد كذلك استخدام ويمكن التصيد Phishing /
ي
بالبامج الضارة. ر محمله بها غوبة مر الغب التصيد رسائل من ضخم عدد
الت تحتوي عل مرفقات ضارة بهدف الوصول لألنظمة المستهدفة .ويتم ارسال رسائل ر ن
قد يستفيد المهاجمي من رسائل التصيد ي التصيد بواسطة المرفقات /
.001 T1566
والت قد تستهدف االفراد ر
والشكات التصيد باستخدام الهندسة االجتماعية .ويمكن استخدام كذلك التصيد المستهدف الموجهة .ر
ي Spearphishing
والقطاعات والصناعات .ومن السيناريوهات المستخدمة ارسال بريد ضار محمل رببمجيات ضارة وحيث يعتمدون عل المستخدم
Attachment
او المستهدف ن يف تفعيل برمجياتهم الضارة من خالل الهندسة االجتماعية مثل ظهوره كمصدر موثوق.
الت تحتوي عل روابط ضارة بهدف الوصول لألنظمة المستهدفة .ويتم ارسال رسائل ر ن
قد يستفيد المهاجمي من رسائل التصيد ي .002 T1566
ر ر
والت قد تستهدف االفراد والشكات التصيد باستخدام الهندسة االجتماعية .ويمكن استخدام كذلك التصيد المستهدف الموجهة .ي التصيد من خالل الروابط /
والقطاعات والصناعات .وقد يستخدم المهاجمون االستهداف من خالل روابط ضارة بدل من المرفقات وذلك لتهرب من انظمة Link Spearphishing
الكشف والرصد ومن الممكن اقناع المستهدف من خالل استخدام الهندسة االجتماعية وظهور ان الرابط امن وموثوق.
قد يقوم المهاجمون باالستفادة من خدمات الطرف الثالث إلرسال رسائل تصيديه مستهدفة .حيث ان التصيد المستهدف من التصيد بواسطة الخدمات / .003 T1566
االحتياىل .ويختلف عن البقية حيث يكون قائم عل االطراف الثالثة بدل من استخدام ي خالل الخدمات هو أحد عمليات التصيد Spearphishing via
البيد الخاص بالمهاجم او انتحال صفة بريد اخر. ر Service
16
ر النسخ المطابق بواسطة االجهزة T1091
باألنبنت او المعزولة .حيث يتم حقنها قد يستفيد المهاجمون من االجهزة القابلة لإلزالة الستهداف االنظمة والشبكات الغب متصلة
ر القابلة لإلزالة Replication /
البمجية من لحظة ادخال
والت تسمح بتشغيل ر رببمجية ضارة ويتم االستفادة من الخدمة المدمجة مع انظمة ويندوز " ."Autoranي Through Removable
البمجيات المراد استهدافها
البنامج الضار بنسخ نفسة او تعديل ر القرص القابل لإلزالة .وقد يقوم ر
Media
المهاجمي بالتالعب بالمنتجات او آليات او طرق تسليم المنتجات قبل وجهتها النهائية .وذلك لغرض ر
اعباض او التالعب ن قد يقوم اخباق الموردين Supply / ر T1195
بالبيانات او ر
اخباق النظام. Chain Compromise
اخباق المتطلبات الخاصةر .001 T1195
النهان. البمجيات قبل وصولها اىل المستهلك البمجيات او ادوات تطوير ر المهاجمي بالتالعب بالمتطلبات الخاصة ببعض ر ن قد يقوم
ي بالبمجيات Compromise / ر
لك تعمل بشكل سليم .وتختلف تلك االضافات والمتطلبات البمجيات عل الملحقات الخارجية واالضافات ي وقد تعتمد بعض ر
ر Software Dependencies
والت قد تكون مفتوحة المصدر او مغلقة المصدر. ي and Development Tools
ر
االخباق للنظام او النهان وذلك بهدف. للمستهلك تسليمها قبل بالموردين الخاص التطبيق بمكونات ن
المهاجمي يتالعب قد اخباق تطبيقات الموردين / ر .002 T1195
ي
Software Compromiseالتالعب بالبيانات وحيث يتم استهداف تطبيقات الموردين بالعديد من الطرق عل سبيل المثال التالعب بالشفرة المصدرية
ن
للمستهدفي. الت يتم ارسالها مع التحديثات ر
للتطبيق او تعديله او التغبات ي Supply Chain
ر
النهان وذلك بهدف .االخباق للنظام او للمستهلك تسليمها قبل بالموردين الخاص بالعتاد بمكونات ن
المهاجمي يتالعب قد بالموردين اخباق العتاد الخاص ر .003 T1195
ي
Hardware Compromise /التالعب بالبيانات وحيث يتم استهداف العتاد الخاص بالموردين بالعديد من الطرق عل سبيل المثال تركيب اجهزة وبرمجيات
والت قد يتم تركيبها اما عل الخوادم او اجهزة الشبكة او النهايات الطرفية. ر
التجسس .ي Supply Chain
ن . ن
قد يستفيد المهاجمون من العالقات الثقة بي المنظمات حيث صالحيات الوصول المبنية عل الثقة بي االطراف قد يستفيد منها / بي المنظماتعالقة الثقة ن T1199
المهاجمون بسبب قلة آليات التدقيق والتحقق للوصول للشبكات Relationship Trusted
والتخف ورفع الصالحيات داخل ن والتمكن االوىل الوصول لتحقيق وذلك الدخول بيانات استغالل من المهاجمون يستفيد قد T1078
ي ي
المخبقة لتجاوز بعض آليات الحماية والتحكم الموضوعة سواء عل مستوى ر الشبكة .حيث يمكن استخدام بيانات الدخول
االنظمة او الشبكات .ومن الممكن استخدام بيانات الدخول للوصول لألنظمة البعيدة مثل خدمات االتصال الظاهري VPN حساب فعال Valid /
ر .
ون وخدمات االتصال بسطح المكتب عن بعد وقد يستخدم المخبقون تلك البيانات للوصول لمناطق ن ر
البيد االلكب وخدمات ر Accounts
المخبق فقد يتجنب المستخدمون استخدام ر وف حال كانت الصالحيات عالية لدى الحساب حساسة وحرجة داخل يالشبكة .ن
ي
برمجيات اضافية لتصعيد الصالحيات وذلك يساعدهم ن يف التهرب من انظمة الحماية داخل الشبكة.
التخف او رفع وتصعيد ن االفباضية واستخدامها لعمليات الوصول االولية او التمكن او قد يستفيد المهاجمون من الحسابات ر .001 T1078
ي ر ر
تأن مضمنة مع االنظمة والتطبيقات .مثل حساب الضيف نالصالحيات او التهرب من انظمة الحماية .ان الحسابات االفباضية قد ي ر ن
االفباضية قد ر ف انظمة الويندوز .وكذلك بعض الحسابات ر اض Default / حساب افب ي
تأن عل شكل حسابات خاصة بالجهات المصنعة للمنتج او موفري تلك ي ي Accounts
االفباضية بصالحيات مدير للنظام مثل حساب مدير النظام ن يف AWSوحساب الخدمات .نف بعض االحيان تكون الحسابات ر
ي
اض ن يف Kubernetes ر ن
الخدمات االفب ي
ن
التخف او رفع قد يستفيد المهاجمون من الحسابات الخاصة بمدراء النظام واستخدامها لعمليات الوصول االولية او التمكن او .002 T1078
ي حساب مدير النظام /
والت ن يف العادة وجدت إلدارة األذونات لألنظمة ر
الصالحيات او التهرب من انظمة الحماية .ان حسابات مدراء النظام ي وتصعيد
Domain Accounts
ن
والمسؤولي والخدمات. ن
المستخدمي والخدمات ن يف .Active directoryويمكن لحسابات مدراء النظام ادارة حسابات
17
ن
التخف او رفع وتصعيد قد يستفيد المهاجمون من الحسابات المحلية للنظام واستخدامها لعمليات الوصول االولية او التمكن او .003 T1078
ي حسابات محلية Local /
ر
الت تم انشاءها من قبل المنظمة بهدف تقديم الدعم او ه ي الصالحيات او التهرب من انظمة الحماية .ان حسابات المحلية ي Accounts
الخدمات.
ن
التخف او رفع او التمكن او االولية الوصول لعمليات واستخدامها الحسابية للخدمات الحسابات من المهاجمون يستفيد قد .004 T1078
ي
ر
الت تم انشاءها من قبل المنظمة بهدف تقديم الدعم ه ي من انظمة الحماية .ان حسابات المحلية ي وتصعيد الصالحيات او التهرب
او الخدمات او تطبيقات SaaSن
حسابات عل الخدمات
بي االنظمة السحابية وخدمات ادارة الصالحيات وف بعض الحاالت قم يتم توحيد الحسابات ما ن السحابية Accounts Cloud /
ي
والهويات التقليدية .Active Directory
18
التنفيذ او التشغيل Execution/
19
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
التفاعل /
ي سطر االوامر
وه
سطر االوامر لتنفيذ تعليمات وسكربتات وواجهة سطر االوامر تستخدم عادة لتعامل مع النظام ي قد يس المهاجمون استخدام واجهة
وتأن مدمجة ن
ر ن Command and
وتعط بعض القدرات المتقدمة لتحكم بالنظام ومن امثلتها Unix Shellو CMD
ي االنظمة معظم في متوفرة يف مختلف االنظمة .ي Scripting
T1059
و .PowerShell
Interpreter
ه واجهة سطر اوامر تفاعلية قوية وبيئية نصية قد يقوم المهاجمون باستخدام اوامر PowerShellلتنفيذ تعليمات ضارة .و PowerShellي
PowerShellلتنفيذ العديد من العمليات بما فن ن
للمهاجمي من استخدام وه تستخدم لنظام ويندوز .ويمكن
ي تمكنك من التحكم بالنظام ي
واىل تسمح بتشغيل االوامر ي cmdlet Start-Process تعليمة المثال سبيل عل .هاوغب الملفات واستكشاف التنفيذية ذلك تشغيل الملفات سكربت PowerShell .001 T1059
والت تسمح بتفعيل وتشغيل االوامر عن االنظمة المحلية او عن بعد .والجدير بالذكر ان ر
وتنفيذها وامر Invoke-Command cmdletي
لالتصال بالنظام عن بعد قد تحتاج اىل صالحيات مدير النظام.
وه
ه لغة برمجة نصية ألنظمة MacOSي المهاجمون باستخدام AppleScriptلتنفيذ تعليمات برمجية ضارة و AppleScriptي قد يقوم
بي التطبيقات وتسم .AppleEventويمكن ارسال رسائل عب استخدام الرسائل ن ن
مصممة للتحكم يف التطبيقات وبعض اجزاء من النظام ر
سكربت AppleScript .002 T1059
AppleEventهذه بشكل مستقل او كتابتها بسهولة من خالل .AppleScriptويمكن لهذه التعليمات من تحديد عدد النوافذ المفتوحة عل
ً
الت تعمل محليا او عن بعد.ر
البمجيات ي سطح المكتب وتسجيل نضبات المفاتيح والتواصل مع معظم ر
التفاعل
ي سطر االوامر
الرسم ن يف ويندوز.
ي قد يقوم المهاجمون باستخدام سطر االوامر ويندوز CMDلتنفيذ تعليمات ضارة .وسطر االوامر CMDهو سطر االوامر الخاص بالويندوز /
.003 T1059
وقد يتم استخدام سطر االوامر لتحكم ن يف معظم خصائص النظام وكذلك التحكم ن يف بعض الصالحيات واالدوار. Windows
Command Shell
االساس ألنظمة Linux
ي قد يقوم المهاجمون باستخدام سطر االوامر UNIXلتنفيذ تعليمات برمجية ضارة .وهو موجه االوامر التفاعل
ي سطر االوامر
و.MacOSوعل الرغم توجد بعض االختالفات البسيطة ن يف سطر االوامر مثل ( )zsh ,sh, bashواعتمادية نظام التشغيل وكذلك اصدارات الخاص بالينكس / .004 T1059
النسخ .وحيث يمكنك التحكم ن يف معظم خصائص النظام من خالل سطر االوامر وبعض الخصائص تحتاج اىل صالحيات مدير نظام. Shell Unix
قد يقوم المهاجمون باستخدام لغة Basic VB-Visualلتنفيذ تعليمات برمجية ضارة .ولغة VBتم انشاؤها من قبل مايكروسوفت وتسمح
تعتب من اللغاتأكب التقنيات الخاصة بالويندوز مثل استخدام Object Modelو .Windows APIحيث ان لغة VBر اللغة بتفاعل مع ر سكربت Visual Basic .005 T1059
الت تدعم منصات متعددة. ر ً
القديمة قليل وحيث من المخطط للغة انه يتم دمجه مع NET Framework.و NET Coreي
وه اللغة ي
ر
والت
ه أحد اللغات العالية المستوى والمشهورة ي باستخدام لغة بايثون لتنفيذ تعليمات برمجية ضار .ان لغة بايثون ي
ً
قد يقوم المهاجمون
تتمتع بقدرات قوية جدا .تستطيع لغة البايثون من تنفيذ تعليمات برمجية تفاعلية من سطر االوامر من خالل استخدام python.exeاو من
ر ر لغة Python .006 T1059
الت تدعم لغة البايثون ويمكن كذلك للغة من جمع االكواد وتنفيذها
والت يمكن تشغيلها عل معظم االنظمة ي خالل أحد ملفاتها .py.ي
وتشغيلها.
االساس ويتم تشغيلها والتفاعل
ي ه لغة نصية مستقلة عن النظام قد يقوم المهاجمون باستخدام JavaScriptألغراض ضارة ان JavaScriptي
مباش وه عادة مرتبطة مع المتصفحات ومن الممكن تشغيل JavaScriptعل النظام بشكل ر معها بشكل ر سكربت
مباش دون الحاجة اىل وجود ي .007 T1059
JavaScript/JScript
متصفح.
ن ن
قد يقوم المهاجمي باستغالل السكربتات او سطر االوامر المدمج CLIيف الشبكة لتنفيذ أوامر او تعليمات برمجية ضارة .ان سطر األوامر التفاعل سطر االوامر
ي .008 T1059
ن
والمستخدمي لعرض معلومات النظام او تعديل بعض العمليات المرتبطة وسيلة لتفاعل مع النظام ويتم استخدامها من قبل مدراء الشبكة الخاص بالشبكات /
20
بالنظام والقيام ببعض الوظائف الخاصة بمدراء الشبكة .وتحتوي CLIsعل مستويات مختلفة من الصالحيات واالذونات باختالف االوامر Network Device
المنفذة. CLI
ادارة والتحكم
ر بالمستودعات /
قد يستخدم المهاجمون خدمة ادارة المستودعات لتنفيذ اوامر ضارة نبها .ي
والت قد تسمح خدمة ادارة المستودعات ب Docker deamonاو
Container T1609
خادم Kubernetes APIاو Kubeletبإدارة المستودعات عن بعد يف البيئة المستهدفة.
Administration
Command
ن
وف بعض قد يقوم المهاجمون بتثبيت المستودعات داخل المنظمة المستهدفة بهدف تنفيذ بعض االوامر الضارة او لتفادي االكتشاف .ني
تبيل او تفعيل البمجية المرتبطة ببعض العمليات الضارة مثل ن االحيان يقوم المهاجم بتثبيت أحد المستودعات بهدف تنفيذ بعض التعليمات ر تثبيت المستودعات /
T1610
البمجية الضارة .وقد يقوم المهاجمون بتثبيت مستودع جديد من غب اعدادات او قواعد او صالحيات وذلك لتفادي بعض اجهزة وانظمة ر Deploy Container
الحماية المتوفرة ن يف المنظمة.
ر ن ن ر
البمجيات الخاصة بالمستخدمي من اجل تنفيذ تعليمات برمجية ضارة .حيث ان الثغرات ي
والت قد يستغل المهاجمون نقاط الضعف يف ر االخباق بواسطة
والت من الممكن استغاللها من قبل ر
البمجية بشكل امن ي
ن
المستخدمي لمختلف االسباب ومنها عدم كتابة االكواد ر تتواجد ن يف تطبيقات المستهدف /
ر ن ً ن T1203
والت تمكنه من المهاجمي .وغالبا يقوم المهاجمون باستهداف برمجيات المستخدمي وذلك من اجل تنفيذ تعليمات برمجية ضارة عن بعد ي for Exploitation
الوصول والسيطرة عل النظام المصاب. Client Execution
مباش او عن بعد. بي العمليات IPCمن اجل تنفيذ تعليمات برمجية ضارة عل النظام بشكل ر قد يقوم المهاجمون باستخدام آليات االتصال ن
Inter-Process
حيث يتم عادة استخدام IPCألغراض مشاركة المعلومات او التواصل مع بعضها البعض من خالل تنفيذ بعض اوامر المزامنة .ويتم استخدام T1559
ً Communication
IPCايضا بشكل شائع لتجنب ما يسم (.)deadlocks
ً
قد يقوم المهاجمون باستخدام COMاو Component Object Model Windowsوذلك لتنفيذ تعليمات برمجية محليا عل النظام
البمجية تمكي العمليات ر ن بي العمليات .IPCوكذلك يتيح التفاعل مع واجهة التطبيقات الويندوز .APIاو المصاب .و COMهو مكون اتصال ن Component
ر ر .001 T1559
والت عادة تكون عبارة عن الت لدى العميل االتصال بالكائنات الخاصة بالخوادم ي القابلة للتنفيذ .حيث من خالل COMتستطيع الكائنات ي Object Model
ملفات تنفيذية او ملفات .DLL
قد يقوم المهاجمون باستخدام )Data Exchange (DDE Windows Dynamicلتنفيذ تعليمات واوامر عشوائية .و DEEهو بروتوكول من تبادل المحتوى
العميل للخدام لالتصال للمرة واحدة او من خالل استخدام .IPCبمجرد استخدام DEEيمكن للتطبيقات من تبادل العمليات بشكل متسلسل. الديناميك /
ي .002 T1559
وتنقسم التنبيهات اىل اشعارات عند تغب البيانات وعناضها وتسم ( .)Warmواشعارات عن تكرار او تغب عناض البيانات وتسم ( .)Hotاو Dynamic Data
من خالل طلبات تنفيذ األوامر Exchange
قد يقوم المهاجمون من التواصل واستخدام واجهة برمجة التطبيقات ( )native APIsلتنفيذ تعليمات برمجية ضارة .حيث تسمح APIمن
والبمجيات ر ن
والت قد تصل اىل مستوى التعديل عل مستوى النواة واألجهزة ر االتصال والتحكم يف بعض الخصائص باألنظمة والخدمات ي Native API T1106
والتطبيقات والذاكرة العشوائية .ويتم استغالل ( )native APIsعادة عند بدء اإلقالع او عند تنفيذ االعمال المجدولة والروتينية.
والتخف داخل الشبكة) .حيث توجد عمليات ن (االوىل او اإلضار ر
االخباق ن
المهاجمي من استخدام جدولة المهام لتسهيل عمليات قد يقوم
ي ي ن جدولة المهام واالعمال
البمجية او النصية بتاري خ ووقت محددين. ر
جدولة االعمال والمهام يف أكب أنظمة التشغيل ألغراض تسهيل االعمال بتنفيذ بعض التعليمات ر
Scheduled / T1053
بشط استيفاء عمليات التحقق عل سبيل المثال ( RPCو الوصول للملفات او الطابعات ن يف ويمكن كذلك جدولة االعمال لألنظمة عن بعد ر
بيئة الويندوز) .عادة ما تتطلب جدولة االعمال نف بعض األنظمة ر Task/Job
الت تعمل عن بعد امتيازات او صالحيات إدارية عل النظام المستهدف. ي ي
21
قد يستخدم المهاجمون جدولة المهام واالعمال لتنفيذ إجراءات ضارة عل النظام بهدف الوصول األوىل او تنفيذ تعليمات برمجية ضارة .يتيح بيئة لينكس At /
.001 T1053
امر ( )atلمدراء النظام من جدولة المهام. )(Linux
قد يستخدم المهاجمون جدولة المهام واالعمال لتنفيذ إجراءات ضارة عل النظام بهدف الوصول األوىل او تنفيذ تعليمات برمجية ضارة .يتيح بيئة ويندوز At /
.002 T1053
بشط إضافة المستخدم كعضو ن يف مجموعة . Administrates امر ( )at.exeر )(Windows
قد يستخدم المهاجمون األداة المساعدة لجدولة المهام واالعمال ( )Cornلتنفيذ إجراءات ضارة عل النظام بهدف الوصول األوىل او تنفيذ
تعليمات برمجية ضارة .أداة Cornعبارة عن برنامج جدولة وظائف واعمال بناء عل األوقات المطلوبة من قبل المستخدم او المهاجم.
ر Cron .003 T1053
الت تم جدولتها والمراد تشغيلها واالوقات المحددة لتنفيذ .يتم عادة حفظ ملف ( )Corntab نيحتوي ملف ( )Corntabعل بيانات االعمال ي
يف مسارات النظام المعتادة.
االوىل او اإلضار والبقاء داخل الشبكة.
ي الوصول بهدف لألعمال جدولة اء
ر اج بهدف ضار بشكل ) Launchd ( نامجقد يستخدم المهاجمون بر
الت تعمل عل أنظمة التشغيل وبشكل ر ر
تأن مع أنظمة macOSوهو مسؤول عن تحميل وصيانة الخدمات ي ه برمجية ي برمجية ( )Launchdي
البنامج ( )Launchdمن تحميل التعليمات لكل برنامج عند طلبة من قائمة مخصصة تسم ( .)plistوتستطيع خف .حيث يتم االستفادة من ر ن تشغيل Launchd/ .004 T1053
ن ي
التاىل ( )System/Library/LaunchDaemons/و ( )Library/LaunchDaemons/حيث تحتوي هذه القائمة عل إيجادها يف المسار ي
الت سيتم تشغيلها عل النظام ر
الملفات التنفيذية ي
االوىل او اإلضار
ي قد يستخدم المهاجمون أداة ( )Scheduler Windows Taskبشكل ضار بهدف اجراء جدولة لألعمال بهدف الوصول
ر
والبقاء داخل الشبكة .هناك عدة طرق للوصول رلبنامج جدولة المهام ( )Scheduler Windows Taskويمكن تشغيل بشكل مباش من
كبنامج له واجهة رسومية ر خالل سطر األوامر .او يمكن فتحة بشكل ر جدولة االعمال /
بشط ان يكون لديك صالحيات مدير لنظام .وقد مباش من لوحة التحكم ر .005 T1053
ن Scheduled Task
للبنامج من خالل استدعاه باستخدام ( Windows netapi32او تضمينه من خالل )NET.ألنشاء المهاجمي طرق أخرى للوصول ر يستخدم
جدولة لألعمال والمهام.
االوىل او اإلضار والبقاء داخل الشبكة .أداة
ي الوصول بهدف لألعمال جدولة اء
ر اج بهدف ضار بشكل ) systemd ( أداة قد يستخدم المهاجمون
ه ملفات تستطيع التحكم بشكل مؤقت ببعض الخدمات ويمكن من خاللها القيام بجدولة االعمال من خالل وضع ( حدث) ( )systemdي Systemd Timers .006 T1053
عل (التقويم) وهو مشابه ألداة ( )Cornن يف بيئة لينكس.
ر وظائف تنظيم
الت توفرها أدوات التنسيق والدعم للمستودعات مثل ()Kubernetesقد يقوم المهاجمون باستخدام وظائف جدولة االعمال والمهام ي المستودعات /
نش مستودعات ُمهيئة لتنفيذ تعليمات برمجية ضارة .وتقوم هذه المهام بتشغيل المستودعات بوقت وتاري خ محددين مماثلة لما
لجدولة او ر .007 T1053
ً Container
ن يف ( )Cornيمكن ايضا أتمتة عمليات الجدولة وخالفة للمحافظة واستمرارية صالحية الوصول.
Orchestration Job
قد يقوم المهاجمون باستخدام ( )modules sharedلتنفيذ تعليمات برمجية ضارة .حيث يمكن ل ( )Windows module loaderمن
تحميل ملفات DLLمن مسارات عشوائية عل النظام او من خالل .)UNC( Naming Conventionوحيث ان هذه الوظيفة من وظائف
ر ر Shared Modules T1129
والت يمكن استدعاؤها من وظائف مثل انشاء عمليات او تحميل العمليات ..وما اىل
ه جزء من API Windows Nativeي
الت ي
NTDLL.dllي
ذلك اىل .Win32 API
نش وتثبيتادوات ر
البامج الخاصة بالطرف الثالث المثبتة عل الجهة المستهدفة .مثل أنظمة اإلدارة
قد يقوم المهاجمون بالوصول والتحكم اىل مجموعة من ر البمجيات /
ر
.
والمراقبة وتثبيت األنظمة وذلك ألهداف ضارة ومن أشهرها التنقل داخل الشبكة وقد تكون مثل هذه األدوات مستخدمه ألغراض إدارة T1072
Software
الشبكة وليست ضارة مثل ().e.g., SCCM, HBSS, Altiris, etc
Deployment Tools
22
قد يقوم المهاجمون باستغالل الخدمات الخاصة بالنظام لتنفيذ تعليمات برمجية ضارة .حيث يستطيع المهاجم من تنفيذ تعليمات برمجية
ر خدمات النظام /
ضارة من خالل التفاعل مع الخدمات الخاصة بالنظام .حيث يوجد العديد من الخدمات يتم تنفيذها مع عمليات بدا التشغيل .ي
والت من
System Services
T1569
اكب قدر ممكن من الوقت. لتمكي المهاجم من البقاء داخل الشبكة ر ن الممكن استغاللها
قد يقوم المهاجمون باستغالل ( )launchctlالخاصة بنظام macOSلتنفيذ تعليمات برمجية ضارة .حيث يتحكم Launchctlويتعامل مع
خدمات وأدوات أخرى مثل Launch Agentsو .Launch Daemonsولكن يمكنك تنفيذ تعليمات برمجية أخرى كذلك .ويدعم كذلك Launchctl .001 T1569
تفاعل او إعادة إخراجها بطرق أخرى حسب المدخالت. تلف األوامر بشكل ر
ن
ي Launchctlي
قد يقوم المهاجمون بالتحكم بإدارة التحكم يف خدمات الويندوز ( )Windows service control managerلتنفيذ تعليمات برمجية ضارة.
تشغيل الخدمات /
للمستخدمي من الوصول اىل مدير التحكم ن يف الخدمة من خالل
ن ه واجهة تفاعلية إلدارة الخدمات ومعالجتها .ويمكن ان ( )services.exeي .002 T1569
Service Execution
واجهة المستخدم الرسومية وكذلك بعض أدوات النظام مثل .ec.exe,.NET
البمجية الضارة .قد يقع ن
بالمستخدمي وذلك لتفعيل األوامر والتعليمات ر قد يقوم المهاجمون باالعتماد عل بعض ردود األفعال الخاصة التفعيل بواسطة
ن
المستخدم ضحية للهندسة االجتماعية وذلك بهدف ان يقوم بتفعيل وتنفيذ تعليمات برمجية قد تض بالنظام الخاص به .عل سبيل المثال المستخدم User / T1204
تأن من عمليات تصيد. ر ر
والت قد ي (فتح ملف او رابط او مستند ضار) ي Execution
المستخدمي بالنقر عل الرابط الضار من اجل تنفيذ او تحميل تعليمات برمجية ضارة وتنفيذها .وعادة تأنر ن قد يعتمد المهاجمون عل قيام
ي
المستخدمي عل الضغط عل الروابط .ويسم بالتصيد من خالل الروابطن مثل هذه األساليب من خالل استخدام الهندسة االجتماعية ألغراء رابط ضار /
.001 T1204
( .)Link Spearphishingوقد يؤدي الضغط عل الروابط ن يف بعض األحيان اىل استغالل ثغرات امنية ن يف تطبيق او متصفح ،وقد يقوم Malicious Link
لتبيل ملفات ضارة ومن ثم تفعيلها وتنفيذها. المستخدمي ن ن
ن المهاجم بتوجيه
تأن مثل هذه األساليب من ر . ن
قد يعتمد المهاجمون عل قيام المستخدمي بفتح ملفات ضارة من اجل تنفيذ تعليمات برمجية ضارة وعادة ي
والت ن يف العادة تودي اىل تفعيل اكواد ضارة .ويسم بالتصيد من ر ن
خالل استخدام الهندسة االجتماعية ألغراء المستخدمي عل فتح الملفات ي ملف ضار /
.002 T1204
خالل الروابط ( .)Spearphishingوقد يستخدم المهاجمون أنواع وصيغ متعددة من الملفات مثل pdf, .xls, .rtf, .scr, .exe, . ,doc. Malicious File
..cpl ،.lnk, .pif,
فف تفعيل وتنفيذ بعض النسخ الضارة او ان تكون بعض هذه المستودعات مدمج بها برمجيات المستخدمي ن
ن عل المهاجمون قد يعتمد
ي
ر
الت من الممكن استغاللها AWS) Amazon Machine Images (AMIs), ( Amazon Web Services ضارة .ومن امثلة النسخ الصورية ي نسخ صورية ضارة /
.)Google Cloud Platform (GCPحيث يقوم المهاجم بعد عملية حقن احد المستودعات بخداع المستخدم وتثبيت هذه المستودعات .003 T1204
ن Malicious File
للمستخدمي بعدم تحميل النسخ الواع الالزم
ي تخط وسائل الحماية .لذلك البد من وبالتاىل يستطيع المهاجم من ي داخل البيئة الخاصة به
تأن رببمجيات تعدين. الصورية الغب معروفة .ومن امثلة النسخ المشبوهة نسخ ي ر
ي
ادارة االجهزة الخاصة
ه احدى قد يقوم المهاجمون باستخدام )Management Instrumentation (WMI Windowsللتنفيذ تعليمات ضارة .و WMIي بالويندوز Windows /
ر
الت تستطيع من خاللها اإلدارة والوصول لألجهزة المحلية والبعيدة .تعتمد خدمة WMIللوصول لألنظمة المتصلة ن
ممبات ًإدارة انظم ويندوز ي Management
T1047
بها محليا وعن بعد بروتوكول SMBوخدمة PRCSللوصول عن بعد .حيث تعمل PRCSعل منفذ .135
Instrumentation
23
ر
المخبقPersistence / البقاء قدر المستطاع داخل النظام
المهاجمي بهدف البقاء داخل النظام ر
حت ولو تم إعادة تشغيل األنظمة او ن ه تقنية او أسلوب يستخدمه ر
المخبقة البقاء داخل الشبكة
ي
المخبق .وقد تتغب األساليبر الت قد تحدث وتفقد المهاجم صالحيات الوصول للنظام تغب بيانات االعتماد او أي من االنقطاعات ر
ني
أكب قدر ممكن قد تكون عل شكل صالحيات وصول او المستخدمة باستمرار .ان األساليب المستخدمة ف عملية البقاء داخل الشبكة ر
ي
ر
والت تمكن وتسمح للمهاجم من االستمرار بصالحياته عل النظام المخبق .مثل استبدال بعض ر
بعض اإلجراءات او تغب بعض االعدادات ي
البمجية الضارة عن بدء تشغيل النظام.
البمجية الغب ضارة بتعليمات برمجية ضارة او إضافة بعض التعليمات ر التعليمات ر
24
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
قد يقوم المهاجم بالتالعب بالحسابات للحفاظ عل صالحيات الوصول لألنظمة المستهدفة .قد يكون التالعب بالحسابات أي اجراء
المخبقة ن يف النظام المستهدف .مثل تعديل بيانات كلمات المرور واذونات
ر يقوم به المهاجم من شانه الحفاظ عل الحسابات
المستخدمي .او التالعب بالسياسات الموضوعة ن
ن التالعب بالحسابات /
لك
ي متكرر بشكل المرور كلمات بتغب المهاجم يقوم وقد الحسابات عل الحفاظ في T1098
ر Account Manipulation
يقوم بتفادي (سياسة تغب كلمات المرور كل فبة من الزمن) .ي
ولك تتم عملية تغب او التالعب بالحسابات يجب ان تتوفر لدى المهاجم
لك يقوم بمثل هذه العمليات. الصالحيات المناسبة واألذونات ي
بيانات االعتماد السحابية /
قد يقوم المهاجم بإضافة بعض الحسابات الخاصة به لتحكم بالخدمات السحابية وذلك بهدف البقاء داخل المنظمة المستهدفة. Cloud Additional .001 T1098
Credentials
قد يقوم المهاجم بالحصول عل مستوى محدد من الصالحيات اإلضافية مثل الحصول عل صالحيات (قراءة ،صالحيات كامله) عل
ر ر ن تفويض الصالحيات عل
المخبق .وقد يقوم المهاجم البيد
ون وقد يقوم المهاجم بإضافة بعض الحسابات الخاصة به للبقاء داخل ر
البيد االلكب ي
مستوى ر
ن البيد /
مستوى ر
البيد
وه متوفرة يف خوادم ر
ي )Add-MailboxPermission PowerShell cmdle ( مثل والصالحيات اإلضافات بعض باستخدام .002 T1098
االلكبونن
ر ن ً ر ن Exchange Email
ي للبيد .
ون المستضافه داخليا او يقوم باستخدام صالحيات واذونات التحكم يف حال استخدام الخدمات السحابية ر االلكب ي Delegate Permissions
مثل .Office 365
اضافة صالحيات مدير
المهاجمي باستغالل إضافة صالحيات ( )Global Administratorوذلك بهدف البقاء داخل خدمات Office 365أطول ن قد يقوم النظام لخدمات 356اوفيس
ر
فبة ممكنة .باستخدام األذونات الكافية ،يمكن للحساب المخبق الحصول عل صالحيات الوصول اىل االعدادات والبيانات بشكل ر Add Office 365 / .003 T1098
ن
للمسؤولي االخرين .باستخدام دور المسؤول العام. ن
غب محدود .بما يف ذلك إمكانية تغب كلمات المرور Global Administrator
Role
فبة ممكنة .حيثالمهاجمي بتعديل( )authorized_keys SSHللحفاظ عل صالحيات الوصول للبيئة المستهدفة أطول ر ن قد يقوم
ي
ن
ان أنظمة لينكس وماك اوس يستخدمونها بشكل كبب ( )key-based authenticationوذلك لتأمي عمليات جلسات SSHعن بعد
ر ن
الت يمكن استخدامها لعملية تسجيل الدخول اىل حساب المستخدم
ن وادارتها .يقوم ملف Author_keysيف SSHبتحديد المفاتيح ن ي مفاتيح التصاري ح لخدمات
ن
للمستخدمي يف (<user- ئيس
الذي تم تكوين هذه الملف من اجله ،ويوجد هذه الملف عادة يف الدليل الر ي SSH/ SSH Authorized .004 T1098
ن
للمستخدمي من اجراء تعديالت عل ملف تكوين SSHللنظام من .)ssh/authorized_keys./>homeويمكن Keys
ن
PubkeyAuthenticationو RSAAuthenticationاىل ( )Yesلضمان تمكي مصادقة المفتاح العام و .RSAويوجد ملف التكوين
الخاص ب ( )SSHن يف ()etc/ssh/sshd_config/
ر
الت يخلفها المهاجم .ان ن
قد يقوم المهاجمي باستخدام وظائف ( )BITSلتنفيذ تعليمات برمجية ضارة او استخدامها لمسح االثار ي
ر
خدمة ( )Windows Background Intelligent Transfer Service (BITSه عبارة عن آلية لنقل الملفات بشكل غب ن
مبامنة ي
وذات نطاق ترددي منخفض ويتم استعراضها من خالل ( .)COMويتم استخدام ( ) BITSبشكل شائع من قبل المر ن
اسلي وظائف BITS Jobs T1197
( )messengersاو أي تطبيق يفضل العمل ن يف الخلفية ويستخدم ( )idle bandwidthمن غب مقاطع أي بروتوكول أخرى يعمل
اكب من ملف.والت تحتوي عل قائمة انتظار لملف واحد او ر
ر
بالشبكة .ويتم تنفيذ مهام نقل الملفات من خالل وظائف ( ،)BITSي
25
تلقان من ي قد يقوم المهاجم باستخدام اعدادات النظام تنفيذ تعليمات برمجية ضارة من خالل اعدادات لجعل التنفيذ يتم بشكل
فبة ممكنة .قد يحتوي نظام التشغيل خالل عملية اإلقالع او تسجيل الدخول وذلك بهدف االستمرار والبقاء داخل الشبكة أطول ر التلقان / تسجيل الدخول
ً ً ي
الت يتم ر البامج تلقائيا عند اإلقالع او تسجيل الدخول اىل الحساب .وقد تتضمن هذه االليات تنفيذ ر
البامج تلقائيا ي عل آليات لتشغيل ر Boot or Logon T1547
وضعها ن يف قائمة مخصصة عل سبيل أمثال وضع بعض ( )Registry Windowsوقد يقوم المهاجم بتحقيق نفس هذه العملية Autostart Execution
واالهداف عند التعديل عل نوات النظام.
البمجيات او المفاتيح( )run keysالضارة الخاصة به .وستودي قد يقوم المهاجم باستخدام مجلد بدء التشغيل ( )Startupإلضافة ر مفاتيح التسجيل والتشغيل
البنامج يعمل عند قيام المستخدم بعملية تسجيل الدخول .سيتم تنفيذ ن التلقانRun Registry /
ادخال ( )run keysيف ( )Registryاو ( )Startupاىل جعل ر ي .001 T1547
والت قد تحتاج اىل أذونات خاصة مرتبطة بالحساب المستخدم. ر ن
البامج يف حساب المستخدم الذي تم تفعيلها به ي هذه ر Keys / Startup Folder
المهاجمي باستخدام تصاري ح الحزم لتنفيذ وتشغيل ( )DLLsعند اقالع النظام .حيث يتم تحميل ملفات DLLلحزم ن قد يقوم تصاري ح الحزم /
المصادقة لنظام ويندوز بواسطة ( ))Local Security Authority (LSAعند بدء عملية التشغيل للنظام .حيث توفر عمليات الدعم Authentication .002 T1547
لتسجيل الدخول المتعددة وكذلك إضافة بروتوكوالت األمان لنظام التشغيل. Package
.
المهاجمي من استغالل ( )providers timeلتنفيذ او تشغيل ( )DLLsعند اقالع النظام ان ( )W32Timeيتيح مزامنة ن قد يقوم
ر
عب النطاقات .ويقوم ( )W32Timeبمسؤولية اسبداد الوقت ( )time stampsمن العتاد والشبكة وإخراج القيام اىل الوقت ر Time Providers .003 T1547
المستخدمي ن يف الشبكة. ن
قد يقوم المهاجمي باستخدام ( )Winlogonللتنفيذ تعليمات ضارة من خالل تشغيل ( )DLLsاو برامج تنفيذية عند تسجيل ن
وه مسؤولة عن اإلجراءات عند تسجيل الدخول او الخروج باإلضافة اىل ه احد مكونات نظام ويندوز ي الدخول .ان ( )Winlogonي
والت تكون عند الضغط عل ( )Ctrl-Alt-Deleteويتم تسجيل المدخالت ن يف ر
خدمة ( )SASي Winlogon Helper DLL .004 T1547
( )\HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogonو
ر
البامج والوظائف ( )\HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogonي
والت تستخدم إلدارة ر
الت تدعم عملية()Winlogon ر
المساعدة اإلضافية ي
المهاجمي باستخدام ( ))support providers (SSPs securityللتنفيذ تعليمات ضارة من خالل تشغيل ( )DLLsاو برامج ن قد يقوم
ن
تنفيذية عند اقالع النظام .يتم تحميل ( ))security support providers (SSPsيف ())Local Security Authority (LSA Security Support
ر .005 T1547
كعملية عند نبدء النظام .بعد عملية التحميل ل LSA,SSPك DLLsيقوم بتشفب األرقام الشية من صيغة نصية اىل صيغة مشفرة ي
والت Provider
تكون مخزنة يف نظام ويندوز ،مثل أي كلمة مرور يتم استخدامها عند عمليات تسجيل الدول او استخدام PINكذلك.
المهاجمي بتعديل النواة وذلك لتنفيذ تعليمات تلقائية ضارة بالنظام عند اإلقالع .ان وحدات التحميل ( )LKMsداخل النواه ن قد يقوم
وه تعمل عل زيادة قدرات النواه دون الحاجة اىل . الطلب عند النواه ف ن محيها او عليها الكتابة يمكن برمجية تعليمات من اء
ه أجز Kernel Modules and
ي ي ي .006 T1547
والت تسمح للنواة بالوصول اىل العتاد والتعاريف المتصلة إعادة تشغيل النظام .عل سبيل المثال(التعاريف الخاصة باألجهزة) ر Extensions
ي
بالنظام.
تلقان عندما يقوم المستخدم بتسجيل الدخول او قد يقوم المهاجمي بتعديل ملفات ( )plistللقيام بتشغيل برمجيات ضارة بشكل ن
ي
تلقان
ي بشكل فتحها لإلعادة تطبيقات او امج ر ب تحديد بدء تشغيل النظام ن يف ( .))Mac OS X 10.7 (Lionيستطيع المستخدمون
البامج كل برنامج عل عب فتح رعندما يقوم المستخدم بتسجيل الدخول لألجهزة الخاصة بهم بعد إعادة التشغيل .بدل ان يتم ذلك ر Re-opened
.007 T1547
الت تعمل عند بدء التشغيل ( .)plistوتستطيع ايجادها ن يف ر
حدة .وهناك قائمة للمفالت ي Applications
(~ )Library/Preferences/com.apple.loginwindow.plist/و
(~).Library/Preferences/ByHost/com.apple.loginwindow.* .plist/
26
المخبق .انر فبة ممكنة ن يف النظام المهاجمي بإضافة او تعديل ( )drivers LSASSوذلك لضمان البقاء داخل الشبكة أطول ر ن قد يقوم
الفرع يف الويندوز ( )Windows security subsystemهو عبادة عن مجموع من المكونات تدير وتنفيذ سياسات األمان ن النظام
ي
ئيس والمسؤول عن سياسة األمان المحلية و التحقق من صالحيات المستخدم .ان ي ر ال المكون هو ) LSA ( ان . النطاق او النظام عل LSASS Driver .008 T1547
والت تعمل جميعها ن يف عملية ي
( )LSAتحتوى عل العديد من المكتبات الديناميكية ( )DLLوه كالعادة مرتبطة بوظائف امان أخرى .ر
ي
LASاو ()lsass.exe
قد يقوم المهاجم بإضافة او تعديل االختصارات لتشغيل او تنفيذ تعليمات برمجية ضارة عند اإلقالع او عند عملية تسجيل الدخول
ر
الت سيتم فتحها أو تنفيذها عند النقر فوق االختصار البامج األخرى ي ه طرق لإلشارة إىل الملفات أو ر للنظام .ان االختصارات أو الرموز ي Shortcut Modification .009 T1547
أو تنفيذه عند بدء تشغيل النظام.
الت تعمل عند اقالع النظام وذلك المهاجمي باستغالل ( )port monitorsلتشغيل ملفات ضارة من خالل ملفات ( )DLLو ر ن قد يقوم
ي
فبة ممكنه .ان ( )port monitorsتستطيع استخدامه من خالل االتصال ب ( )AddMonitor APIوالتر للبقاء داخل الشبكة أطول ر
ي
تسمح بتحميل ملفات DLLعند بدء التشغيل .تستطيع اجادة ملفات DLLن يف " "C:\Windows\System32وسيتم تحميله مراقبة الشاشات Port /
.010 T1547
ه عمليات تعمل كذلك تحت
ن بواسطة خدمة التخزين الموقت للطباعة( )spoolsv.exeعند اقالع النظام .ان ( )spoolsv.exeي Monitors
والت يقصد بها صالحيات النظام .ويمكن تحميل ملفات DLLاذا كانت هناك االذونات المناسبة للكتابة يف المسار ر
( SYSTEMن) ي
المخصص يف ().HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
.
البامج اثناء اقالع النظام او عند عمليات تسجيل الدخول وتحتوي قائمة ( )plistعل المهاجمي باستخدام ( )plistلتشغيل ر ن قد يقوم
)وه تحتوي عل اإلعدادات الخاصة بالتطبيقات والخدمات .الملف تمت كتابته OS X و macOS ( نظام ف ن استخدامها يتم ملفات
وتستطيع استعراضه من خالل قارئ يملفات .XMLر ي
مت يجب بي (<>) .وه توضح التفاصيل ر وتأن اإلعدادات ما ن ) UTF-8 ( ب رب ن
مب
ً ن ي Plist Modification .011 T1547
البامج .ومسار الملفات التنفيذية .واالذونات المطلوبة لتشغيلها ..وغبها الكثب .تتواجد ( )plistsيف مواقع معينة اعتمادا عل العرض ر
والت يتم استخدامها عند رفع الصالحيات .و (~ )Library/Preferences/عند استخدام منها مثل ( )Library/Preferences/ر
ي
تلك الصالحيات.
قد يقوم المهاجمي باستخدام ( )processors printلتشغيل مكتبات DLLضارة اثناء اقالع النظام .وذلك ألغراض ضارة مثل البقاء ن
ر ر طباعة العمليات Print /
الت يتم تحميلها بواسطة ( print ه مكتبات DLLي داخل النظام المخبقة او تصعيد الصالحيات .ان ( )print processorsي Processors
.012 T1547
)spooler service, spoolsv.exeاثناء عمليات اإلقالع.
البمجيات او األوامر اثناء اقالع النظام .ان للمهاجمي من اجراء تعديالت عل ( )autostart entries XDGلتنفيذ وتشغيل ر ن يمكن
تلقان اثناء بدء بشكل بالعمل للتطبيقات ستسمح ) XDG autostart entries ( مع تعمل بيئة لينكس و المتوافقة مع ( )XDGر
والت
ي ي XDG Autostart Entries .013 T1547
اض .ويتم تخزين االدخاالت ن يف ( )XDG autostart entriesن يف ي
افب ن تسجيل الدخول بشكل ر التشغيل لبيئة سطح المكتب او عند
الت تحمل صيغة (.)desktop. ( )etc/xdg/autostart/او (~ )/config./او نف االمتدادات ر
ي ي
المهاجمي بإضافة مفاتيح التسجيل ( )Registry keyاىل اإلعدادات النشطة ( )Active Setupبهدف البقاء داخل الشبكة ن قد يقوم
البمجيات عندما يقوم الت يتم استخدامها لتنفيذ وتشغيل ر ر ويندوز نظام آليات أحد هو ) Active Setup ( ان . ممكنة ة اطول ر
فب
ي ن Active Setup .014 T1547
المستخدم بتسجيل الدخول .حيث يتم تنفيذ القيمة المخزنة يف ( )Registry keyبعد عملية تسجيل الدخول من المستخدم اىل
الكمبيوتر .سيتم تنفيذ هذه األوامر والقيم ن يف حساب وصالحيات المستخدم ولها مستوى وأذونات مرتبطة بالحساب المستخدم.
ن التلقان /
ي االقالع او الدخول
تلقان عن اقالع النظام بهدف البقاء داخل ي جمي باستخدام بعض السكربتات لتنفيذ تعليمات برمجية ضارة بشكل قد يقوم المها
ر ن ر ر Boot or Logon T1037
والت قد ينطوي عليها ي . األنظمة في ية ر اإلدا المهام بعض تنفيذ السكربت استخدام يمكن حيث . ممكنة ة فب أطول ق المخب النظام
Initialization Scripts
27
داخل .يمكن ان تختلف السكربت من نظام اىل اخر وطرق تطبيقها هل ي البمجيات او ارسال المعلومات اىل خادم تنفيذ وتشغيل ر
ً
سيكون محليا او عن بعد.
تلقان عند بداية عملية تسجيل والت يتم تنفيذها بشكل ر ن
ي قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ويندوز ي سكربت الدخول بيئة ويندوز
ر ر
الدخول .والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة .يسمح نظام ويندوز بتشغيل سكربتات تسجيل الدخول
ن Logon Script / .001 T1037
المستخدمي او المجموعات .ويتم ذلك عن طريق إضافة المسار المطلوب عل مستوى
ن ()Windows
اىل( )HKCU\Environment\UserInitMprLogonScriptيف (.)Registry key
تلقان عند بداية عملية تسجيل ر
والت يتم تنفيذها بشكل ن
ي قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ماك اوس ي
ر ر
الدخول .والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة .يسمح نظام ماك بتشغيل وتنفيذ سكربتات او ما يسم
سكربت الدخول بيئة ماك /
( )known as login hooksتسجيل الدخول كلما قام المستخدم بالدخول للنظام .حيث يقوم ( )known as login hooksبتنفيذ .002 T1037
)Logon Script (Mac
البمجيات عند استخدام السكربت عند تسجيل الدخول وهو عل عكس ( )Startup Itemsيقوم ( )login hooksبتنفيذ ر
صالحيات مدير النظام(.)root
.
تلقان عند بداية عملية الدخول والهدف منها هو البقاء والت يتم تنفيذها بشكل ر ن
ن ي قد يقوم المهاجمي باستخدام سكربت الشبكة ي
ر ر ر
الت تعمل عل مستوى بدء التشغيل يف الشبكة من خالل داخل النظام المخبق أطول فبة ممكنة .يمكن استخدام سكربتات ي سكربت الدخول لشبكات /
لك يتم تعينها او ( Active Directoryاو .)Group Policy Objectsتحتاج هذه السكربتات اىل صالحيات وأذونات محددة ي Network Logon Script
.003 T1037
استخدامها .بحسب اختالف األنظمة قد يستطيع المهاجم تنفيذ هذه السكربتات عل نظام محدد او عدد من األنظمة داخل الشبكة
المستهدفة.
المهاجمي بتعديل سكربت ( )RCوالذي يتم تنفيذه خالل اإلقالع لنظام ( .)Unixان هذه الملف يسمح لمدراء النظام بربط ن قد يقوم
Rc Scripts .004 T1037
وبدء الخدمات المخصصة اىل قائمة بدء التشغيل النظام .وعادة تتطلب ( )RCامتيازات مدير النظام إلجراء التعديالت (.)root
قد يقوم المهاجمون باستغالل ( )Startup Itemsلتنفيذ تعليمات برمجية ضارة عند اقالع النظام بهدف البقاء نف النظام أطول ر
فبة ي ادوات بدء التشغيل /
ممكنة .ان ( )Startup Itemsتعمل عادة ن يف المرحلة األخبة من اإلقالع .وتحتوي عل برامجه او سكربتات قابلة للتنفيذ او التشغيل .005 T1037
Startup Items
البتيب المتوقع لتشغيل وتنفيد العناض المتوفرة ن يف (.)Items Startup الت يستخدمها النظام لتحديد ر ر
بجانب االعدادات ي
ر ن
قد يقوم المهاجمون باستغالل المتصفحات لتنفيذ تعليمات برمجية ضارة بهدف البقاء يف النظام أطول فبة ممكنة .ان اإلضافات
المتوفرة نف المتصفحات ه برمجيات صغبه تعمل مع المتصفح .وتستطيع تثبيتها ر اضافات المتصفح /
مباشة من خالل المتصفح او من خالل المتجر ي ي T1176
Browser Extensions
المخصص ولديها من الصالحيات ما لدى المتصفح.
للمستخدمي بهدف البقاء ن يف النظام
ن بالبمجيات الموجهة البمجية الخاصة ر المهاجمي بتعديل والتالعب ببعض االكواد ر ن قد يقوم ر
اخباق برمجيات المستخدم
ن ن
البمجيات الخاصة بالمستخدمي تمكنهم من االستفادة من الخدمات .ومن اشهرها SSHللمستخدمي و FTP فبة ممكنة .ان ر أطول ر Client Compromise / T1554
ون و المتصفحات. ن ر
البيد االلكب ي و برامج ر Software Binary
ر ن
قد يقوم المهاجمي بإنشاء حسابات بهدف البقاء يف النظام أطول فبة ممكنة .حيث يقوم المهاجم بإنشاء حسابات مع صالحيات ن
انشاء حساب Create /
كافية .او قد يقوم المهاجم بإنشاء حساب اخر ال يتطلب بيانات دخول او تحقق لتسهيل عمليات الدخول والوصول عن بعد وذلك T1136
Account
لتحميل األدوات الضارة وتثبيتها عل النظام.
ر ن
المهاجمي بإنشاء حسابات محلية عل النظام المستهدف بهدف البقاء يف النظام أطول فبة ممكنة .ان الحسابات المحلية ن قد يقوم
محل Local /
ي حساب
يتم انشاءها من قبل المنظمات لعدة أغراض وعل سبيل المثال ( الدعم ،وحسابات الخدمات) وتتمتع هذه الحسابات بصالحيات .001 T1136
Account
التاىل(.)net user /add محل عل النظام من خالل االمر ي ي عالية وتستطيع انشاء حساب
28
فبة ممكنة .وحسابات مدراء قد يقوم المهاجم بإنشاء حساب مدير النظام ( )Domain accountبهدف البقاء نف النظام أطول ر
ي
النظام عادة يتم ادارتها بواسطة ( )Active Directory Domain Servicesحيث تم انشاءها وتحديد الصالحيات واالذونات حساب مدير نظام /
.002 T1136
للحسابات عل األنظمة والخدمات .وقد تشتمل حسابات مدراء النظام عل حسابات الخدمات وكذلك الحسابات اإلدارية األقل Domain Account
التاىل (.)net user /add /domain مدير نظام بواسطة االمر ي صالحية منها .ومع توفر الصالحيات المناسبة تستطيع انشاء حساب
ر ن
قد يقوم المهاجم بإنشاء حساب عل الخدمات السحابية بهدف البقاء يف النظام أطول فبة ممكنة .مع وجود صالحية مناسبة قد حساب الخدمات السحابية
يقوم المهاجم بإنشاء حساب اخر الستخدامه نف الوصول عن بعد وبشكل ر .003 T1136
مباش من دون استخدام أي أدوات أخرى عل النظام. ي Cloud Account /
ن
المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة بهدف البقاء يف النظام أطول ن قد يقوم انشاء او تعديل العمليات
ن ر
فبة ممكنة .فعندما يقوم النظام باإلقالع ستعمل العمليات بشكل مباش يف الخلفية .سواء كان النظام ويندوز او لينكس .حيث ان هذه ر عل االنظمة Create or /
ن T1543
العمليات يتم تصنيفها كخدمات .اما يف نظام ماك اوس يتم تشغيل العمليات بواسطة ( )Launch Daemonو ()Launch Agent Modify System
إلنهاء تهيئة عمليات النظام و البدء بتنفيذ وتحميل عمليات المستخدم. Process
المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة باستخدام ( launch ن قد يقوم
ر ً ر ن
.
)agentsوذلك بهدف البقاء يف النظام أطول فبة ممكنة وفقا لمطوري شكة آبل ،عندما يقوم المستخدم بتسجيل الدخول يتم بدء
ر ن البمجية Launch /
تفعيل ر
والت تستطيع الوصول عملية تشغيل العمليات الخاصة بكل مستخدم من خالل ( )launch-on-demandوالموجودة يف ( )plistي .001 T1543
Agent
لها من خالل ( ,System/Library/LaunchAgents, /Library/LaunchAgents/و )HOME/Library/LaunchAgents$ان
( )launch agentsلديهم قائمة من الملفات المرتبطة بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل.
المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات ( ،)systemdوذلك بهدف البقاء ن يف النظام أطول فبة ممكنة .ومن
ر ن قد يقوم
ن
المتعارف عل ان ( )systemdيقوم بإدارة العمليات يف الخلفية او الخدمات وموارد النظام األخرى .ان ( )systemdهو النظام التهيئة
اض نف ( )initنف ر ر ن خدمات النظام /
أكب توزيعات لينكس مثل ( .)Debian 8, Ubuntu 15.04, CentOS 7, RHEL 7, Fedora 15حيث تم ي االفب ي ي .002 T1543
ر ر Systemd Service
والت تشتمل عل ( SysVinitو .)Upstartوحيث ان ( )systemdيتعامل الت تعمل ب ( )initي
إيجاده الستبدال األنظمة القديمة ي
كذلك مع األنظمة السابقة والقديمة.
المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات الخاصة بنظام ( ،)Windowsوذلك بهدف البقاء ن يف النظام أطول ن قد يقوم
البمجيات والتطبيقات من خالل استدعاء ر بتشغيل يقوم ذلك بعد بالنظام الخاصة اإلقالع بعمليات الويندوز يقوم عندما . ممكنة فبة ر
ن ر خدمات الويندوز /
الت تعمل يف الخلفية الخاصة بالنظام .ان نظام الخدمات واإلعدادات تشتمل عل مسارات الملفات للخدمات واالوامر الخدمات ي .003 T1543
ن Windows Service
القابلة للتنفيذ .ويتم تخزينها يف ( .)Windows Registryومن الممكن ان يتم تعديل اعدادات الخدمات من خالل أداة ( sc.exeاو
.)Reg
ر ن
قد يقوم المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات ( )launch daemonsوذلك بهدف البقاء يف النظام أطول فبة ن
ً
ممكنة .وفقا لمطوري رشكة آبل ،عندما يقوم المستخدم بتسجيل الدخول يتم بدء عملية تشغيل العمليات الخاصة بكل مستخدم من
والت تستطيع الوصول لها من خالل ر ن
خالل ( )launch-on-demandوالموجودة يف ( )plistي Launch Daemon .004 T1543
( ,Library/LaunchAgents/ ,System/Library/LaunchAgents/و )HOME/Library/LaunchAgents$ان ( launch
)agentsلديهم قائمة من الملفات المرتبطة بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل.
ر
المخبق أطول فبة ممكن او رفع الصالحيات .تمتلك ر قد يقوم المهاجم باستغالل بعض االحداث المعينة بهدف البقاء داخل النظام تنفيذ االحداث حسب
أنظمة التشغيل وسائل لمراقبة تلك االحداث ومتابعتها مثل عمليات تسجيل الدخول او أنشطة أخرى مثل تشغيل تطبيقات او اكواد المعطيات Event / T1546
برمجية Triggered Execution
29
بي الملفات للتنفيذ تعليمات برمجية ضارة عل سبيل المثال(عند تحديد ملف ر ن
يي االقبان واالرتباط ن قد يقوم المهاجمون باستغالل ر
ن ر
اض) .يتم تخزين تحديد اقبان الملفات يف سجل الويندوز ( Windows ن ر ر ن اض / ر ن
(البنامج االفب ي اض لتشغيله) ويسم ر البنامج االفب ي تحديد ر تعديل الملف االفب ي
)Registryويستطيع المستخدم ومدراء النظام تعديلها او أي برنامج يملك صالحيات الوصول وتعديل عل ()Windows Registry File Change Default .001 T1546
ر ن
اض المرتبط من وتستطيع تعديلها من خالل أداة ( )assocبصالحيات مدير النظام .يستطيع كما ذكرنا التطبيق تعديل التطبيق االفب ي Association
معي ثم إجباره بفتح من خالل برنامج اخر. ن خالل استدعاء ملف
قد يقوم المهاجمون باستغالل شاشة التوقف (عدم نشاط المستخدم) لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل النظام
ه برمجيات يتم تنفيذها بعد عدم نشاط المستخدم عل الكمبيوتر بواسطة وقت تم فبة ممكن .وشاشات التوقف المخبق أطول ر
ر
ي ً شاشة التوقف/
وتأن امتداداتها بصيغة ( .)scr.تستطيع إيجاد ملفات شاشات التوقف ن يف هذا ر
تحديده مسبقا من االعدادات .ي .002 T1546
ر ن Screensaver
يأن مع حافظات الشاشة او وف نظام من نوع ( )bit-64ي المسار( ,\C:\Windows\System32او )\C:\Windows\sysWOW64ي
شاشات التوقف المثبتة بشكل تلقا ين مع الويندوز.
قد يقوم المهاجمون بتصعيد الصالحيات او تشغيل ملفات ضارة باستخدام ( Windows Management Instrumentation Windows
فبة ممكنة او تصعيد الصالحيات .ويمكن المخبقة أطول ر ر )subscription (WMI) eventوذلك بهدف البقاء داخل الشبكة Management
.003 T1546
استخدام االحداث ( )Eventمع ( )WMIبغرض تنفيذ االكواد عند تحديد وقت حدوث الحدث .عل سبيل المثال(تفعيل االحداث Instrumentation
عندما يقوم المستخدم بتسجيل الدخول ..الخ) Event Subscription
أكب
الت تتم بواسطة المستخدم لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل المنظمة ر ر
قد يقوم المهاجمون باستغالل األوامر ي
قدر ممكن .يقوم نظام ( )Unix Shellsبتنفيذ وجدولة العديد من االعمال واالعدادات والسكربتات واالحداث .عل سبيل المثال
(عندما يقوم المستخدم بالتفاعل مع واجهة سطر األوامر او استخدام ( .))SSHفمن خالل المثال السابق يتم التواصل باستخدام Unix Shell
ئيس الخاص بالمستخدم (~ )/ ن
( .)Shellويقوم ( )Shellحينها بتفعيل السكربتات الخاصة بالنظام والمتواجدة يف( )etc/والمجلد الر ي Configuration .004 T1546
تسج الدخول للنظام من خالل ( .)etc/profile/يتم ن
مستخدمي عند ر من اجل تهيئة البيئة الخاصة به .وعادة يتم تهيئة البيئة لل Modification
ي ً
تفعيل هذه السكربتات واالوامر من خالل مستويات من االذونات تم اعدادها مسبقا .ان هذه السكربتات ومع وجود الصالحية
واالذونات المناسبة كما ذكرنا يستطيع المستخدم تعديل البيئة الخاصة به
المهاجمي بتشغيل التعليمات الضارة بواسطة ( .)interrupt signalيقوم االمر( )Trapبالسماح ر
بالبامج و()Shells ن قد يقوم
الت سيتم تفعيلها عند استقبال ( ،)interrupt signalواالستخدام الشائع لهذه الطريقة هو سكربت يسمح ر
بتخصيص األوامر ي Trap .005 T1546
للبامج بالتفاعل عند حصول ( )interrupt signalمثل عند عملية (القص/الصق) ن يف لوحة المفاتيح. ر
وه تحتوي عل تعليمات )Mach-O binaries ( او )tainted binaries ( بواسطة الضارة التعليمات بتشغيل ن
المهاجمي يقوم قد
ي
برمجية تستخدم إلجراء عمليات معينة عند تحميل ( .)binaryتقوم التعليمات ن يف ( )LC_LOAD_DYLIBن يف ()Mach-O binaries
ر LC_LOAD_DYLIB
الت يتم تحميلها اثناء ووقت تنفيذ تلك لنظام ( ) MacOS, OS Xبالتواصل مع المكتبات الديناميكية او ما تسم ب ( )dylibsي ي .006 T1546
العمليات .وتستطيع استخدام هذه ( )complied binaryبشكل خاص ر Addition
باشباط وجود االعدادات والتوافقية الصحيحة .وهناك
أدوات كثب تستطيع القيام بهذا العمل من التغبات.
فبة ممكنه من خالل تشغيل مكتبات واالعتماد عل المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل الشبكة أطول ر ن يقوم
ه عبارة عن سطر أوامر تقوم بالتفاعل مع ( )Netsh Helper DLLsلتنفيذها .برمجية ( )Netsh.exeاو ما تعرف ر ين( .)Netshellي
وه تحتوي عل وظائف و أدوات إلضافة ( )helper DLLsوتستطيع اضافة المزيد من القدرات اعدادات الشبكة واألنظمة .ي Netsh Helper DLL .007 T1546
والوظائف لها .وتستطيع إيجاد المسار الخاص بها ن يف الويندوز ( )Windows Registryن يف
(.)HKLM\SOFTWARE\Microsoft\Netsh
30
ممبات وامكانيات الوصول المتاحة بواسطة مايكروسوفت او ما يسم قد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تفعيلها بواسطة ن
ر
( )accessibility featuresوذلك بهدف البقاء داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات .ويحتوي نظام ويندوز عل
والت يمكن تشغيلها باستخدام مجموعة من المفاتيح قبل عملية تسجيل الدخول للمستخدم عل سبيل ر ن
ممبان إمكانية الوصول ي Accessibility Features .008 T1546
ر
والت المثال(عندما يكون المستخدم عل شاشة تسجيل الدخول) .قد يقوم المهاجم بتعديل هذه ر
البمجيات واضافة سطر األوامر ي
فعل.تسمح له بالتحكم والسيطرة من دون الحاجة اىل تسجيل الدخول للنظام بشكل ي
والت يتم تفعيلها من ضمن العملياتقد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تشغيله بواسطة ( )AppCert DLLsر
ي
))ه احد مكونات ( )AppCertDLLs .)processesوذلك بهدف رفع الصالحيات .ان ( Dynamic-link libraries (DLLsي (
والت يتموالمتواجدة نف ( )\Manager HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Sessionر AppCert DLLs .009 T1546
ي ي
مستخدمي و ( reateProcess, ن استدعائها ن يف كل وظائف واجهة برمجة التطبيقات ( )APIبهدف انشاء العمليات ،انشاء العمليات
).CreateProcessWithLoginW, CreateProcessWithTokenW, or WinExec ,CreateProcessAsUser
المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف رفع الصالحيات وتحدث العملية إثناء تحميل العمليات الخاصة ب (AppInit ن قد يقوم
.)DLLsان ())Dynamic-link libraries (DLLsه احد مكونات ( )AppInit_DLLsوالمتواجدة فن
ي ي
(or HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
AppInit DLLs .010 T1546
NT\CurrentVersion\Windows HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows
الت يتم تحميلها اىل ( .)user32.dllوعل االغلب ان ر ن ر
والت يتم استدعائها يف كل وظائف والعمليات ي
)are loaded by user32.dllي
ر
البامج تستخدم هذه العمليات حيث ان مكتبة ( )user32.dllمكتبة شائعة ومستخدمة بكبة. جميع ر
المهاجمي بتشغيل تعليمات برمجية ضارة بهدف رفع الصالحيات وذلك من خالل االستفادة من ما يسم ب (application ن قد يقوم
)shimsاو (.))Infrastructure/Framework (Application Shim Microsoft Windows Application Compatibility
حت مع اصدار احدث .عل سبيل المثال ( ان هذه البمجيات تعمل ر وتم عمله للسماح بالتوافق مع إصدارات ويندوز القديمة وجعل ر Application Shimming .011 T1546
ن
البامج من جديد) والمثال السابق يف حل تم كتابة كتابة إعادة اىل الحاجة التقنية تسمح للمطورين بتطبيق اإلصالحات والتطوير دون
ر
برنامج لويندوز XPوجعلة قابل للعمل عل ويندوز ١٠
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل ( )Image File Execution Options (IFEO) debuggersوذلك
بتمكي المطورين من ارفاق مصحح األخطاء مع ن فبة ممكنه او تصعيد الصالحيات .تقوم ()IFEO بهدف البقاء داخل الشبكة أطول ر Image File Execution
ر .012 T1546
والت تودي اىل انشاء عمليةالبمجية .فعند القيام باي عملية سيكون مصحح األخطاء موجود من ضمن ( )IFEOللتطبيق .ي التطبيق او ر Options Injection
جديدة من ضمن مصحح األخطاء .عل سبيل المثال (.)C:\dbg\ntsd.exe -g notepad.exe
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل استغالل التفاعل مع ( )PowerShell profilesوذلك بهدف البقاء داخل
فبة ممكنه او تصعيد الصالحيات .ان ( )profile.ps1هو سكربت يعمل حينما يقوم ( )PowerShellبالعمل. الشبكة أطول ر PowerShell Profile .013 T1546
وتستطيع من خالله تخصيص البيئة الخاصة بالمستخدم.
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة باستخدام ( ))Event Monitor Daemon (emondوذلك بهدف البقاء داخل
فبة ممكنه او تصعيد الصالحيات .يقوم ( )emondبتنفيذ االحداث ( ) eventمن مختلف الخدمات ويقوم بإداراتها الشبكة أطول ر
ن Emond .014 T1546
من خالل محرك بسيط يقوم من خالله باتخاذ اإلجراءات المناسبة .ويقوم ( )emond binaryيف مجلد ( )sbin/emond/بتحميل
جميع القواعد من مستودع ( )/etc/emond.d/rules/ويقوم بعد ذلك باتخاذ اإلجراءات حسب االحداث المحددة له.
31
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل اختطاف وشقة ( ))Component Object Model (COMعند تشغيله.
بتمكي التفاعل ما ن ن Component Object
البمجيات ونظام التشغيل .ويتم تخزين مختلف بي ر ان ( )COMهو احد مكونات نظام الويندوز حيث يقوم .015 T1546
Model Hijacking
( )COMن يف (.)Registry
ر
االوىل او البقاء داخل الشبكة أكب قدر ممكن .تتيح الخدمات عن قد يستغل المهاجمون خدمات االتصال عن بعد ألغراض الوصول
ً ي خدامات االتصال عن بعد
للمستخدمي الوصول عن بعد لموارد الشبكة الداخلية .وغالبا ما توجد ما تسم ن بعد مثل ( Citrixو )VPNوبعض الطرق األخرى
External Remote T1133
ب ( )gatewaysإلدارة االتصاالت والتحقق من صحة الحسابات لهذه الخدمات .وكما ان خدمة ( Windows Remote
Services
)Managementتستخدم لالتصال عن بعد.
ر
البمجية الضارة ،وذلك بهدف البقاء داخل الشبكة أطول فبة ممكنه او البامج لتنفيذ تعليماتهم ر باعباض تشغيل ر المهاجمي رن قد يقوم
ن انتحال مجال التنفيذ /
تخط القيود عل التنفيذ او التحكم بطريقة عمل التطبيقات داخل ي في الهجمات هذه مثل المهاجم يستغل وقد الصالحيات تصعيد T1574
Flow Hijack Execution
النظام.
البمجية الضارة ،DLLsوذلك بهدف البقاء داخل باعباض طلبات البحث ( )search orderلتنفيذ تعليماتهم ر المهاجمي ر ن قد يقوم
DLL Search Order
فبة ممكنه او تصعيد الصالحيات .ان نظام ويندوز يستخدم طريقة شائعة ن يف عملية البحث عن مكتبات DLL الشبكة أطول ر .001 T1574
المهاجمي هذه ن
ن ن Hijacking
المبة لتنفيذ اغراضهم الخبيثة. البامج او التطبيقات .وقد يستخدم المطلوب تحميلها يف احد ر
المهاجمي بتحميل مكتباتهم ( )DLLالضارة للنظام .وتتشابه هذه الهجمة مع الهجمة السابقة (DLL Search Order ن قد يقوم
ر
.)Hijackingويختلف ( )side-loadingعنه انه يقوم بتحميل تلك DLLبدل من زرعها ضمن البتيب الخاص بالبحث عن DLLثم
DLL Side-Loading .002 T1574
انتظار النظام او الضحية من استدعائها .وقد يقوم المهاجمون بهذه الطريقة من خالل زرعها ثم يقوم المهاجم باستدعائها من خالل
برمجيات معتمدة وغب ضارة.
البمجية الضارة من خالل وضعها داخل ( ))dynamic library (dylibمع اسم متوقع من التطبيق قد يقوم المهاجم بتنفيذ تعليماته ر
البتيب المراد استهدفه ان يقوم بتشغيلها .ان ( ))dynamic library (dylibستقوم بالبحث ومحاولة إيجاد ( )dylibبناء عل ر
الت تؤدي اىل( )dylibمسبوقة ب (@.)rpath ر
التسلسل للمسارات/االمتدادات الخاصة بعمليات البحث .وقد تكون المسارات ي ي
الت تسمح للمطورين بتحديد مجموعة المسارات الخاصة بالبحث وقت التنفيذ .وباإلضافة اىل ذلك اذا لم يتم و(@ )rpathه ر Dylib Hijacking .004 T1574
ي ي
حت ن يف حال عدم البنامج بتنفيذ التعليمات ر ربطها بالشكل المناسب مثل استخدام ( .)LC_LOAD_WEAK_DYLIBسيستمر ر
وجود( )dylibالمتوقع .مما يتيح للمطورين من تشغيل تطبيقاتهم عل إصدارات متعددة من ( )macOSمع إضافة واجهات برمجة
تطبيقات جديدة (.)API
. ن ر
البمجية الضارة من خالل اعباض او شقة ( )binariesالمستخدم يف عملية التثبيت وقد تتم ن
المهاجمي بتنفيذ تعليماتهم ر قد يقوم
ن
تلقان من خالل تنفيذ بعض ( )binariesمن اثناء عملية التثبيت .يف حال كانت الصالحيات /االذونات الخاصة بشكل العملية هذه Executable Installer
ي
الت تحتوي عل ( )binariesالمستهدف ن يف العملية .او الصالحيات/االذونات الخاصة بنفس ( )binariesتم ي
بمجلدات النظام ر File Permissions .005 T1574
اعدادها بشكل غب صحيح .فقد يقوم ( )binariesبإعادة كتابة نفسه فوق ( )binariesاخر باستخدام االذونات والصالحيات Weakness
والت قد تتضمن صالحيات (.)SYSTEM ر ن ن
ن وف بعض األحيان قد يعمل يف اعل صالحيات ي الممنوحة له .ي
البمجية الضارة من خالل اختطاف/شقة المتغبات( )Variablesيف البيئة من خالل المهاجمي بتشغيل وتنفيذ تعليماتهم ر ن قد يقوم
ر
استخدام ( )dynamic linkerإلضافتها للمكتبات المشبكة او ما يسم ب ( .)libaraies Sharedمن خالل عمليات التحضب لتنفيذ
ر Dynamic Linker
المشبكة من خالل المتغبات البيئية البنامج .ويقوم ( )linker dynamicبتحميل مسارات الخصائص البيئية للمكتبات او تشغيل ر .006 T1574
ن ن Hijacking
( )environment variablesوالملفات مثل ( )LD_PRELOADيف نظام لينكس او ( )DYLD_INSERT_LIBRARIESيف نظام
ر ً ر ر
الت لها نفس االسم الت تم تحديدها اوال ،حت يتم أعطاها أولوية عل مكتبات النظام ي .MacOsيتم إعطاء أولوية تحميل المكتبات ي
32
الوظيف .وعادة ما يتم استخدام هذه المتغبات من قبل المطورين لتصحيح األخطاء دون الحاجة اىل عمل ( .)recompileويتم ن
ي
تنفيذ وظائف مخصصة دون الحاجة اىل تغب أي من المكتبات االصلية.
ر ن
الت يتم تحميلها اختطاف/شقة المتغبات ( )variablesي البمجية الضارة من خالل المهاجمي بتشغيل او تنفيذ تعليماتهم ر قد يقوم
Path Interception by
ن يف المكتبات .قد يقوم المهاجم بوضع برنامجه من المقدمة يف القائمة المخزنة يف مسارات البيئة ( PATH environment
ن ن
ر ر PATH Environment .007 T1574
والت يتم
تسلسل باستخدام قائمة ( )PATHي ي والت سيقوم نظام التشغيل ويندوز بتشغيله عند عملية البحث بشكل .)variableي Variable
استدعائها من خالل سكربت او سطر األوامر.
يستدع ر
البمجية الضارة من خالل اختطاف ترتيب البحث والذي من المفبض انه المهاجمي بتشغيل او تنفيذ تعليماتهم ر ن قد يقوم Path Interception by
ي ً
البامج ال تستدع برامج أخرى باستخدام قائمة ( ،)PATHقد يقوم المهاجم بوضع ملفاته نف القائمة التر ر بعض ان ا
ر ونظ .اخر برنامج Search Order .008 T1574
ي ي ي
والت سيتسبب بجعل النظام بتشغيل برنامجه الضار بسبب استدعاء برنامج اخر له. البمجيات منها .ر ر استدعاء سيتم Hijacking
ي
البمجية الضارة من خالل اختطاف المراجع الخاصة بالملفات .قد يستغل المهاجم ن
قد يقوم المهاجمي بتشغيل او تنفيذ تعليماتهم ر
Path Interception by
البمجية التنفيذية ن يف اعل القائمة ن يف (.)PATH والت من خاللها يقوم بوضع تعليماته ر ي
المسارات الغب محدده بعالمات االقتباس ("") ر .009 T1574
ر Unquoted Path
والت عندما يقوم نظام التشغيل الويندوز باالختيار من القائمة سيقوم بتشغيله. ي
الت يتم استخدامها من قبل الخدمات. ر ن
البمجية الضارة من خالل اختطاف /شقة ( )binariesي قد يقوم المهاجمي بتشغيل تعليماتهم ر
الت يتم تنفيذها المهاجمي سب العمل ( )Flawsالخاصة بالصالحيات لنظام الخدمات نف الويندوز الستبدال ( )binariesر ن يستغل
ي ي Services File
تلقان بواسطة ( )binariesمخصص لتنفيذ وظيفة محددة .اذا تم ي عند تنفيذ الخدمات .وبعض الخدمات قد يتم تفعيلها بشكل
Permissions .010 T1574
تحديد الصالحيات المجلد الذي يحتوي عل ( )binariesالمستهدف او الصالحيات عل ( )binariesبذاته ،فقد يقوم المهاجم
ر ن Weakness
والت قد تكون صالحيات عالية او صالحيات النظام ( بالكتابة فوقة بالصالحيات الممنوحة له يف المجلد او ( )binariesبذاته ي
الت تسمح له بهذا العمل والتنفيذ. ر
)SYSTEMي
البمجية الضارة من خالل اختطاف /شقة مدخالت ( )Registryالمستخدمة من قبل المهاجمي بتشغيل تعليماتهم ر ن قد يقوم
ن ن
الخدمات يف النظام يستغل المهاجمي سب العمل ( )Flawsالخاصة بالصالحيات لنظام لل ( )Registryيف الويندوز العادة تنفيذ . ن
والت يستخدمها لتشغيل االكواد الضارة من خالل الخدمات .ويقوم نظام ر ر
الت يتحكم بها .ن ي للبمجيات ي البمجية األصلية ر التعليمات ر Services Registry
ويندوز بحفظ الخدمات المحلية واالعدادات الخاصة بها يف ( )HKLM\SYSTEM\CurrentControlSet\Servicesوالخدمات Permissions .011 T1574
والت من شأنها ات تقوم ر ن ر
الت يتم تخزينها يف ( )Registry keysقد يتم التالعب بها او تعديلها لجعلها تقوم بتنفيذ نالخدمات الضارة ي ي Weakness
بتشغيل أدوات او تنفيذ تعليمات برمجية او تشغيل PowerShellاو .Regويتم التحكم يف الوصول اىل ( )Registry keysمن خالل
قوائم التحكم ن يف الوصول واالذونات (.)Access Control Lists and permissions
ر ر ن ن
والت تقوم
البنامج ي والت قد تؤدي اىل اختطاف/شقة آلية عمل ر قد يستغل المهاجمي المتغبات يف البيئة ل ( )COR_PROFILERي
ر ن
ه احد الممبات الطار (NET.
والت تسمح للمطورين بتحديد )Frameworkي ن بتحميلها اىل NET CLR.ان ( )COR_PROFILERي COR_PROFILER .012 T1574
. .
ملفات التعاريف DLL/External .NETالغب مدارة ( )unmanagedليتم تحميلها يف كل عملية من عمليات NET CLRوتم إيجاد
الت يتم تنفيذها بواسطة .NET CRL. ر
البمجية ي وتصميم ملفات التعريف لمراقبة وتصحيح األخطاء ر
المهاجمي بزراع نسخة صورية ( )Imageاو مستودع ( )containerيحتوي عل تعليمات برمجية ضارة وذلك بهدف البقاء ن قد يقوم
ر تفعيل نسخة صورية /
االوىل .من األمثلة المشهورة ( Amazon Web ي داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات بعد عمليات الدخول
Implant Container T1525
)Google Cloud Platform (GCP) Images, Azure ,)Services (AWS) Amazon Machine Images (AMIsوكذلك
ر ن Image
البمجية الضارة البمجيات او التعليمات ر والت قد تستخدم كأبواب خلفية .بخالف آلية رفع ر بعض النسخ المستخدمة يف ( )Dockerي
33
يقوم هنا المهاجم باستخدام أسلوب زراعة النسخة الضارة ن يف البيئة الخاصة بالمستهدف .باختالف طريقة عمل البيئة لدى الجهة
لفبة طويلة من الوقت. المستهدفة فقد يوفر للمهاجم آلية وصول ر
للمستخدمي او السماح للوصول لبعض الحسابات بطريقة غب مرغوبة .ان ن المهاجمي بتعديل آلية وطريقة عمل المصادقة ن قد يقوم
عملية المصادقة تتم من خالل آليات متعددة مثل ( Server (LSASS) process and the Local Security Authentication تعدي العمليات المضح بها
))Security Accounts Manager (SAMن يف نظام الويندوز و ( ))pluggable authentication modules (PAMن يف نظام Modify /
ً ر ن T1556
ه المسؤولة عن تخزين وحفظ بيانات الت ذكرت سابقا ي لينكس و ( )authorization pluginsيف ن نظام .MacOsوجميع التقنيات ي Authentication
ن ر
للمهاجمي من المصادقة عل خدمة او نظام دون الحاجة اىل استخدام والت قد تسمح يف بعض األحوال المصادقة والتحقق منها .ي Process
حسابات فعالة وصحيحة.
تخط وسائل التحقق المتبعة وتمكينه ي بهدف وذلك ) Domain Controller ( عل المصادقة عمليات .بتصحيح قد يقوم المهاجم Domain Controller
.001 T1556
من الوصول اىل الحسابات. Authentication
المهاجمي باستخدام ( )Filter DLL Passwordن يف عمليات المصادقة لتحقق من صحة بيانات االعتماد ن قد يقوم Password Filter DLL .002 T1556
قد يقوم المهاجمي بتعديل ( ))authentication modules (PAM pluggableللوصول اىل بيانات االعتماد او تفعيل حسابات ن
Pluggable
غب مرغوب فيها .ان ( ))pluggable authentication modules (PAMهو نظام معياري لإلعدادات الخاصة للملفات و
ر ر Authentication .003 T1556
والت تقوم ه ( )pam_unixي والت تقوم بتوجيه آلية المصادقة للعديد نمن الخدمات .ومن اشهرها ي المكتبات والملفات التنفيذية ي Modules
باسبداد المعلومات الخاصة بمصادقة الحساب وتعينها والتحقق منها يف ( )etc/passwd/و ()etc/shadow/ ر
وبالتاىل ن
قد يقوم المهاجم باالستفادة من التشفب الخاص بكلمات المرور يف أنظمة التشغيل او ما يسم (.)Patch System Image Network Device
ي .004 T1556
المهاجمي ن يف تجاوز آليات المصادقة للحسابات المحلية عل أجهزة الشبكة. ن يستفيد منها Authentication
ر ر
المهاجمي من التطبيقات المساندة مع ( )Microsoft Officeوذلك بهدف البقاء داخل الشبكة المخبقة أطول فبة ن قد يستفيد
ر ً خدمات االوفيس مع بدء
ممكنة وخصوصا عند بدء تسجيل الدخول .وكما هو معروف ان ( )Microsoft Officeهو برنامج تابع لشكة مايكروسوفت ويعمل
التشغيل Office / T1137
أكب الشبكات الخاصة بالمنظمات .وهناك طرق متعددة لعملية البقاء داخل الشبكة ن يف ( Microsoft عل نظام ويندوز ويعمل عل ر
ر ر Application Startup
والت تشمل مثل وحدات المايكرو ( )Macrosاو القوالب او بعد اإلضافات اإلضافية. والت تعمل مع بدء تشعيل التطبيق .ي )Officeي
ر ر
قد يقوم المهاجمي باستغالل القوالب الخاصة ب ( )Microsoft Officeالخباق النظام والبقاء أطول فبة ممكنة .ان (Microsoft ن
ملفات المايكرو Office /
)Officeيحتوي عل قوالب متعددة ويتم استخدامها لتخصيص بعض طرق العرض واالنماط .ويتم تشغيل القوالب األساسية .001 T1137
Template Macros
للتطبيق ن يف كل مره تقوم باستخدامه.
الخباق النظام والبقاء أطول ر
فبة المهاجمي باستغالل ( )Office Testوهو عبارة عن ( )Registry keyوذلك بهدف ر ن قد يقوم
. ر
الت سيتم تنفيذها كل مره عند تشغيل النظام يعتقد ان ممكنة .ان ( )Office Testيسمح للمستخدم بتحديد مكتبة ( )DLLي Office Test .002 T1137
( )Registry keyيستخدم من قبل النظام لتحميل مكتبات DLLلالختبارات وتصحيح األخطاء اثناء تطوير تطبيقات .Officeوال يتم
انشاء ( )Registry keyبشكل تلقا ين اثناء التثبيت.
ر ر
المهاجمي القوالب الخاصة ب ( )Microsoft Outlookوذلك بهدف الخباق النظام والبقاء أطول فبة ممكنة .والمعروف ن قد يستغل
المهاجمي بعض القوالب بشكل ضار .والتر ن يستخدم وقد ون ن ر
االلكب يدالب ألرسال يستخدم ) Microsoft Outlook ( ان تطبيق Outlook Forms .003 T1137
ي ي ر
ون عل سبيل المثال. االلكب ن
ر بريد ارسال اثناء وتفعيلها استخدامها يمكن
ي
ون ()Microsoft Outlook's Home Page ن ر ن ر ن ن
للبيد االلكب ي الت يف الصفحة الرئيسية ر قد يستغل المهاجمي باستغالل الممبات ي الصفحة الرئيسية رلبنامج
الممبات القديمة ن وه من االعدادات بعض لتخصيص الصفحة هذه وتوجد . ممكنة ةفب الخباق النظام والبقاء أطول ر وذلك بهدف ر البيد Outlook /استخدام ر .004 T1137
ي
المتوفرة ن يف برنامج ( .)outlookومن امثلتها تخصيص عرض المجلدات وغبها .وتسمح هذه المبة بتحميل وعرض عنوان ()URL Home Page
34
خارج كلما تم فتح المجلد .ويمكن انشاء صفحة HTMLضارة من شأنها تنفيذ تعليمات برمجية عند فتحها بواسطة داخل او ر ي ي
ون. االلكب ن
ر للبيد
ي الصفحة الرئيسية ر
فبةالخباق النظام والبقاء أطول ر ون ( )Outlook rulesوذلك بهدف ر ر ن ن
بالبيد االلكب ي المهاجمي باستغالل القواعد الخاصة ر قد يستغل
ون .ومن امثلتها نقل بعض ن ر
االلكب يد بالب التحكم عمليات وأتمته بتخصيص ن
للمستخدمي تسمح ) Outlook rules ( ممكنة .ان
ر
ي ن ن ر القواعد ن يف رنامج استخدام
وه تستخدم يف حال كان هناك بعض الكلمات ون اخر ي تلقان اىل مجلد مخصص او تمريره اىل بريد االلكب ي ي البيدة بشكل العناوين ر .005 T1137
ن ن البيد Rules Outlook / ر
للمهاجمي من انشاء قواعد ضارة من خاللها يتم تنفيذ تعليمات البيد المرسل وغبها ...ويمكن البيد او تحديد من ر المحددة يف ر
ون للمستهدف. ن ر
برمجية ضارة عندما يقوم المهاجم بإرسال بريد اإللكب ي
ر
المهاجمي باستغالل بعض الوظائف اإلضافية الخاصة ب ( )Microsoft Officeوذلك بهدف الخباق النظام والبقاء أطول ن قد يقوم
الت من الممكن استخدامها عل منتجات مايكروسوفت مثل ( )Word/Excelومكتباتها فبة ممكنة .وهناك العديد من اإلضافات ر ر
ي االضافات Add-ins .006 T1137
الت تسم ( ،)WLL/XLLو إضافات ( )VBAو إضافة ( )Office Component Object Model (COMوبعض اإلضافات الخاصة ر
ي
ون كذلك. ن ر
البيد االلكب ي باالتمته ،ومحرر الخاص ب ( .)VBEو ( ))Visual Studio Tools for Office (VSTOواضافات ر
فبة ممكنة ن يف النظام وتعرف هذه األنظمة
. المهاجمي باستغالل آليات اإلقالع الخاصة بالنظام كطريقة للبقاء أطول ر ن قد يقوم نظام اقالع جاهز Pre-OS /
T1542
باألنظمة األساسية قبل عملية اقالع نظام التشغيل. Boot
فبة ممكنة .ان ( BIOS الخباق النظام والبقاء أطول ر المهاجمي بتعديل ما يسم ب ( )firmware systemوذلك بهدف ر ن قد يقوم
)Input/Output System Basicو ( ))Unified Extensible Firmware Interface (UEFIاو ( Extensible Firmware System Firmware .001 T1542
بي نظام التشغيل والعتاد الخاص بالجهاز. ))Interface (EFIجميعهم ه أنظمة تشغيله ثابته من نوع ( )firmwareوه تعمل ما ن
ي ي
ر
الخباق النظام والبقاء أطول فبة ممكنة .وقد المهاجمي بتعديل ما يسم ب ( )component firmwareوذلك بهدف ر ن قد يقوم
ر ر ن ً ن
والت تؤدي اىل تثبيت ي اق
االخب ف ي المتقدمة العمليات هذه مثل لتنفيذ جدا ومتقدمة معقده طرق المهاجمي بعض يستخدم
البمجية الضارة عل نظام التشغيل او النظام الخاص ب ( .)BISOان هذه ( )component firmwareضار يقوم يتنفيذ تعليمات ر Component Firmware .002 T1542
الت ال تمتلك مستوى قدرات فن يي تنفيذها عل بعض المكونات واالجهزة ر األساليب تتشابه مع ( )System Firmwareولكن ر ن
ي ي
فحص مستوى سالمتها
. ر
المهاجمي باستغالل ما يسم ب ( )bootkitsوذلك بهدف البقاء أطول فبة ممكنة ويتم استخدام ( )bootkitsكطبقة أسفل ن قد يقوم برمجية ضارة مع اقالع
.003 T1542
نظام التشغيل .ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه. النظام Bootkit /
المهاجمي باستغالل ما يسم ب ( ))Monitor (ROMMON ROMوذلك من خالل تحميل أنظمة ( )firmwareضار وذلك ن قد يقوم
ر ROMMONkit .004 T1542
بهدف البقاء أطول فبة ممكنة .ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه.
المهاجمي باستغالل ( )netbootingلتحميل نظام تشغيل غب مضح به من خادم نقل الملفات بواسطة بروتوكول ن قد يقوم
ن
( )TFTPيتم استخدام ( ))TFTP boot (netbootingبشكل شائع بي مدراء الشبكات لتحميل االعدادات الخاصة بأجهزة الشبكات .
TFTP Boot .005 T1542
والنسخ الصورية ( )Imageمن خادم مركزي او مستودع .ان ( )netbootingهو واحد من الخيارات المسموح بها لإلقالع الخاص
بالنظام ويمكن استخدامه لتحكم واإلدارة وكذلك مركز لحفظ النسخ الصورية (.)Images
المهاجمي باستغالل وظائف الجدولة او ما يسم ب ( )Scheduled Task/Jobوذلك بهدف تنفيذ تعليمات برمجية ضارة ن قد يقوم
المخبق .ان ( )Scheduled Task/Jobه أداة متوفرة فن ر النظام داخل ممكنه ةفبر أطول البقاء او االوىل الوصول ن
تأمي شأنها من
ي ي ي Scheduled Task/Job T1053
البمجيات السكربتات عند تاري خ او وقت محدد .وتستطيع كذلك الجدولة عن بعد ر تشغيل جدولة بهدف وذلك التشغيل أنظمة اكبر
ن يف حال توفرت لديك الصالحيات المناسبة عل سبيل المثال للجدولة عن بعد ((and file and printer sharing in ex: RPC
35
.))Windows environmentsوعل االغلب ان جدولة االعمال عن بعد تستلزم وجود المستخدم ن يف مجموعة مدراء النظام او ان
يكون لدى المستخدم بعض الصالحيات العالية عل النظام البعيد.
المهاجمي باستغالل أداة جدولة االعمال ن يف نظام لينكس وتسم ( )atوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن قد يقوم
ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .ان االمر ( )atيتم استخدامه فقط من قبل مدراء النظام ر الوصول ن
تأمي بيئة لينكس )At (Linux / .001 T1053
ي
لجدولة االعمال كما تم ذكره.
المهاجمي باستغالل أداة جدولة االعمال ن يف نظام ويندوز وتسم ( )at.exeوذلك بهدف تنفيذ تعليمات برمجية ضارة من ن قد يقوم
كبمجية تنفيذية هدفها . ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق ان االمر ( )at.exeمتوفر رر شأنها تأمي الوصول ن بيئة ويندوز At /
ي .002 T1053
لك تعمل ن يف وقت او تاري خ محدد .ويتطلب استخدام ( )at.exeتفعيل خدمة (.)Scheduler Task ي ويندوز لنظام جدولة االعمال )(Windows
الت ن يف مجموعة مدراء النظام. ي
وان يتم استخدام احد الحسابات ر
ن
تأمي المهاجمي باستغالل أداة جدولة االعمال وتسم ( )cronوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن قد يقوم
وه موجهه لنظام لها المحدد الوقت حسب تعمل ) cron ( االمر ان . ق ر
المخب النظام داخل ممكنه ة ر
فب أطول البقاء او االوىل الوصول
ي ي Cron .003 T1053
( .)Unixوتحتوي ( )crontabعل جدول االدخاالت الخاصة ب ( )cronواالوقات المراد تشغيلها به والمسارات المطلوب تفعيلها او
الملفات التنفيذية.
المهاجمي باستغالل أداة جدولة االعمال وتسم ( )Launchd daemonوذلك بهدف تنفيذ تعليمات برمجية ضارة من ن قد يقوم
ر ر ن
وهاالوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .ان االمر ( )Launchdموجهه لنظام ( .)macOSي ي شأنها تأمي الوصول
مسؤولة عن تحميل واداة الخدمات الخاصة بنظام التشغيل .ان عملية تحميل ( )parametersلكل عملية تشغيل لل ()Launchd
Launchd .004 T1053
خف ويتم قراءتها من قائمة مخصصة او ما تسم ب ( )plistو المتواجدة ن يف (System/Library/LaunchDaemons / ن
تتم بشكل ي
.)and /Library/LaunchDaemonsوتحتوي ( )LaunchDaemonsعل قائمة يتم اإلشارة لكل ملف تنفيذي والمسار الخاص
به الذي سيتم تنفيذ ا رلبمجية منه.
المهاجمي باستغالل أداة جدولة االعمال وتسم ( )Windows Task Schedulerوذلك بهدف تنفيذ تعليمات برمجية ن قد يقوم
ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .توجد طرق متعددة للوصول اىل ( Windows ر الوصول ن
تأمي شأنها من ضارة
ي جدولة المهام Scheduled
مباش من سطر االوامر او من خالل الواجهة الرسومية الخاصة )Task Schedulerنف نظام ويندوز .تستطيع الوصول لها بشكل ر .005 T1053
المهاجمي بتفعيلها من خالل ( )NET wrapper.وقد يتم ن وف بعض األحيان قد يقوم بأدوات مدراء النظام يمن لوحة التحكم .ن Task
ي
استخدام ( )netapi32ن يف المكتبات الخاصة بنظام ويندوز.
المهاجمي باستغالل أداة جدولة االعمال وتسم ( )systemd timersوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن قد يقوم
ه عبارة عن ملفات بامتدادات ) systemd timers ( أداة . ق ر
المخب النظام داخل ممكنه ة ر
فب أطول البقاء او االوىل الوصول ن
تأمي
ي ي Systemd Timers .006 T1053
ر
والت يتم التحكم بالخدمات من خاللها و ( )systemd timersقد يتم استخدامه لتنفيذ االحداث الخاصة يرمز لها ب ( )timer.ي
بالتقويم .ويمكن استخدامها كبديل ل ( )Cronن يف نظام لينكس.
الت توفرها المستودعات مثل ()Kubernetes ر ن
قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم ( )task schedulingي
ر ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .وتقوم تأمي الوصول ن وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها
ي Container
وه تشبه اىل حد كبب ( )cronلنظام تلقان لتنفيذه بوقت وتاري خ محدد ،ي ي تلك المستودعات بتنفيذ وجدولة االعمال والمهام بشكل .007
Orchestration Job
البمجيةلينكس .وقد يتم استخدام هذا األسلوب لالستيالء عل المستودعات المتصلة مع المستودع الذي تم تنفيذ التعليمات ر
الضارة مع مرور الوقت.
36
ن
تأمي الممبات القابلة للتطوير ن يف الخوادم وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن ن
المهاجمي باستخدام قد يقوم
. ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق وقد تتضمن التطبيقات من نوع ( Enterprise server ر الوصول Server Software
ي T1505
لتحسي قدرات التطبيق الحالية .مما قد ن البمجيات او السكربتات ممبات تمكن المطورين من كتابة وتثبيت ر )applicationsعل ن Component
البمجيات الضارة من خالل استغالل التحسينات المستخدمة ن يف تطبيقات الخوادم. المهاجمي من تثبيت وتنفيذ التعليمات او ر ن نمكن
االوىل او ن
قد يقوم المهاجمي باستغالل إجراءات تخزين ( )SQLوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي الوصول ن
ي ر ر
ه تعليمة برمجية يمكن حفظها وإعادة البقاء أطول فبة ممكنه داخل النظام المخبق .ان ( )SQL Stored Proceduresي SQL Stored
المستخدمي لقاعدة البيانات من إعادة كتابة استعالمات ( .)SQLوحيث تم تفعيل (SQL Stored ن استخدامها لكيال يقوم .001 T1505
Procedures
)Proceduresمن خالل استعالم ( )SQLاىل قاعدة البيانات باستخدام التعاريف الخاصة بها عل سبيل المثال (تشغيل او إعادة
تشغيل خادم )SQL
ن
المهاجمي باستغالل ( )transport agents Microsoftوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء ن قد يقوم
ون حيث يتم تمريره ن ر
االلكب يدالب بواسطة العمل ) Microsoft transport agents ( ان . ق ر
المخب النظام داخل ممكنه ةفب أطول ر
ي ر
البيد الضارة او إضافة التواقيع الرقمية اىل نهاية جميع الرسائل الخاصة البيد المزعج ،تصفية ر بواسطة بعض المهام مثل تصفية ر
ر ن Transport Agent .002 T1505
ون الصادرة .ويمكن كتابة ( )Microsoft transport agentsبواسطة المطورين ومن ثم عمل ( )compliedبواسطة بالبيد االلكب ي ر
ون والتم ن ر
االلكب يد
الب ارسال عملية ف ن المحددة احل ر الم احد خالل ) transport agents Microsoft ( استدعاء وسيتم . )NET (.
ي ر ي
تم تحديدها من قبل المطورين.
ن
تأمي المهاجمي بإعداد األبواب الخلفية ( )WebShellsن يف خوادم الويب بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن قد يقوم
ه سكربتات يتم رفعها عل خوادم الويب حيث تسمح للمهاجم ) WebShells ( ان . ق ر
المخب النظام داخل ممكنه ة فب البقاء أطول ر
ي ابواب خلفية Web Shell .003 T1505
بالوصول لخوادم الويب .وقد يتم إضافة بعض الخواص المتقدمة لل ( )WebShellsلتنفيذ سطر األوامر ( )Command lineداخل
النظام.
والت تستخدم ر ن
قد يقوم المهاجمي باستخدام ( )signaling trafficبهدف إخفاء المنافذ المفتوحة او إخفاء بعض الوظائف الضارة ي
المخبق .وتستخدم ن يف بعض األحيان من ر فبة ممكنه داخل النظام تأمي البقاء أطول رن بهدف تنفيذ تعليمات برمجية ضارة من شأنها
والت تستخدم ما يسم ب ( magic valueاو تسلسل محدد) والذي يتم ارساله لتحفبن ر
خالل سطر األوامر ( )line Commandي
استجابة معينة .مثل فتح او اغالق أحد المنافذ او تنفيذ بعض المهام الضارة وقد يقوم المهاجم بإرسال مجموعة من الحزم قبل
.
ر Traffic Signaling T1205
والت ستمكنه من التحكم والسيطرة عل النظام المصاب .وعادة ما تكون هذه السلسلة من اجراء أي عملية من فتح ًاو اغالق المنافذ ي
تضمي بعض التعليمات الفريدة من نوعها بعد اكمال عملية ارسال ن الحرم يتم تحديدها مسبقا مثل ( .)Port Knockingولكن قم يتم
الحزم مما يقوم بفتح المنفذ او أغالقه ن يف جدار الحماية الخاص بالمستضيف او ما يسم ب ( )host-based firewallاو من خالل
تشغيل برمجية مخصصة لذلك.
والت تستخدم ر ن
قد يقوم المهاجمي باستخدام ( )port knockingبهدف إخفاء المنافذ المفتوحة او إخفاء بعض الوظائف الضارة ي
ولك يتم تفعيل/اغالق المنافذ ر ر ن
بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء أطول ًفبة ممكنه داخل النظام المخبق .ي Port Knocking .001 T1205
والت من شأنها البمجيات ر بعض الت تم تعريفها سابقا .او يستطيع المهاجم استخدام ر
ي ر يقوم المهاجم بإرسال سلسلة نمن المحاوالت ي
القيام بفتح المنافذ او اغالقها يف جدار الحماية الخاص بالمستضيف او ما يسم ب ()host-based firewall
فبة ممكنه داخل النظام قد يقوم المهاجم باستغالل بيانات االعتماد للحسابات الفعالة وذلك بهدف الوصول االوىل او البقاء أطول ر
ي حساب فعال Valid /
لتخط عناض التحكم بالوصول المخبقة قد يستخدم ر المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان بيانات االعتماد ر T1078
ي Accounts
الت تم تطبيقها عل األنظمة والموارد الخاصة بالشبكة .وقد يتم استخدام هذه الحسابات للوصول لألنظمة ر
( )access controlsي
37
ون او سطح المكتب البعيد من خالل المتصفح .وقد يتم استخدام بيانات االعتماد ر ن
البيد االلكب ي عن بعد او الخدمات مثل VPNاو ر
.
المخبقة لتصعيد الصالحيات ألنظمة محدد او الوصول اىل منطقة حساسة داخل الشبكة المستهدفة وقد يقوم المهاجم بتنفيذ ر
والت قد تؤدي اىل اكتشافه. ر ر
البمجيات الضارة ي المخبقة دون الحاجة اىل تبيث بعض ر عملياته الضارة ببيانات االعتماد
ر
االوىل او البقاء أطول فبة الوصول من تمكنه والت ن ر
قد يقوم المهاجم بالحصول عل بيانات االعتماد للحسابات االفباضية ف النظام ر
ي ي ي
الت يتم انشاءها بشكل االفباضية ه ر المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان الحسابات ر ر ممكنه داخل النظام
ي ي اض Default /ر ن
تأن كذلك من األنظمة ر قد اضية ر
االفب الحسابات .
ز ويندو نظام ف ن ) Administrator او Guest ( حساب مثل األنظمة اض داخل ر ن حساب افب ي
ي ي افب ي Accounts
.001 T1078
والت قد تكون حساب مدير للنظام .ان حساب مدير النظام الخاص بخدمات ()AWS ر الخاصة ببعض العتاد من ر
الشكة المصنعة .ي ن
اض يف ()Kubernetes ر ن
وحساب الخدمات االفب ي
االوىل او البقاء والت تمكنه من الوصول ر ن
ي قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بمدراء النطاق ( )domain accountي
ر ر ر
والت يتم التحكمأطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان حسابات مدراء النطاق ي حساب مدير النظام /
.002 T1078
والت من خاللها يتم إعطاء الصالحيات و التكوين لخدمات للنظام .ومن ر
بها من قبل ( )Service Active Directory Domainي Domain Accounts
ن
مستخدمي او خدمات. الممكن ان تكون حسابات مدراء .النظام عبارة عن حسابات
االوىل او والت تمكنه من الوصول ر ن
ي قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات المحلية ( )local accountي محل Local / حساب
فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .الحسابات المحلية يتم اعدادها من ر البقاء أطول ر ي .003 T1078
Accounts
قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة و ادارتها.
والت تمكنه من ر ن
قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات عل الخدمات السحابية ( )cloud accountي
ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .حسابات الخدمات ر الوصول
ي حساب الخدمات السحابية
السحابية قد يتم انشاءها واعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات .004 T1078
Cloud Accounts /
الوصول لألنظمة وادارتها او التطبيقات .قد يتم توحيد الحسابات الخاصة بالخدمات السحابية مع الحسابات ن يف النطاقات
()Window Active Directory
38
تصعيد الصالحيات Privilege Escalation /
اخباق النظام او الشبكة ،حيث ان المهاجمي باستخدام أساليب متعددة للحصول عل صالحيات اعل عند ر
ن تصعيد الصالحيات :يقوم
المهاجم بعد عملية الوصول األول واكتشاف الشبكة واالطالع عليها قد يواجه صعوبة ن يف الوصول لبعض األنظمة او الخدمات بسبب
يستدع اىل رفع الصالحيات لهذا الحساب من خالل استغالل اما ثغرات ن يف النظام
ي
الت قام ر
باخباقها مما ر
محدودية الصالحيات واالذونات ي
او اعدادات خاطئة او ثغرات برمجية
39
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
قد يقوم المهاجم بالتالعب واستغالل آليات التحكم ن يف رفع الصالحيات للحصول عل صالحيات او أذونات اعل .وتحتوي معظم أنظمة اساءة استخدام ن
مبة رفع
والت تهدف اىل رفع او التحكم ن يف الصالحيات لحساب او خدمة محددة من اجل أداء ر ن
التشغيل الحديثة عل آلية لتحكم يف الصالحيات ن ي
ن ر الصالحيات Abuse /
المستخدمي للقيام بمهام حساسة والت تكون يف معظم االحول من إعطاء صالحيات لبعض المهام المطلوب تنفيذها عل النظام .ي Elevation Control
T1548
وحرجة تتطلب صالحيات عالية .وقد يقوم المهاجم بطرق مشابه لالستفادة من طرق رفع الصالحيات المتوفرة مع النظام من اجل رفع
Mechanism
الصالحيات الخاصة به.
المهاجمي باستخدام ما يسم ب ( )shell escapesاو استغالل الثغرات ن يف التطبيقات مع ما يطلق عليه ( )setsuidاو ( setgid ن قد يقوم
تعي ن
مستخدمي اخرين .ان ف نظام (لينكس او ماك او اس) .عندما يتم ن ن حسابات ف ن يعمل ضار كود عل الحصول بهدف وذلك )bits
ي ي
( setuidاو )setgid bitsالحد التطبيقات ،سيعمل التطبيق بامتيازات المستخدم او المجموعة المستهدفة .والحالة الطبيعية عند أي
Setuid and Setgid .001 T1548
الحاىل .بغض النظر عن المستخدم المالك للتطبيق او المجموعة .ومع ذلك هناك ي تشغيل التطبيق يتم تنفيذه بصالحيات المستخدم
حت وان كان المستخدم ال يمتلك تلك الت تحتاج اىل صالحيات عالية ر ر
حاالت تحتاج بعض التطبيقات فيها اىل تنفيذ بعض الوظائف ي
الصالحيات.
بتخط آليات التحكم ن يف حساب المستخدم وذلك بهدف رفع الصالحيات عل النظام .نظام ويندوز يمتلك ما يسم ي
ن
المهاجمي قد يقوم
ر تخط صالحيات التحكم ي
والت تقوم بتتبع سالمة عمليات التصعيد من ي وه تسمح برفع الصالحيات ي ب ())Windows User Account Control (UAC
ر ر بالحسابات Bypass /
عل شكل (تبويب)تأن ي
والت ي الصالحيات األقل اىل األعل .وعادة ما يتم تنفيذ وتعديل والوصول تلك المهمة بصالحيات مدير النظام ي User Account
.002 T1548
المستخدمي ان هذه المهمة تتطلب صالحيات عالية وقد تقوم بالتأثب عل النظام ن للمستخدم لتأكيد عل العملية ،وذلك بهدف تنبيه
ن Control
المحل ( Localاو )domainادخال كلمة المرور إلكمال اإلجراءات. ي وقد تتطلب يف بعض األحيان من مدراء النظام
ر ن
قد يقوم المهاجم بتنفيذ ( )and/or use the suoders sudo cachingلرفع الصاحيات .قد يقوم المهاجمي بتنفيذ بعض األوامر ي
الت Sudo and Sudo
.003 T1548
لمستخدمي اخرين واالستفادة منها للحصول عل صالحيات اعل. ن من شأنها استدعاء بعض العمليات التابعة Caching
المهاجمي من استخدام ( )AuthorizationExecuteWithPrivileges APIلرفع الصالحيات من خالل استخدام الطلب من ن قد يقوم
المستخدمي بيانات االعتماد الخاصة بهم .ان الهدف من استخدام ( ) APIهو إعطاء المطورين للتطبيقات طريقة سهله الجراء العمليات ن Elevated Execution
ً .004 T1548
بصالحيات عالية جدا ،عل سبيل المثال تثبيت تطبيق او تحديث .حيث ان ( )APIال تقوم بالتحقق من التطبيق الذى يطلب تلك with Prompt
الصالحيات هل هو تطبيق ضار او غب ضار او تم تعديله.
تخط المهاجمي بتعديل ( )tokensللقيام بتنفيذ عمليات بحساب مستخدم اخر او حساب النظام ( )SYSTEMوذلك بهدف ن قد يقوم
ي التالعب بالتوكن /
الت قيد التشغيل .ويمكن للمستخدم من التالعب ب ()tokens ر العمليات ملكية لتحديد ) tokens ( ويندوز نظام يستخدم . التحكم آليات
ي Access Token T1134
الت قيد التشغيل كما انها لو كانت تابعة لمستخدم اخر او تابعة لعملية أخرى ( .)process child of a differentوعند ر
لتظهر العملية ي Manipulation
القيام بذلك تأخذ هذه العملية سياق األمان المرتبطة ب ( )tokensالجديد الذي تم ربطه به.
تخط آليات التحكم. المهاجمي بانتحال او بتكرار ( )tokenالخاص بمستخدم أخرى وذلك بهدف رفع الصالحيات او ن قد يقوم
ي
المهاجمي يستطيعون انشاء وتكرار ( )tokenالموجود باستخدام ( .))DuplicateToken(Exويمكن بعد ذلك استخدام( )tokenالمكرر ن Token
ن ر .001 T1134
والت تسمح باستدعاء ( )threadمعي وانتحال صفة مستخدم مسجل دخوله اىل Impersonation/Theftلعملية تسم ب ( )ImpersonateLoggedOnUserي
النظام .او استخدام ( )SetThreadTokenلتعينه وربطه ب ( )threadمخصص.
40
ن
للمهاجمي من تكرار تخط آليات التحكم .يمكن ن
المهاجمي بإنشاء عملية جديدة او تكرار ( )tokenبهدف رفع الصالحيات او قد يقوم
ي Create Process with
( )tokenباستخدام ( DuplicateToken(Exو يستخدمها مع CreateProcessWithTokenWبهدف انشاء عملية جديدة تحت .002 T1134
ن ً Token
مستخدمي اخرين. المستخدم المنتحل .هذه الطريقة مفيدة جدا إلنشاء العمليات تحت حسابات
تخط آليات التحكم .ن يف حال كان لدى المهاجم اسم مستخدم ي
ن
المهاجمي بإنشاء او انتحال ( )tokensبهدف رفع الصالحيات او قد يقوم
وكلمة مرور ولكن المستخدم لم يقم بتسجيل الدخول للنظام ،فيمكن للمهاجم من انشاء جلسة ( )Sessionللمستخدم باستخدام وظيفة Make and
.003 T1134
( .)LogonUserهذه الوظيفة ستقوم باستعادة نسخة من رمز ( )tokensالخاصة بالجلسة ويقوم المهاجم بعد ذلك باستخدام Impersonate Token
( )SetThreadTokenلربط ( )tokensب ( )threadمخصص.
التخف من عمليةن المهاجمي بانتحال ( ))identifier (PPID parent processلعملية جديدة ( )New processبهدف ن قد يقوم
ي
مباشه من بواسطة ( parentاو )callingمالم يتم تحديد (مراقبة العمليات) او لرفع الصالحيات .وعادة ما يتم انشاء العمليات الجديدة ر
ن
عب استدعاء (CreateProcess API
ن
ه رمكان االستدعاء بشكل واضح .ان أحد الطرق لتعيي ( )PPIDبشكل واضح لعملية جديدة ي
،)callوالذي يدعم ( )parameterلتحديد ( )PPIDومن ثم استخدامه .يتم استخدام هذه الوظيفة يف نظام ويندوز بواسطة Parent PID Spoofing .004 T1134
والت تقوم بتصحيح عملية ( )PPIDبعد عملية طلب رفع صالحية تلك العملية ر
ً ( )Windows featuresعل سبيل المثال ( )UACي
والت تتم عادة من خالل ( )svchost.exe or consent.exeبدال من استخدام صالحيات المستخدم ر
واستدعائها بواسطة ( )SYSTEMي
نفسه.
.
تخط آليات التحكم ان (Windows security ي قد يقوم المهاجم باستخدام ( )Injection SID-Historyبهدف رفع الصالحيات او
))identifier (SIDهو قيمة فريدة تستخدم لتعريف حسابات (المستخدم /المجموعة) .ان ( )SIDتستخدم بواسطة تقنيات األمان ن يف
ر ن
والت تسمح نظام ويندوز وكذلك تقنية ( .)Tokensحيث يمكن للحساب االحتفاظ ب ( )SIDيف ( )SID-History Active Directoryي SID-History Injection .005 T1134
بي النطاقات ( .)Domainsعل سبيل أمثال ( والت تسمح باستخدام/تبادل الحسابات/المعلومات ن ر
ن بعملية تسم ب ( )inter-operableي
ن
تضمي جميع القيام الخاصة ب ( )tokens accessيف (.)SID-History
تلقان من خالل ي قد يقوم المهاجم باستخدام اعدادات النظام تنفيذ تعليمات برمجية ضارة من خالل اعدادات لجعل التنفيذ يتم بشكل
فبة ممكنة .قد يحتوي نظام التشغيل عل آليات عملية اإلقالع او تسجيل الدخول وذلك بهدف االستمرار والبقاء داخل الشبكة أطول ر التلقان / تسجيل الدخول
الت يتم وضعها فن ً ً ي
ر البامج تلقائيا عند اإلقالع او تسجيل الدخول اىل الحساب .وقد تتضمن هذه االليات تنفيذ ر
ي البامج تلقائيا ي لتشغيل ر Boot or Logon T1547
قائمة مخصصة عل سبيل أمثال وضع بعض ( )Registry Windowsوقد يقوم المهاجم بتحقيق نفس هذه العملية واالهداف عند Autostart Execution
التعديل عل نوات النظام.
مفاتيح التسجيل
البمجيات او المفاتيح( )run keysالضارة الخاصة به .وستودي
قد يقوم المهاجم باستخدام مجلد بدء التشغيل ( )Startupإلضافة ر
ن التلقان/
ي والتشغيل
البنامج يعمل عند قيام المستخدم بعملية تسجيل الدخول .سيتم تنفيذ هذه
ادخال ( )run keysيف ( )Registryاو ( )Startupاىل جعل ر .001 T1547
ر ن Run Keys / Registry
والت قد تحتاج اىل أذونات خاصة مرتبطة بالحساب المستخدم.
البامج يف حساب المستخدم الذي تم تفعيلها به ير
Startup Folder
ن
المهاجمي باستخدام تصاري ح الحزم لتنفيذ وتشغيل ( )DLLsعند اقالع النظام .حيث يتم تحميل ملفات DLLلحزم المصادقة قد يقوم تصاري ح الحزم /
لنظام ويندوز بواسطة ( ))Local Security Authority (LSAعند بدء عملية التشغيل للنظام .حيث توفر عمليات الدعم لتسجيل Authentication .002 T1547
الدخول المتعددة وكذلك إضافة بروتوكوالت األمان لنظام التشغيل. Package
ن
المهاجمي من استغالل ( )providers timeلتنفيذ او تشغيل ( )DLLsعند اقالع النظام .ان ( )W32Timeيتيح مزامنة الوقت قد يقوم
المستخدمي فن
ن ر .
عب النطاقات ويقوم ( )W32Timeبمسؤولية اسبداد الوقت ( )time stampsمن العتاد والشبكة وإخراج القيام اىل Time Providers .003 T1547
ي ر
الشبكة.
41
المهاجمي باستخدام ( )Winlogonللتنفيذ تعليمات ضارة من خالل تشغيل ( )DLLsاو برامج تنفيذية عند تسجيل الدخول .ان ن قد يقوم
وه مسؤولة عن اإلجراءات عند تسجيل الدخول او الخروج باإلضافة اىل خدمة ()SAS ه احد مكونات نظام ويندوز ي ( )Winlogonي
والت تكون عند الضغط عل ( )Ctrl-Alt-Deleteويتم تسجيل المدخالت ن يف ي
ر Winlogon Helper
.004 T1547
( )\HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogonو DLL
ر
البامج والوظائف والت تستخدم إلدارة ر ( )\HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogonي
الت تدعم عملية()Winlogon ر
المساعدة اإلضافية ي
المهاجمي باستخدام ( ))support providers (SSPs securityللتنفيذ تعليمات ضارة من خالل تشغيل ( )DLLsاو برامج ن قد يقوم
ن
تنفيذية عند اقالع النظام .يتم تحميل ( ))security support providers (SSPsيف ( ))Local Security Authority (LSAكعملية Security Support
ر .005 T1547
والت تكون مخزنة نعند بدء النظام .بعد عملية التحميل ل LSA,SSPك DLLsيقوم بتشفب األرقام الشية من صيغة نصية اىل صيغة مشفرة ي Provider
يف نظام ويندوز ،مثل أي كلمة مرور يتم استخدامها عند عمليات تسجيل الدول او استخدام PINكذلك.
ن
هقد يقوم المهاجمي بتعديل النواة وذلك لتنفيذ تعليمات ن تلقائية ضارة بالنظام عند اإلقالع .ان وحدات التحميل ( )LKMsداخل النواه ي Kernel Modules and
وه تعمل عل زيادة قدرات النواه دون الحاجة اىل إعادة أجزاء من تعليمات برمجية يمكن الكتابة عليها او محيها يف النواه عند الطلب .ي Extensions
.006 T1547
والت تسمح للنواة بالوصول اىل العتاد والتعاريف المتصلة بالنظام. ر
تشغيل النظام .عل سبيل المثال(التعاريف الخاصة باألجهزة) ي
تلقان عندما يقوم المستخدم بتسجيل الدخول او بدء المهاجمي بتعديل ملفات ( )plistللقيام بتشغيل برمجيات ضارة بشكل ن قد يقوم
ي ن
تلقان عندما يقوم ي .
تشغيل النظام يف ( ))Mac OS X 10.7 (Lionيستطيع المستخدمون تحديد برامج او تطبيقات لإلعادة فتحها بشكل
Re-opened
البامج كل برنامج عل حدة .وهناك قائمة عب فتح رالمستخدم بتسجيل الدخول لألجهزة الخاصة بهم بعد إعادة التشغيل.بدل ان يتم ذلك ر .007 T1547
Applications
الت تعمل عند بدء التشغيل ( .)plistوتستطيع ايجادها ن يف (~)Library/Preferences/com.apple.loginwindow.plist/ ر
للمفالت ي
و (~).Library/Preferences/ByHost/com.apple.loginwindow.* .plist/
المخبق .انر فبة ممكنة ن يف النظام المهاجمي بإضافة او تعديل ( )drivers LSASSوذلك لضمان البقاء داخل الشبكة أطول ر ن قد يقوم
الفرع يف الويندوز ( )Windows security subsystemهو عبادة عن مجموع من المكونات تدير وتنفيذ سياسات األمان عل ن النظام
ي
ئيس و المسؤول عن سياسة األمان المحلية و التحقق من صالحيات المستخدم .ان ()LSA ي ر ال المكون هو ) LSA ( ان . النطاق او النظام LSASS Driver .008 T1547
والت تعمل جميعها ن يف عملية LASاو ر
وه كالعادة مرتبطة بوظائف امان أخرى .ي تحتوى عل العديد من المكتبات الديناميكية ( )DLLي
()lsass.exe
قد يقوم المهاجم بإضافة او تعديل االختصارات لتشغيل او تنفيذ تعليمات برمجية ضارة عند اإلقالع او عند عملية تسجيل الدخول
ر Shortcut
الت سيتم فتحها أو تنفيذها عند النقر فوق االختصار أو البامج األخرى ي ه طرق لإلشارة إىل الملفات أو ر للنظام .ان االختصارات أو الرموز ي Modification
.009 T1547
تنفيذه عند بدء تشغيل النظام.
والت تعمل عند اقالع النظام وذلك المهاجمي باستغالل ( )port monitorsلتشغيل ملفات ضارة من خالل ملفات ( )DLLر ن قد يقوم
ي
فبة ممكنه .ان ( )port monitorsتستطيع استخدامه من خالل االتصال ب ( )AddMonitor APIوالتر للبقاء داخل الشبكة أطول ر
ي
تسمح بتحميل ملفات DLLعند بدء التشغيل .تستطيع اجادة ملفات DLLن يف " "C:\Windows\System32وسيتم تحميله بواسطة مراقبة الشاشات Port /
.010 T1547
ه عمليات تعمل كذلك تحت ()SYSTEM
المناسبة للكتابة نف المسار المخصص فن خدمة التخزين الموقت للطباعة( )spoolsv.exeعند اقالع النظام .ان ( )spoolsv.exeي Monitors
والت يقصد بها صالحيات النظام .ويمكن تحميل ملفات DLLاذا كانت هناك االذونات ر
ي ي ي
().HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
.
البامج اثناء اقالع النظام او عند عمليات تسجيل الدخول وتحتوي قائمة ( )plistعل المهاجمي باستخدام ( )plistلتشغيل ر ن قد يقوم
ملفات يتم استخدامها نف نظام ( macOSو )OS Xوه تحتوي عل اإلعدادات الخاصة بالتطبيقات والخدمات .الملف تمت كتابته ب ربمبن Plist Modification .011 T1547
ي ي
42
البامج. بي (<>) .وه توضح التفاصيل ر تأن اإلعدادات ما ن ( )UTF-8وتستطيع استعراضه من خالل قارئ ملفات .XMLو ر
مت يجب ر ي
ً ن
ومسار الملفات التنفيذية .واالذونات المطلوبة لتشغيلها ..وغبها الكثب .تتواجد ( )plistsيف مواقع معينة اعتمادا عل العرض منها مثل
والت يتم استخدامها عند رفع الصالحيات .و (~ )Library/Preferences/عند استخدام تلك ر
( )Library/Preferences/ي
الصالحيات.
قد يقوم المهاجمي باستخدام ( )processors printلتشغيل مكتبات DLLضارة اثناء اقالع النظام .وذلك ألغراض ضارة مثل البقاء ن
ر ر طباعة العمليات Print /
الت يتم تحميلها بواسطة ( print spooler ه مكتبات DLLي داخل النظام المخبقة او تصعيد الصالحيات .ان ( )print processorsي Processors
.012 T1547
)service, spoolsv.exeاثناء عمليات اإلقالع.
تلقان عن اقالع النظام بهدف البقاء داخل النظام ن
قد يقوم المهاجمي باستخدام بعض السكربتات لتنفيذ تعليمات برمجية ضارة بشكل ن ي نظام اقالع او الدخول
ر ر ر
والت قد ينطوي عليها تنفيذ وتشغيل
ً المخبق أطول فبة ممكنة .حيث يمكن استخدام السكربت تنفيذ بعض المهام اإلدارية يف األنظمة .ي بواسطة سكربت Boot /
T1037
داخل .يمكن ان تختلف السكربت من نظام اىل اخر وطرق تطبيقها هل سيكون محليا او عن ي البمجيات او ارسال المعلومات اىل خادم ر or Logon
بعد. Initialization Scripts
تلقان عند بداية عملية تسجيل الدخول. والت يتم تنفيذها بشكلر ن
ي قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ويندوز ي سكربت الدخول لنظام
ر ر
والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة .يسمح نظام ويندوز بتشغيل سكربتات تسجيل الدخول عل مستوى
ن ويندوز Logon Script / .001 T1037
المستخدمي او المجموعات .ويتم ذلك عن طريق إضافة المسار المطلوب
()Windows
اىل( )HKCU\Environment\UserInitMprLogonScriptن يف (.)Registry key
تلقان عند بداية عملية تسجيل ر
والت يتم تنفيذها بشكل ن
ي قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ماك اوس ي
ر ر
الدخول .والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة .يسمح نظام ماك بتشغيل وتنفيذ سكربتات او ما يسم سكربت الدخول لنظام
( )known as login hooksتسجيل الدخول كلما قام المستخدم بالدخول للنظام .حيث يقوم ( )known as login hooksبتنفيذ ماك Logon Script .002 T1037
البمجيات عند استخدام صالحيات السكربت عند تسجيل الدخول وهو عل عكس ( )Startup Itemsيقوم ( )login hooksبتنفيذ ر )(Mac
مدير النظام(.)root
تلقان عند بداية عملية الدخول .والهدف منها هو البقاء داخل والت يتم تنفيذها بشكلر ن
ن ي قد يقوم المهاجمي باستخدام سكربت الشبكة ي سكربت تسجيل الشبكة /
ر ر ر
الت تعمل عل مستوى بدء التشغيل يف الشبكة من خالل ( Active النظام المخبق أطول فبة ممكنة .يمكن استخدام سكربتات ي Network Logon .003 T1037
لك يتم تعينها او استخدامها .بحسب Directoryاو .)Group Policy Objectsتحتاج هذه السكربتات اىل صالحيات وأذونات محددة ي Script
اختالف األنظمة قد يستطيع المهاجم تنفيذ هذه السكربتات عل نظام محدد او عدد من األنظمة داخل الشبكة المستهدفة.
المهاجمي بتعديل سكربت ( )RCوالذي يتم تنفيذه خالل اإلقالع لنظام ( .)Unixان هذه الملف يسمح لمدراء النظام بربط وبدء ن قد يقوم
Rc Scripts .004 T1037
الخدمات المخصصة اىل قائمة بدء التشغيل النظام .وعادة تتطلب ( )RCامتيازات مدير النظام إلجراء التعديالت (.)root
قد يقوم المهاجمون باستغالل ( )Startup Itemsلتنفيذ تعليمات برمجية ضارة عند اقالع النظام بهدف البقاء نف النظام أطول ر
فبة ي ادوات بدء التشغيل /
ممكنة .ان ( )Startup Itemsتعمل عادة ن يف المرحلة األخبة من اإلقالع .وتحتوي عل برامجه او سكربتات قابلة للتنفيذ او التشغيل .005 T1037
Startup Items
البتيب المتوقع لتشغيل وتنفيد العناض المتوفرة ن يف (.)Items Startup الت يستخدمها النظام لتحديد ر ر
بجانب االعدادات ي
ر ن
المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة بهدف البقاء يف النظام أطول فبة ن قد يقوم انشاء او تعديل عمليات
ن ر
ممكنة .فعندما يقوم النظام باإلقالع ستعمل العمليات بشكل مباش يف الخلفية .سواء كان النظام ويندوز او لينكس .حيث ان هذه النظام Create or /
T1543
العمليات يتم تصنيفها كخدمات .اما ن يف نظام ماك اوس يتم تشغيل العمليات بواسطة ( )Launch Daemonو ( )Launch Agentإلنهاء Modify System
تهيئة عمليات النظام و البدء بتنفيذ وتحميل عمليات المستخدم. Process
43
المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة باستخدام ()launch agents ن قد يقوم
ر ً ر ن
.
وذلك بهدف البقاء يف النظام أطول فبة ممكنة وفقا لمطوري شكة آبل ،عندما يقوم المستخدم بتسجيل الدخول يتم بدء عملية تشغيل
ر ن البمجية /
تفعيل ر
والت تستطيع الوصول لها من خالل العمليات الخاصة بكل مستخدم من خالل ( )launch-on-demandوالموجودة يف ( )plistي .001 T1543
Launch Agent
( ,System/Library/LaunchAgents, /Library/LaunchAgents/و )HOME/Library/LaunchAgents$ان ( launch
)agentsلديهم قائمة من الملفات المرتبطة بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل.
فبة ممكنة .ومن المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات ( ،)systemdوذلك بهدف البقاء نف النظام أطول ر ن قد يقوم
ي ن
.
المتعارف عل ان ( )systemdيقوم بإدارة العمليات يف الخلفية او الخدمات وموارد النظام األخرى ان ( )systemdهو النظام التهيئة
اض نف ( )initنف ر ر ن خدمات النظام /
أكب توزيعات لينكس مثل ( .)Debian 8, Ubuntu 15.04, CentOS 7, RHEL 7, Fedora 15حيث تم ي االفب ي ي .002 T1543
ر ر Systemd Service
والت تشتمل عل ( SysVinitو .)Upstartوحيث ان ( )systemdيتعامل كذلك الت تعمل ب ( )initي إيجاده الستبدال األنظمة القديمة ي
مع األنظمة السابقة والقديمة.
ر ن
المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات الخاصة بنظام ( ،)Windowsوذلك بهدف البقاء يف النظام أطول فبة ن قد يقوم
البمجيات والتطبيقات من خالل استدعاء ر بتشغيل يقوم ذلك بعد بالنظام الخاصة اإلقالع بعمليات الويندوز يقوم عندما ممكنة. خدمات الويندوز /
ن ر .003 T1543
الت تعمل يف الخلفية الخاصة بالنظام .ان نظام الخدمات واإلعدادات تشتمل عل مسارات الملفات للخدمات واالوامر القابلة الخدمات ي Windows Service
للتنفيذ .ويتم تخزينها ن يف ( .)Windows Registryومن الممكن ان يتم تعديل اعدادات الخدمات من خالل أداة ( sc.exeاو .)Reg
فبة ممكنة. المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات ( )launch daemonsوذلك بهدف البقاء نف النظام أطول ر ن قد يقوم
ي ً
وفقا لمطوري رشكة آبل ،عندما يقوم المستخدم بتسجيل الدخول يتم بدء عملية تشغيل العمليات الخاصة بكل مستخدم من خالل
والت تستطيع الوصول لها من خالل (,System/Library/LaunchAgents/ ر ن
( )launch-on-demandوالموجودة يف ( )plistي Launch Daemon .004 T1543
,Library/LaunchAgents/و )HOME/Library/LaunchAgents$ان ( )launch agentsلديهم قائمة من الملفات المرتبطة
بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل.
التخف داخل الشبكة او تصعيد الصالحيات ن المهاجمي بتعديل االعدادات الخاصة بتكوين النطاقات ( )domainوذلك بهدف ن قد يقوم
ي
ن
الت يعمل بها النطاق ( )domainتسمح له بالتحكم باألنظمة والتقنيات وكذلك المستخدمي داخل ي
ر يةالتقن ان . المستهدف النطاق ن يف
ن Domain Policy
والمستخدمي بالتواصل ،حيث يقوم بحوكمتها حسب الحاجة .والسياسة الخاصة بهذه هذا النطاق وكيف تقوم هذه األجهزة واألنظمة T1484
ن ن Modification
.
النطاقات تحتوي عل اعدادات التواصل ما بي النطاقات والنطاقات الفرعية وما يف حكمها وقد تتضمن التعديالت عل السياسة
بي النطاقات المرتبطة به. الخاصة بالنطاق ( ) GPOsتغب عل مستوى العالقة ما ن
ن
المهاجمي بتعديل االعدادات الخاصة بتكوين مجموعة سياسة النطاقات ( )GPOsوذلك بهدف تصعيد الصالحيات يف النطاق ن قد يقوم
ن
المستهدف .تسمح سياسة النطاقات ( )GPOsبتعديل و إدارة المستخدمي او األجهزة من خالل ( .)Active directory ADوكما انها Group Policy
ر .001 T1484
والت تستطيع الوصول لها من خالل تعتب مستودع لإلعدادات الخاصة بسياسة النطاقات ي ر Modification
(\<) Policies >DOMAIN< SYSVOL >DOMAIN
\ \ \ \
ن
بي النطاقات او تعديل خصائص ثقة سابقة يف النطاق المستهدف ،وذلك بهدف المهاجمي بإضافة خاصية الثقة ( )trustsن ن قد يقوم
ن
نطاقي ن
تصعيد الصالحيات او التخف داخل الشبكة .تسمح تفاصيل الثقة ف النطاق او ( )trustsبمعرفة اذا كان هناك عالقة ما ن
بي ن Domain Trust
ي ي .002 T1484
بي النطاقات المشبكة ما بينهم .وبقد تتضمن الثقة ما ن ر بي النطاقات ومعرفة الموارد مختلفي ،وكذلك خصائص المصادقة والتخويل ما ن ن Modification
معلومات عن الحسابات وبيانات الدخول ووسائل المصادقة المستخدمة عل الخوادم والرموز(.)tokens
44
فبة ممكن او رفع الصالحيات .تمتلك المخبق أطول ر ر قد يقوم المهاجم باستغالل بعض االحداث المعينة بهدف البقاء داخل النظام تنفيذ االحداث حسب
أنظمة التشغيل وسائل لمراقبة تلك االحداث ومتابعتها مثل عمليات تسجيل الدخول او أنشطة أخرى مثل تشغيل تطبيقات او اكواد المعطيات Event / T1546
برمجية Triggered Execution
بي الملفات للتنفيذ تعليمات برمجية ضارة عل سبيل المثال(عند تحديد ملف ر ن
يي االقبان واالرتباط ن قد يقوم المهاجمون باستغالل ر
اقبان الملفات ن يف سجل الويندوز ( Windows اض) .يتم تخزين تحديد ر ر ن
(البنامج االفب ي اض لتشغيله) ويسم ر ر ن
البنامج االفب ي تحديد ر اض / ر ن
تعديل الملف االفب ي
)Registryويستطيع المستخدم ومدراء النظام تعديلها او أي برنامج يملك صالحيات الوصول وتعديل عل ()Windows Registry File Change Default .001 T1546
ر ن
اض المرتبط من وتستطيع تعديلها من خالل أداة ( )assocبصالحيات مدير النظام .يستطيع كما ذكرنا التطبيق تعديل التطبيق االفب ي Association
معي ثم إجباره بفتح من خالل برنامج اخر. ن خالل استدعاء ملف
ر
قد يقوم المهاجمون باستغالل شاشة التوقف (عدم نشاط المستخدم) لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل النظام المخبق
ً ر
ه برمجيات يتم تنفيذها بعد عدم نشاط المستخدم عل الكمبيوتر بواسطة وقت تم تحديده مسبقا
ن أطول فبة ممكن .وشاشات التوقف ي شاشة التوقف/
وتأن امتداداتها بصيغة ( .)scr.تستطيع إيجاد ملفات شاشات التوقف يف هذا المسار( ,\C:\Windows\System32او ر
من االعدادات .ي
)\C:\Windows\sysWOW64ن Screensaver
.002 T1546
تلقان مع بشكل المثبتة التوقف شاشات او الشاشة حافظات مع يأن وف نظام من نوع ( )bit-64ر
ي ي ي
الويندوز.
قد يقوم المهاجمون بتصعيد الصالحيات او تشغيل ملفات ضارة باستخدام ( Windows Management Instrumentation Windows
فبة ممكنة او تصعيد الصالحيات .ويمكن استخدام المخبقة أطول ر ر )subscription (WMI) eventوذلك بهدف البقاء داخل الشبكة Management
.003 T1546
االحداث ( )Eventمع ( )WMIبغرض تنفيذ االكواد عند تحديد وقت حدوث الحدث .عل سبيل المثال(تفعيل االحداث عندما يقوم Instrumentation
المستخدم بتسجيل الدخول ..الخ) Event Subscription
أكب قدر الت تتم بواسطة المستخدم لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل المنظمة ر ر
قد يقوم المهاجمون باستغالل األوامر ي
ممكن .يقوم نظام ( )Unix Shellsبتنفيذ وجدولة العديد من االعمال واالعدادات والسكربتات واالحداث .عل سبيل المثال (عندما يقوم
المستخدم بالتفاعل مع واجهة سطر األوامر او استخدام ( .))SSHفمن خالل المثال السابق يتم التواصل باستخدام ( .)Shellويقوم Unix Shell
ئيس الخاص بالمستخدم (~ )/من اجل تهيئة البيئة ن
( )Shellحينها بتفعيل السكربتات الخاصة بالنظام والمتواجدة يف( )etc/والمجلد الر ي Configuration .004 T1546
تسج الدخول للنظام من خالل ( .)etc/profile/يتم تفعيل هذه السكربتات ن
للمستخدمي عند ر الخاصة به .وعادة يتم تهيئة البيئة Modification
ي ً
.
واالوامر من خالل مستويات من االذونات تم اعدادها مسبقا ان هذه السكربتات ومع وجود الصالحية واالذونات المناسبة كما ذكرنا
يستطيع المستخدم تعديل البيئة الخاصة به
بالبامج و( )Shellsبتخصيص ر بالسماح )Trap االمر( يقوم . )interrupt signal ( بواسطة الضارة المهاجمي بتشغيل التعليمات ن قد يقوم
للبامج بالتفاعل عند الت سيتم تفعيلها عند استقبال ( ،)interrupt signalواالستخدام الشائع لهذه الطريقة هو سكربت يسمح ر ر
األوامر ي Trap .005 T1546
حصول ( )interrupt signalمثل عند عملية (القص/الصق) ن يف لوحة المفاتيح.
وه تحتوي عل تعليمات ن
او ( )Mach-O binariesن ي ن
المهاجمي بتشغيل التعليمات الضارة بواسطة ()tainted binaries قد يقوم
برمجية تستخدم إلجراء عمليات معينة عند تحميل ( .)binaryتقوم التعليمات يف ( )LC_LOAD_DYLIBيف ()Mach-O binaries
ر LC_LOAD_DYLIB
الت يتم تحميلها اثناء ووقت تنفيذ تلك العمليات. لنظام ( ) MacOS, OS Xبالتواصل مع المكتبات الديناميكية او ما تسم ب ( )dylibsي ي .006 T1546
وتستطيع استخدام هذه ( )complied binaryبشكل خاص ر Addition
باشباط وجود االعدادات والتوافقية الصحيحة .وهناك أدوات كثب تستطيع
القيام بهذا العمل من التغبات.
ر
المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل الشبكة أطول فبة ممكنه من خالل تشغيل مكتبات واالعتماد عل ن يقوم
Netsh Helper DLL .007 T1546
ه عبارة عن سطر أوامر تقوم بالتفاعل مع ي . ) Netshell (ن ري تعرف ما او ) Netsh.exe ( برمجية .لتنفيذها )Netsh Helper DLLs (
45
وه تحتوي عل وظائف و أدوات إلضافة ( )helper DLLsوتستطيع اضافة المزيد من القدرات والوظائف اعدادات الشبكة واألنظمة .ي
لها .وتستطيع إيجاد المسار الخاص بها ن يف الويندوز ( )Windows Registryن يف (.)HKLM\SOFTWARE\Microsoft\Netsh
ممبات وامكانيات الوصول المتاحة بواسطة مايكروسوفت او ما يسم قد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تفعيلها بواسطة ن
ر
( )accessibility featuresوذلك بهدف البقاء داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات .ويحتوي نظام ويندوز عل
ر ن Accessibility
والت يمكن تشغيلها باستخدام مجموعة من المفاتيح قبل عملية تسجيل الدخول للمستخدم عل سبيل ممبان إمكانية الوصول ي .008 T1546
ر Features
والت تسمحالبمجيات واضافة سطر األوامر ي المثال(عندما يكون المستخدم عل شاشة تسجيل الدخول) .قد يقوم المهاجم بتعديل هذه ر
فعل.
له بالتحكم والسيطرة من دون الحاجة اىل تسجيل الدخول للنظام بشكل ي
والت يتم تفعيلها من ضمن العمليات (.)processes ر ) AppCert قد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تشغيله بواسطة (DLLs
ي
))ه احد مكونات ( )AppCertDLLsوالمتواجدة ن يف ي Dynamic-link وذلك بهدف رفع الصالحيات .ان (libraries (DLLs
ن ر
والت يتم استدعائها يف كل ( )\Manager HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Sessionي AppCert DLLs .009 T1546
ن
مستخدمي و ( reateProcess, وظائف واجهة برمجة التطبيقات ( )APIبهدف انشاء العمليات ،انشاء العمليات
).CreateProcessWithLoginW, CreateProcessWithTokenW, or WinExec ,CreateProcessAsUser
المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف رفع الصالحيات وتحدث العملية إثناء تحميل العمليات الخاصة ب (AppInit ن قد يقوم
.)DLLsان ())Dynamic-link libraries (DLLsه احد مكونات ( )AppInit_DLLsوالمتواجدة فن
ي ي
(or HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
AppInit DLLs .010 T1546
NT\CurrentVersion\Windows are HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows
الت يتم تحميلها اىل ( .)user32.dllوعل االغلب ان جميع ر ن ر
والت يتم استدعائها يف كل وظائف والعمليات ي
)loaded by user32.dllي
ر
البامج تستخدم هذه العمليات حيث ان مكتبة ( )user32.dllمكتبة شائعة ومستخدمة بكبة. ر
المهاجمي بتشغيل تعليمات برمجية ضارة بهدف رفع الصالحيات وذلك من خالل االستفادة من ما يسم ب (application ن قد يقوم
)shimsاو ( .))Infrastructure/Framework (Application Shim Microsoft Windows Application Compatibilityوتم
البمجيات تعمل ر Application
حت مع اصدار احدث .عل سبيل المثال ( ان هذه التقنية عمله للسماح بالتوافق مع إصدارات ويندوز القديمة وجعل ر .011 T1546
ن Shimming
البامج من جديد) والمثال السابق يف حل تم كتابة برنامج تسمح للمطورين بتطبيق اإلصالحات والتطوير دون الحاجة اىل إعادة كتابة ر
لويندوز XPوجعلة قابل للعمل عل ويندوز ١٠
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل ( )Image File Execution Options (IFEO) debuggersوذلك بهدف
بتمكي المطورين من ارفاق مصحح األخطاء مع التطبيق او ن فبة ممكنه او تصعيد الصالحيات .تقوم ()IFEO البقاء داخل الشبكة أطول ر Image File Execution
ر .012 T1546
والت تودي اىل انشاء عملية جديدة من البمجية .فعند القيام باي عملية سيكون مصحح األخطاء موجود من ضمن ( )IFEOللتطبيق .ي ر Options Injection
ضمن مصحح األخطاء .عل سبيل المثال (.)C:\dbg\ntsd.exe -g notepad.exe
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل استغالل التفاعل مع ( )PowerShell profilesوذلك بهدف البقاء داخل
فبة ممكنه او تصعيد الصالحيات .ان ( )profile.ps1هو سكربت يعمل حينما يقوم ( )PowerShellبالعمل .وتستطيع الشبكة أطول ر PowerShell Profile .013 T1546
من خالله تخصيص البيئة الخاصة بالمستخدم.
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة باستخدام ( ))Event Monitor Daemon (emondوذلك بهدف البقاء داخل الشبكة
فبة ممكنه او تصعيد الصالحيات .يقوم ( )emondبتنفيذ االحداث ( ) eventمن مختلف الخدمات ويقوم بإداراتها من خالل أطول ر
ن Emond .014 T1546
محرك بسيط يقوم من خالله باتخاذ اإلجراءات المناسبة .ويقوم ( )emond binaryيف مجلد ( )sbin/emond/بتحميل جميع القواعد
من مستودع ( )/etc/emond.d/rules/ويقوم بعد ذلك باتخاذ اإلجراءات حسب االحداث المحددة له.
46
قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل اختطاف وشقة ( ))Component Object Model (COMعند تشغيله .ان
Component Object
البمجيات ونظام التشغيل .ويتم تخزين مختلف ( )COMن يف بي ربتمكي التفاعل ما نن ( )COMهو احد مكونات نظام الويندوز حيث يقوم .015 T1546
Model Hijacking
(.)Registry
البمجيات وذلك بهدف تصعيد الصالحيات .ان استغالل الثغرات او نقاط الضعف ن يف ي ر فالمهاجمي باستغالل نقاط الضعف ن ن قد يقوم
ن
برمج او خطا يف تنفيذ الخدمات او ثغرة برمجية عل عن خلل ر ي ً
البمجيات حدث عندما يقوم المهاجم باستغالل نقاط الضعف الناشئة ر
Exploitation for
اخباق المنظمة المستهدفة المهاجمي من التقدم نف ر
ن تعيق ما وغالبا . التشغيل نظام ف مستوى النواه الخاصة بالنظام او البامج األساسية ن
ر T1068
ي ي Privilege Escalation
المهاجمي باستغالل هذه الثغرات لرفع ن ه الصالحيات واالذونات الممنوحة للوصول لنظام او تقنية معينه ،لذلك من المحتمل ان يقوم ي
صالحياتهم.
البمجيات بها .ان( Hijack الت يقوم النظام بتشغيل ر ر ن انتحال مجال التنفيذ /
قد يقوم المهاجمي بتنفيذ تعليمات برمجية ضارة تقوم باختطاف وشقة االلية ي
)Execution Flowقد يتم استخدامه للبقاء داخل الشبكة بشكل مستمر للمهاجم ،حيث ان ( )Hijack Execution Flowيعمل بشكل Hijack Execution T1574
المبة لرفع الصالحيات او التهرب من االكتشاف . المهاجمي كذلك باستخدام هذه ن ن مستمر .وقد يقوم Flow
البمجية الضارة ،DLLsوذلك بهدف البقاء داخل قد يقوم المهاجمي باعباض طلبات البحث ( )search orderلتنفيذ تعليماتهم ر ر ن
DLL Search Order
فبة ممكنه او تصعيد الصالحيات .ان نظام ويندوز يستخدم طريقة شائعة ن يف عملية البحث عن مكتبات DLLالمطلوب الشبكة أطول ر .001 T1574
ن ن ن Hijacking
المهاجمي هذه المبة لتنفيذ اغراضهم الخبيثة. البامج او التطبيقات .وقد يستخدم تحميلها يف احد ر
جمي بتحميل مكتباتهم ( )DLLالضارة للنظام .وتتشابه هذه الهجمة مع الهجمة السابقة (DLL Search Order ن قد يقوم المها
ر
.)Hijackingويختلف ( )side-loadingعنه انه يقوم بتحميل تلك DLLبدل من زرعها ضمن البتيب الخاص بالبحث عن DLLثم
DLL Side-Loading .002 T1574
انتظار النظام او الضحية من استدعائها .وقد يقوم المهاجمون بهذه الطريقة من خالل زرعها ثم يقوم المهاجم باستدعائها من خالل
برمجيات معتمدة وغب ضارة.
البمجية الضارة من خالل وضعها داخل ( ))dynamic library (dylibمع اسم متوقع من التطبيق ر تعليماته قد يقوم المهاجم بتنفيذ
التسلسل ر
المراد استهدفه ان يقوم بتشغيلها ان ( ))dynamic library (dylibستقوم بالبحث ومحاولة إيجاد ( )dylibبناء عل البتيب .
ي
الت تؤدي اىل( )dylibمسبوقة ب (@ .)rpathو(@ )rpathه ر ر
الت
ي ي للمسارات/االمتدادات الخاصة بعمليات البحث .وقد تكون المسارات ي Dylib Hijacking .004 T1574
تسمح للمطورين بتحديد مجموعة المسارات الخاصة بالبحث وقت التنفيذ .وباإلضافة اىل ذلك اذا لم يتم ربطها بالشكل المناسب مثل
حت ن يف حال عدم وجود( )dylibالمتوقع .مما يتيح البنامج بتنفيذ التعليمات ر استخدام ( .)LC_LOAD_WEAK_DYLIBسيستمر ر
للمطورين من تشغيل تطبيقاتهم عل إصدارات متعددة من ( )macOSمع إضافة واجهات برمجة تطبيقات جديدة (.)API
اعباض او شقة ( )binariesالمستخدم ن يف عملية التثبيت .وقد تتم هذه البمجية الضارة من خالل ر المهاجمي بتنفيذ تعليماتهم ر ن قد يقوم
ن
تلقان من خالل تنفيذ بعض ( )binariesمن اثناء عملية التثبيت .يف حال كانت الصالحيات /االذونات الخاصة بمجلدات بشكل العملية Executable Installer
ي
الت تحتوي عل ( )binariesالمستهدف ن يف العملية .او الصالحيات /االذونات الخاصة بنفس ( )binariesتم اعدادها بشكل غب ي
النظام ر File Permissions .005 T1574
ن
وف بعض صحيح .فقد يقوم ن ( )binariesبإعادة كتابة نفسه فوق ( )binariesاخر باستخدام االذونات والصالحيات الممنوحة له .ي Weakness
والت قد تتضمن صالحيات (.)SYSTEM ر
ن األحيان قد يعمل يف اعل صالحيات ي
البمجية الضارة من خالل اختطاف/شقة المتغبات( )Variablesيف البيئة من خالل المهاجمي بتشغيل وتنفيذ تعليماتهم ر ن قد يقوم
ر
استخدام ( )dynamic linkerإلضافتها للمكتبات المشبكة او ما يسم ب ( .)libaraies Sharedمن خالل عمليات التحضب لتنفيذ او
ر Dynamic Linker
المشبكة من خالل المتغبات البيئية البنامج .ويقوم ( )linker dynamicبتحميل مسارات الخصائص البيئية للمكتبات تشغيل ر .006 T1574
ن ن Hijacking
( )environment variablesوالملفات مثل ( )LD_PRELOADيف نظام لينكس او ( )DYLD_INSERT_LIBRARIESيف نظام
ر ً ر ر
الت لها نفس االسم الت تم تحديدها اوال ،حت يتم أعطاها أولوية عل مكتبات النظام ي .MacOsيتم إعطاء أولوية تحميل المكتبات ي
47
الوظيف .وعادة ما يتم استخدام هذه المتغبات من قبل المطورين لتصحيح األخطاء دون الحاجة اىل عمل ( .)recompileويتم تنفيذ ن
ي
وظائف مخصصة دون الحاجة اىل تغب أي من المكتبات االصلية.
الت يتم تحميلها فن البمجية الضارة من خالل اختطاف/شقة المتغبات ( )variablesر ن
ي ي المهاجمي بتشغيل او تنفيذ تعليماتهم ر قد يقوم
ن ن Path Interception by
المكتبات .قد يقوم المهاجم بوضع برنامجه من المقدمة يف القائمة المخزنة يف مسارات البيئة ( .)PATH environment variable
ر ر PATH Environment .007 T1574
والت يتم استدعائها من خالل تسلسل باستخدام قائمة ( )PATHي ي والت سيقوم نظام التشغيل ويندوز بتشغيله عند عملية البحث بشكل ي Variable
سكربت او سطر األوامر.
يستدع ر
البمجية الضارة من خالل اختطاف ترتيب البحث والذي من المفبض انه المهاجمي بتشغيل او تنفيذ تعليماتهم ر ن قد يقوم Path Interception by
ي ً
البامج ال تستدع برامج أخرى باستخدام قائمة ( ،)PATHقد يقوم المهاجم بوضع ملفاته نف القائمة التر ر بعض ان ا
ر ونظ .اخر برنامج Search Order .008 T1574
ي ي ي
والت سيتسبب بجعل النظام بتشغيل برنامجه الضار بسبب استدعاء برنامج اخر له. البمجيات منها .ر ر استدعاء سيتم Hijacking
ي
البمجية الضارة من خالل اختطاف المراجع الخاصة بالملفات .قد يستغل المهاجم ن
قد يقوم المهاجمي بتشغيل او تنفيذ تعليماتهم ر
Path Interception by
البمجية التنفيذية ن يف اعل القائمة ن يف (.)PATH والت من خاللها يقوم بوضع تعليماته ر ي
المسارات الغب محدده بعالمات االقتباس ("") ر .009 T1574
ر Unquoted Path
والت عندما يقوم نظام التشغيل الويندوز باالختيار من القائمة سيقوم بتشغيله. ي
الت يتم استخدامها من قبل الخدمات. ر ن
البمجية الضارة من خالل اختطاف /شقة ( )binariesي قد يقوم المهاجمي بتشغيل تعليماتهم ر
الت يتم تنفيذها عند المهاجمي سب العمل ( )Flawsالخاصة بالصالحيات لنظام الخدمات نف الويندوز الستبدال ( )binariesر ن يستغل
ي ي Services File
تلقان بواسطة ( )binariesمخصص لتنفيذ وظيفة محددة .اذا تم تحديد ي تنفيذ الخدمات .وبعض الخدمات قد يتم تفعيلها بشكل
Permissions .010 T1574
الصالحيات المجلد الذي يحتوي عل ( )binariesالمستهدف او الصالحيات عل ( )binariesبذاته ،فقد يقوم المهاجم بالكتابة فوقة
ر ر ن Weakness
الت تسمح له والت قد تكون صالحيات عالية او صالحيات النظام ( )SYSTEMي بالصالحيات الممنوحة له يف المجلد او ( )binariesبذاته ي
بهذا العمل والتنفيذ.
البمجية الضارة من خالل اختطاف /شقة مدخالت ( )Registryالمستخدمة من قبل الخدمات ر تعليماتهم بتشغيل ن
المهاجمي قد يقوم
ن يف النظام يستغل المهاجمي سب العمل ( )Flawsالخاصة بالصالحيات لنظام لل ( )Registryيف الويندوز العادة تنفيذ التعليمات
ن ن .
والت يستخدمها لتشغيل االكواد الضارة من خالل الخدمات .ويقوم نظام ويندوز بحفظ ر ر
الت يتم تخزينها فن الت يتحكم بها ن .ي للبمجيات ي البمجية األصلية ر ر Services Registry
الخدمات المحلية واالعدادات الخاصة بها ف ( )HKLM\SYSTEM\CurrentControlSet\Servicesوالخدمات ر Permissions .011 T1574
ي ي ي
والت من شأنها ات تقوم بتشغيل أدوات او تنفيذ ( )Registry keysقد يتم التالعب بها او تعديلها لجعلها تقوم بتنفيذ الخدمات الضارة ر Weakness
ي
تعليمات برمجية او تشغيل PowerShellاو .Regويتم التحكم ن يف الوصول اىل ( )Registry keysمن خالل قوائم التحكم ن يف الوصول
واالذونات (.)Access Control Lists and permissions
ر ر ن ن
والت تقوم
البنامج ي والت قد تؤدي اىل اختطاف/شقة آلية عمل ر قد يستغل المهاجمي المتغبات يف البيئة ل ( )COR_PROFILERي
ر ن
والت تسمح للمطورين بتحديد ملفات ه احد الممبات الطار ( .ن )Framework NETي بتحميلها اىل NET CLR.ان ( )COR_PROFILERي COR_PROFILER .012 T1574
. .
التعاريف DLL/External .NETالغب مدارة ( )unmanagedليتم تحميلها يف كل عملية من عمليات NET CLRوتم إيجاد وتصميم
الت يتم تنفيذها بواسطة .NET CRL. ر
البمجية ي ملفات التعريف لمراقبة وتصحيح األخطاء ر
المهاجمي بحقن العمليات وذلك بهدف رفع الصالحيات او التهرب من االكتشاف .وقد تستخدم حقن العمليات لتنفيذ تعليمات ن قد يقوم
ن ر ن حقن العمليات /
والت قد تسمح بحقن والوصول اىل العمليات يف الذاكرة العشوائية ( )Memoryاو النظام او الشبكة. ضارة يف بعض العمليات النشطة .ي T1055
ن Process Injection
وتعتب عملية حقن العمليات من األساليب المتبعة من قبل المهاجمي حيث انها تعمل وكأنها عملية طبيعية وغب ضارة. ر
قد يقوم المهاجمي بحقن ( )libraries (DLLs dynamic-linkداخل العمليات وذلك من اجل رفع الصالحيات او التهرب من ن Dynamic-link Library
.001 T1055
االكتشاف .ان عملية حقن DLLتتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة Injection
48
ن البمجيات الجاهزة
حقن ر
المهاجمي بحقن ( )PEداخل العمليات وذلك من اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن PEتتم لتنفيذ قد يقوم
/
للعمل Portable .002 T1055
تعليمات ضارة ن يف بعض العمليات النشطة
Executable Injection
الت يتم اختطافها وذلك من اجل رفع الصالحيات او التهرب من البمجيات الضارة نف العمليات ر ن
المهاجمي بحقن بعض ر قد يقوم Thread Execution
ن ي ي .003 T1055
االكتشاف .ان عملية حقن ( )Thread Execution Hijackingتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة. Hijacking
البمجيات الضارة ن يف العمليات النشطة من خالل ( asynchronous procedure call (APCوذلك المهاجمي بحقن بعض ر ن قد يقوم Asynchronous
.004 T1055
من اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )APCتتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة. Procedure Call
البمجيات الضارة ن يف العمليات النشطة من خالل ( (thread local storage (TLSوذلك من اجل رفع المهاجمي بحقن بعض ر ن قد يقوم Thread Local
ن .005 T1055
الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )TLS callbackتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة. Storage
البمجيات الضارة ن يف العمليات النشطة من خالل ()processes via ptrace (process trace المهاجمي بحقن بعض ر ن قد يقوم
)system callsوذلك من اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )Ptrace system callتتم لتنفيذ تعليمات Ptrace System Calls .008 T1055
ضارة ن يف بعض العمليات النشطة.
عب استخدام ( )Procلملفات النظام وذلك من اجل رفع الصالحيات او التهرب من االكتشاف. المهاجمي بحقن برمجيات ضارة ر ن قد يقوم
ن Proc Memory .009 T1055
ان عملية حقن ( )Proc memoryتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة
عب استخدام ( )Extra windows memory EWMلملفات النظام وذلك من اجل رفع المهاجمي بحقن برمجيات ضارة ر ن قد يقوم Extra Window
ن .011 T1055
الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )EWMتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة Memory Injection
عب استخدام عمليات تم ايقافها وتسم ب ( )hollowed processesوذلك من اجل رفع المهاجمي بحقن برمجيات ضارة ر ن قد يقوم
ن Process Hollowing .012 T1055
الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )hollowed processesتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة
عب استخدام ( )process doppelgängingوذلك من اجل رفع الصالحيات او التهرب من المهاجمي بحقن برمجيات ضارة ر ن قد يقوم Process
ن .013 T1055
االكتشاف .ان عملية حقن ( )process doppelgängingتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة Doppelgänging
عب استخدام اختطاف او انتحال ( )VDSOوذلك من اجل رفع الصالحيات او التهرب من المهاجمي بحقن برمجيات ضارة ر ن قد يقوم
ن VDSO Hijacking .014 T1055
االكتشاف .ان عملية حقن ( VDSOاو )Virtual dynamic shared objectتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة
المهاجمي باستغالل وظائف الجدولة او ما يسم ب ( )Scheduled Task/Jobوذلك بهدف تنفيذ تعليمات برمجية ضارة من ن قد يقوم
ر ن ر ر ن
ه أداة متوفرة يف اكب أنظمة االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .ان ( )Scheduled Task/Jobي ي شأنها تأمي الوصول
البمجيات السكربتات عند تاري خ او وقت محدد .وتستطيع كذلك الجدولة عن بعد ن يف حال توفرت التشغيل وذلك بهدف جدولة تشغيل ر جدولة االعمال والمهام /
T1053
لديك الصالحيات المناسبة عل سبيل المثال للجدولة عن بعد ((and file and printer sharing in Windows ex: RPC Scheduled Task/Job
.))environmentsوعل االغلب ان جدولة االعمال عن بعد تستلزم وجود المستخدم ن يف مجموعة مدراء النظام او ان يكون لدى
المستخدم بعض الصالحيات العالية عل النظام البعيد.
المهاجمي باستغالل أداة جدولة االعمال نف نظام لينكس وتسم ( )atوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمين ن قد يقوم
ي
ر ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .ان االمر ( )atيتم استخدامه فقط من قبل مدراء النظام لجدولة االعمال الوصول بيئة لينكس )At (Linux / .001 T1053
ي
كما تم ذكره.
ن
قد يقوم المهاجمي باستغالل أداة جدولة االعمال يف نظام ويندوز وتسم ( )at.exeوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن بيئة ويندوز At /
ر تأمي الوصول االوىل او البقاء أطول ر ن .002 T1053
كبمجية تنفيذية هدفها جدولة االعمال المخبق .ان االمر ( )at.exeمتوفر ر فبة ممكنه داخل النظام ي )(Windows
49
لك تعمل ن يف وقت او تاري خ محدد .ويتطلب استخدام ( )at.exeتفعيل خدمة ( .)Scheduler Taskوان يتم استخدام احد لنظام ويندوز ي
الت ن يف مجموعة مدراء النظام. ر
الحسابات ي
ن
قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم ( )cronوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي الوصول ن
وه موجهه لنظام (.)Unix ر ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .ان االمر ( )cronتعمل حسب الوقت المحدد لها ي ي Cron .003 T1053
وتحتوي ( )crontabعل جدول االدخاالت الخاصة ب ( )cronواالوقات المراد تشغيلها به والمسارات المطلوب تفعيلها او الملفات
التنفيذية.
قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم ( )Launchd daemonوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن
ر ر ن
وه مسؤولة عن
ن االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق .ان االمر ( )Launchdموجهه لنظام ( .)macOSي ي تأمي الوصول
تحميل واداة الخدمات الخاصة بنظام التشغيل .ان عملية تحميل ن( )parametersلكل عملية تشغيل لل ( )Launchdتتم بشكل ي
خف
Launchd .004 T1053
ويتم قراءتها من قائمة مخصصة او ما تسم ب ( )plistو المتواجدة يف (System/Library/LaunchDaemons and /
.)/Library/LaunchDaemonsوتحتوي ( )LaunchDaemonsعل قائمة يتم اإلشارة لكل ملف تنفيذي والمسار الخاص به الذي
البمجية منه. سيتم تنفيذ ر
قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم ( )Windows Task Schedulerوذلك بهدف تنفيذ تعليمات برمجية ضارة ن
المخبق .توجد طرق متعددة للوصول اىل ( Windows Task ر فبة ممكنه داخل النظام تأمي الوصول االوىل او البقاء أطول ر ن من شأنها
ي ن جدولة االعمال /
ر
)Schedulerيف نظام ويندوز تستطيع الوصول لها بشكل مباش من سطر االوامر او من خالل الواجهة الرسومية الخاصة بأدوات مدراء . .005 T1053
Scheduled Task
المهاجمي بتفعيلها من خالل ( )NET wrapper.وقد يتم استخدام ( )netapi32ن يف ن وف بعض األحيان قد يقوم ن
النظام من لوحة التحكم .ي
المكتبات الخاصة بنظام ويندوز.
المهاجمي باستغالل أداة جدولة االعمال وتسم ( )systemd timersوذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها ن قد يقوم
ه عبارة عن ملفات بامتدادات يرمز ) systemd timers ( أداة . ق ر
المخب النظام داخل ممكنه ة ر
فب أطول البقاء او االوىل الوصول تأمي ن
ي ي Systemd Timers .006 T1053
والت يتم التحكم بالخدمات من خاللها و ( )systemd timersقد يتم استخدامه لتنفيذ االحداث الخاصة بالتقويم. ر
ن لها ب ( )timer.ي
ويمكن استخدامها كبديل ل ( )Cronيف نظام لينكس.
فبة ممكنه داخل النظام قد يقوم المهاجم باستغالل بيانات االعتماد للحسابات الفعالة وذلك بهدف الوصول االوىل او البقاء أطول ر
ي
لتخط عناض التحكم بالوصول يستخدم ر
المخبقة قد المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان بيانات االعتماد ر
ي
الت تم تطبيقها عل األنظمة والموارد الخاصة بالشبكة .وقد يتم استخدام هذه الحسابات للوصول لألنظمة عن ر حساب فعال Valid /
( )access controlsي T1078
ر
المخبقة ون او سطح المكتب البعيد من خالل المتصفح .وقد يتم استخدام بيانات االعتماد االلكب ن
ر يد
الب او VPN بعد او الخدمات مثل Accounts
ي ر
لتصعيد الصالحيات ألنظمة محدد او الوصول اىل منطقة حساسة داخل الشبكة المستهدفة .وقد يقوم المهاجم بتنفيذ عملياته الضارة
والت قد تؤدي اىل اكتشافه. ر ر
البمجيات الضارة ي المخبقة دون الحاجة اىل تبيث بعض ر ببيانات االعتماد
ر
االوىل او البقاء أطول فبة والت تمكنه من الوصول ر ن ر
ي قد يقوم المهاجم بالحصول عل بيانات االعتماد للحسابات االفباضية يف النظام ي
الت يتم انشاءها بشكل االفباضية ه ر المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان الحسابات ر ر ممكنه داخل النظام
ي ي اض /ر ن
تأن كذلك من األنظمة ر قد اضية ر
االفب الحسابات .
ز ويندو نظام ف ن ) Administrator او Guest ( حساب مثل األنظمة اض داخل ر ن حساب افب ي
ي ي افب ي Default Accounts
.001 T1078
والت قد تكون حساب مدير للنظام .ان حساب مدير النظام الخاص بخدمات ()AWS ر الخاصة ببعض العتاد من ر
الشكة المصنعة .ي ن
اض يف ()Kubernetes ر ن
وحساب الخدمات االفب ي
االوىل او البقاء والت تمكنه من الوصول ر ن حساب مدير النظام /
ي قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بمدراء النطاق ( )domain accountي .002 T1078
ر ر ر
والت يتم التحكم بها أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان حسابات مدراء النطاق ي Domain Accounts
50
والت من خاللها يتم إعطاء الصالحيات و التكوين لخدمات للنظام .ومن الممكن انر
من قبل ( )Service Active Directory Domainي
ن
مستخدمي او خدمات. تكون حسابات مدراء .النظام عبارة عن حسابات
االوىل او البقاء ر
والت تمكنه من الوصول ن
ي قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات المحلية ( )local accountي محل Local / حساب
ر
فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .الحسابات المحلية يتم اعدادها من قبل المنظمة أطول ر ي .003 T1078
Accounts
بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة و ادارتها.
والت تمكنه من الوصول المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات عل الخدمات السحابية ( )cloud accountر
ن قد يقوم
ي
. ر ر
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف حسابات الخدمات السحابية قد حساب الخدمات
ي
يتم انشاءها واعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة السحابية Cloud / .004 T1078
وادارتها او التطبيقات .قد يتم توحيد الحسابات الخاصة بالخدمات السحابية مع الحسابات ن يف النطاقات ( Window Active Accounts
)Directory
51
التهرب من االكتشاف Defense Evasion /
ر ن ً
االخباق باستخدام أساليب متعددة .وقد تشتمل تلك المهاجمي بالتهرب من االكتشاف بعد عملية التهرب من االكتشاف :غالبا ما يقوم
ن
وترمب البيانات والسكربتات .وقد يقوم العمليات عل الغاء تثبيت او تعطيل الخدمات/األجهزة/األنظمة/التطبيقات األمنية .او تشفب
ر ن
المهاجم باستغالل الثقة يف بعض العمليات المعروفة داخل النظام إلخفاء برمجياته الضارة .وبعض التقنيات ي
الت قد يستخدمها المهاجم
لتخريب الدفاعات.
52
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
قد يقوم المهاجم بالتالعب واستغالل آليات التحكم ن يف رفع الصالحيات للحصول عل صالحيات او أذونات اعل .وتحتوي
والت تهدف اىل رفع او التحكم ن يف الصالحيات لحساب او خدمة ي
معظم أنظمة التشغيل الحديثة عل آلية لتحكم نف الصالحيات ر
ي
اساءة استخدام ن
مبة رفع الصالحيات /
والت تكون ن يف معظم االحول من إعطاء صالحيات لبعض ي
محددة من اجل أداء المهام المطلوب تنفيذها عل النظام .ر Elevation Control Abuse T1548
المستخدمي للقيام بمهام حساسة وحرجة تتطلب صالحيات عالية .وقد يقوم المهاجم بطرق مشابه لالستفادة من طرق رفع ن Mechanism
الصالحيات المتوفرة مع النظام من اجل رفع الصالحيات الخاصة به.
ن
المهاجمي باستخدام ما يسم ب ( )shell escapesاو استغالل الثغرات يف التطبيقات مع ما يطلق عليه ( )setsuidاو ن قد يقوم
ن
مستخدمي اخرين .ان يف نظام (لينكس او ماك او اس). ن ن
( )setgid bitsوذلك بهدف الحصول عل كود ضار يعمل يف حسابات
تعي ( setuidاو )setgid bitsالحد التطبيقات ،سيعمل التطبيق بامتيازات المستخدم او المجموعة المستهدفة. عندما يتم ن
Setuid and Setgid .001 T1548
الحاىل .بغض النظر عن المستخدم المالك ي والحالة الطبيعية عند أي تشغيل التطبيق يتم تنفيذه بصالحيات المستخدم
ر
الت تحتاج اىل صالحيات للتطبيق او المجموعة .ومع ذلك هناك حاالت تحتاج بعض التطبيقات فيها اىل تنفيذ بعض الوظائف ي
حت وان كان المستخدم ال يمتلك تلك الصالحيات. عالية ر
بتخط آليات التحكم يف حساب المستخدم وذلك بهدف رفع الصالحيات عل النظام .نظام ويندوز يمتلك ن قد يقوم المهاجم ن
ي
ي
والت تقوم بتتبع سالمة عمليات ر
وه تسمح برفع الصالحيات ي ما يسم ب ( ))Windows User Account Control (UACي
والت ر
تأن التصعيد من الصالحيات األقل اىل األعل .وعادة ما يتم تنفيذ وتعديل والوصول تلك المهمة بصالحيات مدير النظام ر تخط صالحيات التحكم بالحسابات /
ي ي ي .002 T1548
ن
المستخدمي ان هذه المهمة تتطلب صالحيات عالية عل شكل (تبويب) للمستخدم لتأكيد عل العملية ،وذلك بهدف تنبيه User Account Control Bypass
وقد تقوم بالتأثب عل النظام وقد تتطلب ن ي
المحل ( Localاو )domainادخال كلمة المرور ي النظام اء ر مد من األحيان بعض ف ي
إلكمال اإلجراءات.
ن .
قد يقوم المهاجم بتنفيذ ( )and/or use the suoders sudo cachingلرفع الصاحيات قد يقوم المهاجمي بتنفيذ بعض
ن ر Sudo and Sudo Caching .003 T1548
لمستخدمي اخرين واالستفادة منها للحصول عل صالحيات اعل. الت من شأنها استدعاء بعض العمليات التابعة األوامر ي
المهاجمي من استخدام ( )AuthorizationExecuteWithPrivileges APIلرفع الصالحيات من خالل استخدام ن قد يقوم
الطلب من المستخدمي بيانات االعتماد الخاصة بهم .ان الهدف من استخدام ( ) APIهو إعطاء المطورين للتطبيقات طريقة ن Elevated Execution with
ً .004 T1548
سهله الجراء العمليات بصالحيات عالية جدا ،عل سبيل المثال تثبيت تطبيق او تحديث .حيث ان ( )APIال تقوم بالتحقق من Prompt
التطبيق الذى يطلب تلك الصالحيات هل هو تطبيق ضار او غب ضار او تم تعديله.
المهاجمي بتعديل ( )tokensللقيام بتنفيذ عمليات بحساب مستخدم اخر او حساب النظام ( )SYSTEMوذلك ن قد يقوم
الت قيد التشغيل .ويمكن للمستخدم بهدف تخط آليات التحكم .يستخدم نظام ويندوز ( )tokensلتحديد ملكية العمليات ر التالعب بالتوكن Access Token /
ي ي T1134
الت قيد التشغيل كما انها لو كانت تابعة لمستخدم اخر او تابعة لعملية أخرى ( child من التالعب ب ( )tokensلتظهر العملية ر Manipulation
ي
.)process of a differentوعند القيام بذلك تأخذ هذه العملية سياق األمان المرتبطة ب ( )tokensالجديد الذي تم ربطه به.
تخط آليات التحكم. المهاجمي بانتحال او بتكرار ( )tokenالخاص بمستخدم أخرى وذلك بهدف رفع الصالحيات او ن قد يقوم
ي Token Impersonation/Theft .001 T1134
المهاجمي يستطيعون انشاء وتكرار ( )tokenالموجود باستخدام ( .))DuplicateToken(Exويمكن بعد ذلك ن
53
معين والت تسمح باستدعاء ( )thread ر
استخدام( )tokenالمكرر لعملية تسم ب ( )ImpersonateLoggedOnUserي
وانتحال صفة مستخدم مسجل دخوله اىل النظام .او استخدام ( )SetThreadTokenلتعينه وربطه ب ( )threadمخصص.
ن
للمهاجمي تخط آليات التحكم .يمكن المهاجمي بإنشاء عملية جديدة او تكرار ( )tokenبهدف رفع الصالحيات او ن قد يقوم
ي
من تكرار ( )tokenباستخدام ( DuplicateToken(Exو يستخدمها مع CreateProcessWithTokenWبهدف انشاء Create Process with Token .002 T1134
ن ً
عملية جديدة تحت المستخدم المنتحل .هذه الطريقة مفيدة جدا إلنشاء العمليات تحت حسابات مستخدمي اخرين.
تخط آليات التحكم .ن يف حال كان لدى المهاجم اسم ي المهاجمي بإنشاء او انتحال ( )tokensبهدف رفع الصالحيات او ن قد يقوم
مستخدم وكلمة مرور ولكن المستخدم لم يقم بتسجيل الدخول للنظام ،فيمكن للمهاجم من انشاء جلسة ()Session
Make and Impersonate Token .003 T1134
للمستخدم باستخدام وظيفة ( .)LogonUserهذه الوظيفة ستقوم باستعادة نسخة من رمز ( )tokensالخاصة بالجلسة
ويقوم المهاجم بعد ذلك باستخدام ( )SetThreadTokenلربط ( )tokensب ( )threadمخصص.
التخف من ن المهاجمي بانتحال ( ))identifier (PPID parent processلعملية جديدة ( )New processبهدف ن قد يقوم
ي
ر
عملية (مراقبة العمليات) او لرفع الصالحيات .وعادة ما يتم انشاء العمليات الجديدة مباشه من بواسطة ( parentاو )calling
ن
عب استدعاء ه ر مالم يتم تحديد مكان االستدعاء بشكل واضح .ان أحد الطرق لتعيي ( )PPIDبشكل واضح لعملية جديدة ي
( ،)call CreateProcess APIوالذي يدعم ( )parameterلتحديد ( )PPIDومن ثم استخدامه .يتم استخدام هذه الوظيفة Parent PID Spoofing .004 T1134
والت تقوم بتصحيح عملية ( )PPIDبعد عملية نف نظام ويندوز بواسطة ( )Windows featuresعل سبيل المثال ( )UACر
ي ي
والت تتم عادة من خالل ( svchost.exe or ر
تلك العملية واستدعائها بواسطة ( )SYSTEMي ً
طلب رفع صالحية
)consent.exeبدال من استخدام صالحيات المستخدم نفسه.
تخط آليات التحكم .ان ( Windows ي قد يقوم المهاجم باستخدام ( )Injection SID-Historyبهدف رفع الصالحيات او
))identifier (SID securityهو قيمة فريدة تستخدم لتعريف حسابات (المستخدم/المجموعة) .ان ( )SIDتستخدم بواسطة
تقنيات األمان ن يف نظام ويندوز وكذلك تقنية ( .)Tokensحيث يمكن للحساب االحتفاظ ب ( )SIDن يف ( SID-History Active SID-History Injection .005 T1134
والت تسمح باستخدام/تبادل الحسابات/المعلومات بين والت تسمح بعملية تسم ب ( )inter-operableر )Directoryر
ي ي
تضمي جميع القيام الخاصة ب ( )tokens accessن يف (.)SID-History ن النطاقات ( .)Domainsعل سبيل أمثال (
الت يخلفها المهاجم. ر ن
قد يقوم المهاجمي باستخدام وظائف ( )BITSلتنفيذ تعليمات برمجية ضارة او استخدامها لمسح االثار ي
ه عبارة عن آلية لنقل الملفات بشكل غب ان خدمة ( )Windows Background Intelligent Transfer Service (BITSي
مبامنة وذات نطاق ترددي منخفض ويتم استعراضها من خالل ( .)COMويتم استخدام ( ) BITSبشكل شائع من قبل رن
ن المر ن وظائف BITS Jobs T1197
اسلي ( )messengersاو أي تطبيق يفضل العمل يف الخلفية ويستخدم ( )idle bandwidthمن غب مقاطع أي
ر
والت تحتوي عل قائمة انتظار لملف بروتوكول أخرى يعمل بالشبكة .ويتم تنفيذ مهام نقل الملفات من خالل وظائف ( ،)BITSي
اكب من ملف. واحد او ر
التخف من االكتشاف او ن الت يقوم بها وذلك بهدف ر ن
ي قد يقوم المهاجم باستخدام تقنيات من شأنها ترمب وتشفب الهجمات ي فك ر
الب ن
مب من الملفات او
ن ر
والت قد تحتاج اىل برمجيات او طرق خاصة لعكس العملية وفك البمب او التشفب .وقد يستخدم تصعيب عملية التحليل ،ر
ن ي المعلومات Deobfuscate/Decode T1140
البمجية الضارة او قد يقوم باستخدام احد والت قد تكون مدمجة مع ر ر ر ن
المهاجمون طرق متعددة يف عملية البمب او التشفب ي Files or Information
الت تكون متاحة مع النظام المستهدف. ر
الخدمات ي
قد يقوم المهاجمون بتثبيت المستودعات داخل المنظمة المستهدفة بهدف تنفيذ بعض االوامر الضارة او لتفادي االكتشاف. تثبيت المستودعات Deploy /
ن T1610
البمجية المرتبطة ببعض العمليات وف بعض االحيان يقوم المهاجم بتثبيت أحد المستودعات بهدف تنفيذ بعض التعليمات ر ي Container
54
البمجية الضارة .وقد يقوم المهاجمون بتثبيت مستودع جديد من غب اعدادات او قواعد او تبيل او تفعيل ر الضارة مثل ن ن
ن
صالحيات وذلك لتفادي بعض اجهزة وانظمة الحماية المتوفرة يف المنظمة.
لتخط الصالحيات واالذونات المرتبطة بالملفات او لتفادي مباش وذلكقد يقوم المهاجم بالوصول اىل القرص الصلب بشكل ر
ي
التر مباش .يمكن ر مباش لألقراص الصلبة بشكل ر للبامج بالوصول بشكل ر أنظمة المراقبة .ان نظام ويندوز يسمح ر ر
المباش للقرص Direct /
للبمجيات ي الوصول
T1006
تخط أنظمة المراقبة المباش من قراءة وكتابة من تجاوز عناض التحكم المرتبطة بالملفات وكذلك ر تملك صالحيات الوصول Access Volume
ي
الموجودة عل الملفات.
التخف داخل الشبكة او تصعيد ن المهاجمي بتعديل االعدادات الخاصة بتكوين النطاقات ( )domainوذلك بهدف ن قد يقوم
ي الصالحيات ن
الت يعمل بها النطاق ( )domainتسمح له بالتحكم باألنظمة والتقنيات وكذلك ر التقنية ان . المستهدف النطاق ف
ي ي
والمستخدمي بالتواصل ،حيث يقوم بحوكمتها حسب ن المستخدمي داخل هذا النطاق وكيف تقوم هذه األجهزة واألنظمة ن Domain Policy Modification T1484
ن ن
الحاجة .والسياسة الخاصة بهذه النطاقات تحتوي عل اعدادات التواصل ما بي النطاقات والنطاقات الفرعية وما يف حكمها.
بي النطاقات المرتبطة به. وقد تتضمن التعديالت عل السياسة الخاصة بالنطاق ( ) GPOsتغب عل مستوى العالقة ما ن
المهاجمي بتعديل االعدادات الخاصة بتكوين مجموعة سياسة النطاقات ( )GPOsوذلك بهدف تصعيد الصالحيات ن قد يقوم
ن يف النطاق المستهدف .تسمح سياسة النطاقات ( )GPOsبتعديل و إدارة المستخدمي او األجهزة من خالل ( Active
ن
ر Group Policy Modification .001 T1484
والت تستطيع الوصول لها من خالل تعتب مستودع لإلعدادات الخاصة بسياسة النطاقات ي .)directory ADوكما انها ر
(\<) Policies >DOMAIN<\SYSVOL\>DOMAIN
\ \
ن
بي النطاقات او تعديل خصائص ثقة سابقة يف النطاق المستهدف ،وذلك المهاجمي بإضافة خاصية الثقة ( )trustsن ن قد يقوم
ن
التخف داخل الشبكة .تسمح تفاصيل الثقة يف النطاق او ( )trustsبمعرفة اذا كان هناك عالقة ما ن او الصالحيات تصعيد بهدف
ي
ر ن
بي نطاقي مختلفي ،وكذلك خصائص المصادقة والتخويل ما بي النطاقات ومعرفة الموارد المشبكة ما بينهم .وبقد تتضمن ن ن ن Domain Trust Modification .002 T1484
الثقة ما بي النطاقات معلومات عن الحسابات وبيانات الدخول ووسائل المصادقة المستخدمة عل الخوادم ن
والرموز(.)tokens
والت تختلف باختالف طريقة كتابة اآللية من قبل المهاجم وكذلك ر ن
تكون تستهدف نظام محدد وذلك لتقليل لفت االنتباه للبمجية فن قد يقوم المهاجمي بتنفيذ تعليمات برمجية ( )guardrailsي
ي ر البيئة المستهدفة والهدف منها .حيث ان ( )guardrailsقد
ر Execution Guardrails T1480
والت قد تتضمن أسماء لشبكات حال تم تحميلها من قبل أنظمة أخرى غب مستهدفة .وقد يستخدم المهاجمون معايب محددة ي
او مجلدات مشاركة او عناوين ألنظمة محددة او اسم نطاق محدد ( )Active Directoryاو عناوين داخلية او خارجية.
وتالف االكتشاف ن ن
التخف قد يقوم المهاجم باستخدام ما يسم ب ( )environmentally keyاو برمجية ضارة وذلك بهدف
ي ي
معي داخل الجهة المستهدفة .ان آلية ( )key environmentallyتستخدم طرق مشفرة ن حينما يكون الهجوم موجهة لنظام
ً ن
الت تحدث ف البيئة ر لتنفيذ األوامر حسب المتغبات ر Environmental Keying .001 T1480
والت تم برمجيتها سابقا من قبل المهاجم بناء عل معرفة مسبقة من قبل ي ي ي
بالبيئة الخاصة بالمستهدفة.
تخط الحماية تحدث عندما يقوم المهاجم باستغالل لتخط الحماية، باخباق األنظمة والتطبيقات المهاجمي ر
ن قد يقوم
ن ي ي ن Exploitation for Defense
البنامج او أنظمة التشغيل او النواة .وقد توجد بعض الثغرات األمنية يف برامج الحماية ف خطاء وجود عن تحدث التر
ي ر الثغرات ي Evasion
T1211
البمجية. نفسها تسمح للمهاجم بتنفيذ تعليماته ر
قد يقوم المهاجم بتعدي الصالحيات الخاصة بملف او مجلد محدد وذلك لتفادي سياسة التحكم ن يف الوصول ( )ACLs
File and Directory
والوصول للملفات المحمية .ان صالحيات الوصول للمجلدات والملفات المحمية عادة تدار بواسطة ACLsويتم اعدادها T1222
Permissions Modification
بواسطة مدير النظام او المالك للملف او المجلد .تختلف وسائل تطبيق آليات التحكم ن يف الوصول للملفات والمجلدات
55
ر
والت يمكن له او يمكن لهم تنفيذ باختالف النظام .ولكنها يم تحديدها بشكل ضي ح اما لمستخدم محدد او مجموعة محدده ي
اإلجراءات مثل ( القراءة ،الكتابة ،التنفيذ ،الخ)..
ن
قد يقوم المهاجم بتعدي الصالحيات الخاصة بملف او مجلد محدد وذلك لتفادي سياسة التحكم يف الوصول ( )ACLs
تعديل صالحيات الملفات والمجلدات
والوصول للملفات المحمية .ان صالحيات الوصول للمجلدات والملفات المحمية عادة تدار بواسطة ACLsويتم اعدادها
للويندوز Windows File and /
بواسطة مدير النظام او المالك للملف او المجلد .تختلف وسائل تطبيق آليات التحكم ن يف الوصول للملفات والمجلدات .001 T1222
ر Directory Permissions
والت يمكن له او يمكن لهم تنفيذ باختالف النظام .ولكنها يم تحديدها بشكل ضي ح اما لمستخدم محدد او مجموعة محدده ي Modification
اإلجراءات مثل ( القراءة ،الكتابة ،التنفيذ ،الخ)..
ن
قد يقوم المهاجم بتعدي الصالحيات الخاصة بملف او مجلد محدد وذلك لتفادي سياسة التحكم يف الوصول ( )ACLs
تعديل صالحيات الملفات والمجلدات
والوصول للملفات المحمية .ان صالحيات الوصول للمجلدات والملفات المحمية عادة تدار بواسطة ACLsويتم اعدادها
لينكس Linux and Mac File /
بواسطة مدير النظام او المالك للملف او المجلد .تختلف وسائل تطبيق آليات التحكم ن يف الوصول للملفات والمجلدات .002 T1222
ر and Directory Permissions
والت يمكن له او يمكن لهم تنفيذ باختالف النظام .ولكنها يم تحديدها بشكل ضي ح اما لمستخدم محدد او مجموعة محدده ي Modification
اإلجراءات مثل ( القراءة ،الكتابة ،التنفيذ ،الخ)..
ر ن
تأن بوظائف لك ال يتم اكتشافهم .حيث ان بعض األنظمة ي قد يقوم المهاجمي بإخفاء االنشطة الخاصة بهم داخل األنظمة ي
المهاجمي عل إخفاء تلك االحداث واألنشطة ،مثل إخفاء ملفات الخاصة بالنظام او بعض المهام الخاصة بمدراء ن تساعد
ن ن ن اخفاء االدلة Hide Artifacts / T1564
.
النظام من اجل ان ال يقوم المستخدمي بالعبث بها وهذه المبة قد تمكن المهاجم من استغاللها يف إخفاء األنشطة الخاصة
بهم.
المبة تمكن من التخف من االكتشاف .حيث ان هذه ن ن بهدف المجلدات او الملفات لبعض إخفاء بعملية ن
المهاجمي يقوم قد
ي
إخفاء الملفات من عرضها عند قيام المستخدم بزيارة ملف محدد من خالل واجهة العرض الرسومية .وقد يحتاج المستخدمون اخفاء الملفات او المجلدات /
.001 T1564
لك تظهر لهم .او من خالل سطر األوامر استخدام ( dir /aلنظام ويندوز) و (ls -a تفعيل خيار مشاهدة الملفات المخفية ي and Directories Hidden Files
لنظام لينكس وماك او اس).
حديثا لك يتفادى عملية االكتشاف .حيث ان لكل مستخدم فن ً ن ن
ي ي قد يقوم المهاجم بإخفاء بعض المستخدمي الذين تم انشاءهم المستخدمي Hidden / اخفاء
.002 T1564
نظام ماك او اس لديه معرف فريد مرتبط به ،حيث عند انشاء أي مستخدم تستطيع مشاهدة المعرف الفريد الخاص به. Users
والت عادة ما تكون هذه النوافذ ضارة ،ويمكن إخفاء النوافذ ن ر
قد يقوم المهاجم بإخفاء بعض النوافذ المفتوحة عن المستخدمي ي اخفاء النوافذ Hidden Window / .003 T1564
ن
الت يتم عرضها عند فتح التطبيق ،والهدف من اخفاءها لتجنب من ازعاج المستخدمي وتشتيت انتباههم. ر
ي
المهاجمي ( )NTFSإلخفاء األنشطة الضارة الخاصة بهم ،جميع عمليات ()New Technology File System ن قد يستخدم
ن
تحتوي عل جزء خاص بها يحتوي عل Master File Table MFTوالذي يحتوي عل سجل لكل ملف او مجلد يف هذا
الجزء .حيث ان لكل مدخل له الجزء الخاص به مع تقنية MFTعل سبيل المثال Extended Attributes EAو known as NTFS File Attributes .004 T1564
والت تستخدم لتخزين ر
one Data attribute is present Alternate Data Streams ADSs when more thanي
البيانات.
. ن
قد يقوم المهاجم بإخفاء الملفات الخاصة بالنظام وذلك بهدف إخفاء األنشطة الضارة عن المستخدمي وأجهزة الحماية ان
ر ن
والت عادة ما يتعامل أنظمة التشغيل توضح الهيكلة لتخزين البيانات والوصول لها عند تخزينها يف القرص الصلب .ي اخفاء ملفات النظام Hidden File /
والت تعد بمثابة وسيلة ر ن
المستخدمي مه نظام الملفات من خالل تطبيقات تسمح له بالوصول لتلك الملفات والمجلدات ،ي System
.005 T1564
.
للوصول لجزء معي من القرص الصلب ومن امثله هذه األنظمة AT, NTFS, ext4, and APFSوبعض األنظمة األخرى قد ن
تشمل عل .NTFS Volume Boot Record (VBR) and Master File Table (MFT) in
56
اض وذلك لتجنب االكتشاف من النظام ر ن ن
قد يقوم المهاجمي بتنفيذ تعليمات برمجية ضارة من خالل استخدام نظام نافب ي
ر
األساس .ان األنظمة االفباضية الفرعية أصبحت مشهورة وتستخدم بكبه يف المؤسسات وتختلف طريقة االتصال بالشبكة
. ر
ي Run Virtual Instance .006 T1564
اض وهل تم استخدامها bridged adapterوغبه ،ان الخاصة بالمنظمة المستهدفة حسب طريقة عمل النظام ر
االفب ن
ي
االفباضية قد تكون صعبه االكتشاف. الت تنشأ من األنظمة ر ر
البيانات الشبكية ي
والت قد يتم تضمينها من ر
قد يقوم المهاجم بإخفاء بعض الملفات الضارة مثل )Visual Basic for Applications (VBAي VBA Stomping .007 T1564
بي النصوص الغب ضارة. ضمن ملفات مايكروسوفت اوفيس .وقد يقوم المهاجم بإخفاء VBAما ن
البمجية الضارة ،وذلك بهدف البقاء داخل الشبكة أطول ر
فبة البامج لتنفيذ تعليماتهم ر باعباض تشغيل ر المهاجمي ر
ن قد يقوم
ن انتحال مجال التنفيذ Hijack /
تخط القيود عل التنفيذ او التحكم بطريقة عمل ي ف ي الهجمات هذه مثل المهاجم يستغل وقد الصالحيات تصعيد او ممكنه T1574
Flow Execution
التطبيقات داخل النظام.
البمجية الضارة ،DLLsوذلك بهدف البقاء باعباض طلبات البحث ( )search orderلتنفيذ تعليماتهم ر المهاجمي ر ن قد يقوم
ن
داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات .ان نظام ويندوز يستخدم طريقة شائعة يف عملية البحث عن مكتبات ر DLL Search Order Hijacking .001 T1574
المبة لتنفيذ اغراضهم الخبيثة. المهاجمي هذه ن
ن البامج او التطبيقات .وقد يستخدم ن
DLLالمطلوب تحميلها يف احد ر
المهاجمي بتحميل مكتباتهم ( )DLLالضارة للنظام .وتتشابه هذه الهجمة مع الهجمة السابقة (DLL Search Order ن قد يقوم
ر
.)Hijackingويختلف ( )side-loadingعنه انه يقوم بتحميل تلك DLLبدل من زرعها ضمن البتيب الخاص بالبحث عن
DLL Side-Loading .002 T1574
DLLثم انتظار النظام او الضحية من استدعائها .وقد يقوم المهاجمون بهذه الطريقة من خالل زرعها ثم يقوم المهاجم
باستدعائها من خالل برمجيات معتمدة وغب ضارة.
قد يقوم المهاجم بتنفيذ تعليماته ال ربمجية الضارة من خالل وضعها داخل ( ))dynamic library (dylibمع اسم متوقع من
التطبيق المراد استهدفه ان يقوم بتشغيلها .ان ( ))dynamic library (dylibستقوم بالبحث ومحاولة إيجاد ( )dylibبناء عل
ر ر
الت تؤدي اىل( )dylibمسبوقة التسلسل للمسارات/االمتدادات الخاصة بعمليات البحث .وقد تكون المسارات ي ي البتيب
الت تسمح للمطورين بتحديد مجموعة المسارات الخاصة بالبحث وقت التنفيذ .وباإلضافة اىل ر
ه ي ب (@ .)rpathو(@ )rpathي Dylib Hijacking .004 T1574
البنامج بتنفيذ التعليمات ذلك اذا لم يتم ربطها بالشكل المناسب مثل استخدام ( .)LC_LOAD_WEAK_DYLIBسيستمر ر
حت ن يف حال عدم وجود( )dylibالمتوقع .مما يتيح للمطورين من تشغيل تطبيقاتهم عل إصدارات متعددة من ( )macOSمع ر
إضافة واجهات برمجة تطبيقات جديدة (.)API
اعباض او شقة ( )binariesالمستخدم ن يف عملية التثبيت. البمجية الضارة من خالل ر المهاجمي بتنفيذ تعليماتهم ر ن قد يقوم
ن .
تلقان من خالل تنفيذ بعض ( )binariesمن اثناء عملية التثبيت يف حال كانت الصالحيات وقد تتم هذه العملية بشكل
ي Executable Installer File
الت تحتوي عل ( )binariesالمستهدف ن يف العملية .او الصالحيات/االذونات الخاصة ي
/االذونات الخاصة بمجلدات النظام ر .005 T1574
Permissions Weakness
بنفس ( )binariesتم اعدادها بشكل غب صحيح .فقد يقوم ( )binariesبإعادة كتابة نفسه فوق ( )binariesاخر باستخدام
والت قد تتضمن صالحيات (.)SYSTEM ر ن ن
وف بعض األحيان قد يعمل يف اعل صالحيات ي االذونات والصالحيات الممنوحة له .ي
البمجية الضارة من خالل اختطاف/شقة المتغبات( )Variablesن يف البيئة من المهاجمي بتشغيل وتنفيذ تعليماتهم ر ن قد يقوم
ر
خالل استخدام ( )dynamic linkerإلضافتها للمكتبات المشبكة او ما يسم ب ( .)libaraies Sharedمن خالل عمليات
ر
المشبكة من البنامج .ويقوم ( )linker dynamicبتحميل مسارات الخصائص البيئية للمكتبات التحضب لتنفيذ او تشغيل ر Dynamic Linker Hijacking .006 T1574
خالل المتغبات البيئية ( )environment variablesوالملفات مثل ( )LD_PRELOADن يف نظام لينكس او
ً
اوال ،ر ر ن
حت يتم أعطاها الت تم تحديدها ( )DYLD_INSERT_LIBRARIESيف نظام .MacOsيتم إعطاء أولوية تحميل المكتبات ي
57
الوظيف .وعادة ما يتم استخدام هذه المتغبات من قبل المطورين لتصحيح ن الت لها نفس االسم ر
ي أولوية عل مكتبات النظام ي
األخطاء دون الحاجة اىل عمل ( .)recompileويتم تنفيذ وظائف مخصصة دون الحاجة اىل تغب أي من المكتبات االصلية.
الت يتم ر البمجية الضارة من خالل اختطاف/ ن
شقة المتغبات ( )variablesي المهاجمي بتشغيل او تنفيذ تعليماتهم ر قد يقوم
تحميلها ن يف المكتبات .قد يقوم المهاجم بوضع برنامجه من المقدمة يف القائمة المخزنة يف مسارات البيئة ( PATH
ن ن Path Interception by PATH
ر .007 T1574
تسلسل باستخدام قائمة ي والت سيقوم نظام التشغيل ويندوز بتشغيله عند عملية البحث بشكل .)environment variableي Environment Variable
والت يتم استدعائها من خالل سكربت او سطر األوامر. ر
( )PATHي
المفبض انه ر البمجية الضارة من خالل اختطاف ترتيب البحث والذي من المهاجمي بتشغيل او تنفيذ تعليماتهم ر ن قد يقوم
ً
تستدع برامج أخرى باستخدام قائمة ( ،)PATHقد يقوم المهاجم بوضع ملفاته ي ال امج الب
ر بعض ان ا
ر ونظ .اخر نامج ر ب يستدع
ي Path Interception by Search
ر ر ن .008 T1574
والت سيتسبب بجعل النظام بتشغيل برنامجه الضار بسبب استدعاء برنامج البمجيات منها .ي لت سيتم استدعاء ر يف القائمة ا ي Order Hijacking
اخر له.
البمجية الضارة من خالل اختطاف المراجع الخاصة بالملفات .قد يستغل المهاجمي بتشغيل او تنفيذ تعليماتهم ر ن قد يقوم
Path Interception by
البمجية التنفيذية ن يف اعل والت من خاللها يقوم بوضع تعليماته ر ر
المهاجم ن المسارات الغب محدده بعالمات االقتباس ("") ي .009 T1574
ر Unquoted Path
والت عندما يقوم نظام التشغيل الويندوز باالختيار من القائمة سيقوم بتشغيله. القائمة يف ( .)PATHي
الت يتم استخدامها من قبل ر البمجية الضارة من خالل اختطاف /شقة ( ن
)binariesين
المهاجمي بتشغيل تعليماتهم ر قد يقوم
الخدمات .يستغل المهاجمي سب العمل ( )Flawsالخاصة بالصالحيات لنظام الخدمات يف الويندوز الستبدال ()binaries ن
تلقان بواسطة ( )binariesمخصص لتنفيذ الت يتم تنفيذها عند تنفيذ الخدمات .وبعض الخدمات قد يتم تفعيلها بشكل ر Services File Permissions
ي ي .010 T1574
وظيفة محددة .اذا تم تحديد الصالحيات المجلد الذي يحتوي عل ( )binariesالمستهدف او الصالحيات عل ()binaries Weakness
والت قد تكون صالحيات ر ن
بذاته ،فقد يقوم المهاجم بالكتابة فوقة بالصالحيات الممنوحة له يف المجلد او ( )binariesبذاته ي
الت تسمح له بهذا العمل والتنفيذ. ر
عالية او صالحيات النظام ( )SYSTEMي
البمجية الضارة من خالل اختطاف /شقة مدخالت ( )Registryالمستخدمة من قبل المهاجمي بتشغيل تعليماتهم ر ن قد يقوم
الخدمات ن يف النظام .يستغل المهاجمي سب العمل ( )Flawsالخاصة بالصالحيات لنظام لل ( )Registryيف الويندوز العادة
ن ن
والت يستخدمها لتشغيل االكواد الضارة من خالل الخدمات. ر ر
الخاصة بها فن الت يتحكم بها .ي للبمجيات ي البمجية األصلية ر تنفيذ التعليمات ر
ي ويقوم نظام ويندوز بحفظ الخدمات المحلية واالعدادات Services Registry Permissions
.011 T1574
الت يتم تخزينها ن يف ( )Registry keysقد يتم التالعب ي
( )HKLM\SYSTEM\CurrentControlSet\Servicesوالخدمات ر Weakness
والت من شأنها ات تقوم بتشغيل أدوات او تنفيذ تعليمات برمجية او ر
ن بها او تعديلها لجعلها تقوم بتنفيذ الخدمات نالضارة ي
تشغيل PowerShellاو .Regويتم التحكم يف الوصول اىل ( )Registry keysمن خالل قوائم التحكم يف الوصول واالذونات
(.)Access Control Lists and permissions
البنامج والتر / ر ن ن
ي والت قد تؤدي اىل اختطاف شقة آلية عمل ر قد يستغل المهاجمي المتغبات يف البيئة ل ( )COR_PROFILERي
ر ن
والت تسمح للمطورين ه احد الممبات الطار ( )Framework NET.ي تقوم بتحميلها اىل NET CLR.ان ( )COR_PROFILERي COR_PROFILER .012 T1574
بتحديد ملفات التعاريف DLL/External .NETالغب مدارة ( )unmanagedليتم تحميلها ن يف كل عملية من عمليات NET .
الت يتم تنفيذها بواسطة .NET CRL. ر .CLRوتم إيجاد وتصميم ملفات التعريف لمراقبة وتصحيح األخطاء ر
البمجية ي
التخف من ن بهدف وذلك ضارة برمجية تعليمات لتنفيذ البمجيات للمستهدف قد يقوم المهاجم بتعديل بعض الخصائص او ر
ر ي ن
التخف من آليات الحماية من االخباقات ي االكتشاف او تعطيل وسائل الحماية ،وهذه األساليب ال تشتمل عل محاولة تعطيل او Impair Defenses T1562
ً
مثل جدران الحماية ومكافح الفايروسات ،بل لديها ايضا القدرة عل االطالع عل الوسائل الدفاعية لدى الجهة المستهدفة
58
البمجيات واالنظمة ر ر
تأن مع النظام ن التخف منها .وهذه األساليب المستخدمة من قبل ن
الت ي ي المهاجمي تستهدف ر ي ومحاولة
الت يتم تركيبها بواسطة مدراء الشبكة. األساس او ر
ي ي
البمجيات الخاصة التخف من االكتشاف ،وقد يقوم المهاجم بتعطيل ر ن بهدف وذلك الحماية أدوات بتعطيل المهاجم يقوم قد
ي ادوات تعديل وتعطيل Disable or /
بالحماية او تعطيل خدمات تسجيل االحداث .او مسح السجالت او تعطيلها من خالل ( ) registryوذلك لضمان عدم عودتها .001 T1562
Tools Modify
للعمل مره أخرى ،وهذا يشمل أي أدوات من أدوات الحماية والمراقبة والمسح واالستطالع.
قد يقوم المهاجم بتعطيل مسجل االحداث الخاص بنظام ويندوز وذلك بهدف تقليل مدى التغطية لألنظمة المستهدفة
ر تعطيل مسجل االحداث ن يف الويندوز /
الت تتم عل النظام مثلوالتهرب من االكتشاف .ان نظام تسجيل االحداث الخاص بنظام ويندوز يقوم بتسجيل األنشطة ي Windows Event Disable .002 T1562
ومحلل االمن
ي عمليات تسجيل الدخول ،انشاء العمليات وغبها .ويتم استخدام هذه االحداث لتدقيق من قبل أنظمة الحماية
ر ن Logging
ان لرصد األنشطة الضارة. السيب ي
ن ن
التخف من االكتشاف والرصد ،حيث ي مج مسجل االحداث ( )command historyوذلك بهدف قد يقوم المهاجمي بتعطيل /ي Impair Command History
.003 T1562
بمج تلك األوامر من سجل االحداث. ي يقوم المهاجم بإرسال أوامر ضارة ومن ثم يقوم Logging
الت تم وضعها فن التخف وتخط ضوابط التحكم ر ن قد يقوم المهاجم بتعطيل جدران الحماية الخاصة باألنظمة وذلك بهدف
ي ي ي ي تعديل او تعطيل انظمة جدران الحماية
ن
المهاجمي النظام .ان حدوث تغبات عل جدران الحماية قد تؤدي اىل تعطيله او تعطيل آلية العمل الخاصة به .وقد يقوم
Disable or Modify System / .004 T1562
بتعطيل او حذف بعض القواعد الخاصة بجدران الحماية او تعديلها .وقد يقوم المهاجم بهذا العملية بطرق متعددة من خالل
Firewall
األوامر او واجهة رسومية.
التخف من االكتشاف ،وقد يقوم بها بطرق متعددة ن بهدف وذلك التسجيل عملية من االحداث منع او بتعطيل قد يقوم المهاجم
ي
.
من خالل التعطيل او من خالل إعادة التوجيه ألنظمة ال تقوم بتسجيل االحداث عل سبيل المثال نظام تسجيل االحداث
الت تقوم بجمع هذه االحداث .وقد يقوم ر
الخاص ب ( )Event tracing for windows ETWوذلك بواسطة تعديل االعدادات ي Indicator Blocking .006 T1562
المهاجم بتعديل مسجل االحداث بطرق مختلفة اما من تعديل ملفات مرتبطة مع سجالت االحداث او من خالل ()Registry
او من خالل واجهة مدراء النظام او من خالل استخدام PowerShellن يف نظام ويندوز.
تعديل او تعطيل جدران الحماية
تخط صالحيات الوصول اىل
ي بتخط او تعديل جدران الحماية الخاصة بالخدمات السحابية وذلك بهدف
ي قد يقوم المهاجم
للخدمات السحابية Disable or / .007 T1562
الخدمات السحابية.
Modify Cloud Firewall
قد يقوم المهاجم بتعطيل خدمات تسجيل االحداث الخاصة بالخدمات السحابية وذلك بهدف منع عمليات تسجيل االحداث تعطيل السجالت للخدمات الحسابية
ن ر .008 T1562
التخف من عمليات الرصد واالكتشاف.
ي الت يقوم بها المهاجم وذلك بهدفي Cloud Logs Disable /
ن
قد يقوم المهاجم بمسح او انشاء احداث وهمية عل النظام المستهدف ،بما يف ذلك السجالت الخاصة باألحداث او الملفات
الت تم تصنيفها انها ضارة .وقد تختلف عمليات التسجيل لألحداث واألنظمة حسب النظام .مثل أنظمة ويندوز ولينكس وماك ر Indicator Removal on Host T1070
ي
او اس .وهنا مسار الخاص ألنظمة لينكس ()*/var/log/
لك ال يتم اكتشافها .ان المشبوهة األنشطة إخفاء بهدف وذلك ويندوز ن
المهاجمي بمسح االحداق الخاصة بأنظمة قد يقوم
ي ن
الت تتم عل النظام وتقوم بالتنبيه والتحذير بناء عل النشاط. ر مسح السجالت من نظام ويندوز/
مسجل االحداث يف نظام ويندوز يقوم بتسجيل جميع االحداث ي .001 T1070
وه
ي االحداث أنواع من أنواع ٥ شكل عل النظام) التطبيقات، وه (الحماية،
وهناك ثالث أنواع من أنواع مصادر تلك االحداث ي Event Logs Clear Windows
(خطا ،تحذير ،معلومات ،تم التدقيق بشكل سليم ،وفشلت عملية التدقيق)
59
لك ال يتم ن
قد يقوم المهاجمي بمسح االحداق الخاصة بأنظمة لينكس ،ماك او اس وذلك بهدف نإخفاء األنشطة المشبوهة ي مسج السجالت من نظام لينكس
. ن
النظامي يقومان بحفظ التحركات واألنشطة الخاصة بالنظام والمستخدمي يف سجل االحداث ومعظم سجالت ن اكتشافها. وماكor Mac Clear Linux .002 T1070
الت بداخله.ر ن
االحداث يتم حفظها يف /var/log/وهناك تقسيمه داخل هذا المجلد يعكس الوظائف الخاصة بالسجالت ي System Logs
لك ال يتم اكتشافه قد يقوم المهاجم بمسج سجل ر مسج سجل االحداث من Clear /
الت قد يقوم بها المهاجم من مسح سجالت االحداث ي باإلضافة للعمليات ي .003 T1070
لك ال يتم اكتشاف ما تمت كتابته من أوامر للنظام ر
التاري خ الخاص بسطر األوامر للنظام المخبق ي Command History
لك ال يتم اكتشافها من قبل أنظمة وبرمجيات الحماية وعادة ما تكون تلك ي بالهجمة قد يقوم المهاجم بمسج الملفات الخاصة
ر
البمجيات ضارة .وقد ال تكون جميع تلك الملفات تنفيذيه بل قد تكون ملفات يتم انشاءها من قبل المهاجم ي
والت قد تفيد ر
مسح الملفات File Deletion / .004 T1070
المخبقة ،وقد يقوم بها كذلك المهاجم لتفادي تتبعه داخل الشبكة ر انيي من اكتشاف ما تم عملة عل الشبكة السيب ن ر ن
المحللي
االخباق. ر بعد عملية
قد يقوم المهاجم بمسح االرتباط بملفات المشاركة عند االنتهاء من استخدامها وذلك لجعل عملية التتبع صعبه ،ان ملفات مسح االرتباط واالتصال بملفات
المشاركة ن يف نظام ويندوز SMBيتيح حذفها او إلغاءها عند عدم الحاجة لها .من خال أداة ( )Netتستطيع من خالها حذف المشاركة Network Share / .005 T1070
المجلد او طريقة التواصل من خالل الشبكة مثال عل االمر ()net use \system\share /delete Connection Removal
ه تقنية تقوم ي Timestomping قد يقوم المهاجمون بالتالعب بالملفات من خالل تغب وقت االنشاء او التعديل لها .ان
ً
الفعل الذي تم تعديل او حفظ او انشاء هذا الملفات .وغالبا يتم تحديد تاري خ ووقت للملف الضار مثل ي بتعديل الوقت
ن ن ن Timestomp .006 T1070
ان بالتحقق من الملفات المنشأة السيب ي
ر التخف عندما يقوم محلل االمني الملفات السليمة األخرى يف نفس المجلد وذلك بهدف
ً
حديثا
قد يقوم المهاجمون باستغالل األدوات الملحقة بالنظام وذلك بهدف تنفيذ أوامر (من خالل سطر األوامر) ضارة ويتم استخدام
تلك األدوات بشكل خاص بسبب امكانيتها تجاوز بعض القيود األمنية المحددة من قبل سطر األوامر .يمكن استخدام العديد
حت استدعاء سطر األوامر من األدوات نف نظام ويندوز الملحقة او المساعدة للتنفيذ أوامر ،وربما يتم تنفيذ هذه األوامر من غب ر
ي Indirect Command Execution T1202
CMDعل سبيل المثال ( )Forfiles) Program Compatibility Assistant (pcalua.exeولنظام لينكس Windows
)Subsystem for Linux (WSLوكذلك هناك أدوات متعددة تقوم بنفس الوظائف من تنفيذ أوامر بطرق مختلفة اما من
خالل برمجيات او سكربتات وغبه.
المهاجمي بالتالعب باألدلة او الملفات او الوظائف لجعلها تبدو غب ضارة او لالستخدام الغب خبيث سواء كانت ن قد يقوم
ادوات او مستخدمي او برمجيات .يحدث التالعب عندما يتم تغب او تعديل او انشاء او استبدال وظيفة او ملف او برمجية ن
ر ن ن Masquerading T1036
ان بعمل االستجابة للحوادث .وقد تمتد تلك العمليات السيب ي التخف من عملية الرصد واالكتشاف عند قيام محلل االمن ي بهدف
حت يتم تعديل البيانات الوصفية. من التالعب ر
ً ن
المهاجمي بالتالعب وتقليد بعض الخصائص اإلضافية رلبمجيات (توقيع االكواد رقميا) حقيقة لزيادة فرصة التالعب قد يقوم
بالمستخدمي وجعل برمجياته كأنها حقيقة وليست ضارة .ان عملية توقيع االكواد الرقمية توفر مصادقيه من المطورين ان ن
البمجية لم يتم التالعب بها .وحيث ان عملية نسخ التواقيع الرقمية (البيانات الوصفية) قد يقوم بها المهاجم من خالل االكواد ر Invalid Code Signature .001 T1036
وف حال لم يتم نسخها من برنامج اخر ،ثم استخدامه كقالب لبنامجه الضار .وقد تتم عملية التحقق من التواقيع الرقمية ن
ي ر
ن
المحللي. ن
المستخدمي او تنطل الحيلة عل قد ولكن البمجية.
التحقق سيتم افشال عملية تشغيل ر
ي
لليمي والعكس ( )RTLO or RLO) (U+202Eوذلك بهدف خداع ن المهاجمي بالتالعب باتجاه االحرف من اليسار ن قد يقوم
عكس.
ي .
المستخدم ان هذا الملف غب ضار ان RTLOهو مجموعة حروف (غب قابلة للطباعة) يتم عرضها عل الشاشة بشكل Right-to-Left Override .002 T1036
عل سبيل المثال عندما يتم عرض شاشة التوقف الخاصة بالويندوز بهذا الشكل March 25 \u202Excod.scrويتم
60
استخدام March 25 rcs.docxوهنا ملف جافا سكربت photo_high_re\u202Egnp.jsويتم عرضه كصورة
photo_high_resj.png
المهاجمي بإعادة تسمية بعض األدوات المساعدة ن يف النظام بهدف التهرب من االكتشاف وذلك بسبب ان أنظمة ن قد يقوم
الحماية تقوم بمراقبة تلك األدوات المساعدة .بعد عملية التغب لها يستطيع المهاجم استخدامها دون ان يتم اكتشافه عل
Rename System Utilities .003 T1036
سبيل المثال إعادة تسمية rundll32.exeوتحدث العملية بإشكال متعددة وطرق مختلفة سواء كانت نسخ او تغب المجلد
الخاص بها او إعادة تسميتها بنفسها.
.
المهاجمي بالتالعب باسم مهمة او خدمة لجعلها تبدو غب ضارة وأنها حقيقية يتم تنفيذ هذا الخدمات من خالل ن قد يقوم
وف نظام ويندوز يتم أعط اسم ن .لها ووصف محدد اسم أعطاها بالعادة يتم ر
والت systemd خالل من او االعمال جدولة
ي للخدمة وكذلك اسم للعرض الخاص بهذه يالخدمة .وبالعادة ان ر Masquerade Task or Service .004 T1036
اكب الخدمات الغب ضارة قد تتشابه ن يف اسم العرض الخاص بها
المهاجمي يفكرون بنفس الطريقة وإعطاء ملفاتهم الضارة نفس األسماء. ن بشكل كبب ،مما يجعل
المهاجمي بالتالعب باألسماء او المجلدات وجعلها مقاربة للمجلدات او الملفات او المواقع الخاصة بها الحقيقية ن قد يقوم
ن .
وذلك بهدف التهرب من أنظمة المراقبة ويمكن للمهاجم من القيام بذلك من خالل ملف تنفيذي يف مجلد system32 Match Legitimate Name or
.005 T1036
واعطاه اسم كأنه ملف غب ضار .او إعطاء اسم مألوف لخدمات ن يف النظام مثل svchost.exeاو انشاء ملف اخر يحم نفس Location
لك يوهم المحلل انه نفس الملف ن
االسم مع زيادة مسافه ما بي االحرف ي
ن
قد يقوم المهاجم بإخفاء االمتداد الخاص بالملفات الضارة .وذلك من خالل إضافة مسافة يف نهاية الملف وهذا ما يجع النظام
يتعامل مع الملف بطريقة متغبة .وال يعمل هذا األسلوب مع الملفات ر ر Space after Filename .006 T1036
تأن بامتدادات ()app.الت ي
ي
للمستخدمي او السماح للوصول لبعض الحسابات بطريقة غب ن المهاجمي بتعديل آلية وطريقة عمل المصادقة ن قد يقوم
مرغوبة .ان عملية المصادقة تتم من خالل آليات متعددة مثل ( Server (LSASS) Local Security Authentication
تعديل طريقة وعملية التحقق /
))process and the Security Accounts Manager (SAMن يف نظام الويندوز و ( pluggable authentication
ً ر ن ن Authentication Modify T1556
ه الت ذكرت سابقا ي ))modules (PAMيف نظام لينكس و ( )authorization pluginsيف نظام ن .MacOsوجميع التقنيات ي Process
ن ر
للمهاجمي من المصادقة عل والت قد تسمح يف بعض األحوال المسؤولة عن تخزين وحفظ بيانات المصادقة والتحقق منها .ي
خدمة او نظام دون الحاجة اىل استخدام حسابات فعالة وصحيحة.
تخط وسائل التحقق المتبعة ي قد يقوم المهاجم بتصحيح .عمليات المصادقة عل ( )Domain Controllerوذلك بهدف Domain Controller
.001 T1556
وتمكينه من الوصول اىل الحسابات. Authentication
ن
المهاجمي باستخدام ( )Filter DLL Passwordيف عمليات المصادقة لتحقق من صحة بيانات االعتماد ن قد يقوم Password Filter DLL .002 T1556
قد يقوم المهاجمي بتعديل ( ))authentication modules (PAM pluggableللوصول اىل بيانات االعتماد او تفعيل ن
حسابات غب مرغوب فيها .ان ( ))pluggable authentication modules (PAMهو نظام معياري لإلعدادات الخاصة
ر Pluggable Authentication
هوالت تقوم بتوجيه آلية المصادقة للعديد من الخدمات .نومن اشهرها ي للملفات و المكتبات والملفات التنفيذية ي Modules
.003 T1556
/
باسبداد المعلومات الخاصة بمصادقة الحساب وتعينها والتحقق منها يف ( )etc/passwdو والت تقوم ر ر
( )pam_unixي
()etc/shadow/
التحقق بواسطة اجهزة الشبكة /
قد يقوم المهاجم باالستفادة من التشفب الخاص بكلمات المرور ن يف أنظمة التشغيل او ما يسم (.)Patch System Image
Device Network .004 T1556
المهاجمي ن يف تجاوز آليات المصادقة للحسابات المحلية عل أجهزة الشبكة. ن وبالتاىل يستفيد منها ي Authentication
61
قد يقوم المهاجم بتعديل الحسابات الخاصة بالخدمات السحابية وذلك لتفادي االكتشاف والتعديالت قد تشتمل انشاء Modify Cloud Compute
وتعديل ومسح عل أي جزء من أجزاء الخدمات السحابية اوأنظمة ر T1578
االفباضية او النسخ الصورية. Infrastructure
لتخف من االكتشاف .ان ن قد يقوم المهاجم بإنشاء نسخة صورية للبيانات او النسخ االحتياطية عل الخدمات السحابية وذلك
ي
والت بدورها تقوم بجعل النظام ر
ه أحد مكونات االساسية للخدمات السحابية يتم اخذها بوقت محدد ي عملية النسخ الصورية ي
ر
اض VMقابل لالستعادة .ويتم تخزينها عل مساحة افباضية من القرص الصلب او عل جزء محدد من قرص صلب .وقد ر ن
االفب ي انشاء نسخة Create Snapshot / .001 T1578
يقوم المهاجمي باستغالل الصالحيات ألنشاء مثل هذه النسخ الصورية واالطالع عليها بسبب انهم ال يملكون األذونات ن
تبيل أي ملفات ضارة وبعد المهاجمي بإنشاء نسخة صورية قبل ن ن ن المناسبة للوصول للبنية التحتية الحقيقة للمنظمة .وقد يقوم
ر
باسبجاع النسخة قبل عملية االخباق لتفادي االكتشاف. االخباق واالنتهاء منها يقومون ر ر عملية
المهاجمي بإنشاء نسخ افباضية VMداخل الخدمات السحابية او الحساب وذلك بهدف التهرب من عمليات ر ن قد يقوم
االفباضية وذلك بهدف تجاوز جدران الحماية االفباضية او األنظمة ر االكتشاف .قد تسمح الصالحيات للمهاجم بإنشاء النسخ ر انشاء نسخة للخدمات السحابية /
ر .002 T1578
لت ال يملك عليها الصالحيات المناسبة وقد يقوم المهاجم بإنشاء نسخة والتحكم الكامل للمهاجم بخالف النسخة األخرى ا ي Instance Create Cloud
صورية واحده من النظام الذي ال يملك صالحيات وتطبيق اقل الصالحيات.
مج برمجياته عن النظام قد يقوم المهاجم بمج النسخة ر مسح الخدمات السحابية Delete /
االكتشاف وكذلك يً
االفباضية عل الخدمات السحابية وذلك لتفادي ي .003 T1578
المهاجمي جدا حيث ان التتبع لهم يصبح اصعب. ن انيي .وتفيد تلك العملية السيب ن
ر ن
المحللي لك ال يتم الحصول عليها من قبل Instance Cloud
ي
تبيل أي ملفات او عمل أي أنشطة خبيثة وذلك المهاجمي باستعادة النسخ االحتياطية من النظام المستهدف قبل ن ن ن قد يقوم
ممبات متعددة ن يف عملية االستعادة بشكل كامل او من خالل نسخة لتفادي االكتشاف .وتحتوي بعض الخدمات السحابية عل ن استعادة الخدمات السحابية /
ً .004 T1578
صورية يقوم المهاجم بأخذها او نسخة صورية موجودة سابقا .وتتم تلك العملية اما من خالل لوحة تحكم خاصة او من خالل Instance Revert Cloud
االتصال ب APIمحدد.
قد يقوم المهاجم بإخفاء بعض اإلعدادات الضارة داخل windows registryوذلك بهدف إخفاء بعض األنشطة الضارة .وقد ر
الريجسبي Modify / تعديل
T1112
تساعد بعض تلك اإلعدادات ن يف عملية مسح األدلة او البقاء داخل الشبكة قدر اإلمكان. Registry
التخف قدر اإلمكان من االكتشاف .وعادة ما ن المهاجمي بتعديل النسخ الخاصة بالنظام ألجهزة الشبكات وذلك بهدف ن قد يقوم تعديل نسخة النظام Modify /
ي ن T1601
تكون تحتوي تلك األجهزة عل نظام وملفات وقدرات يف ملف موحد. System Image
قد يقوم المهاجم بتعديل نظام التشغيل الخاص بأجهزة الشبكة إلدخال قدرات جديدة من شانها تقليل عمليات المراقبة سد الثغرات لنسخة النظام Patch /
ن .001 T1601
البمجية الضارة. المهاجمي بتعديل الملف الخاص بالنظام إلدخال التعليمات ر والرصد ألنشطته الضارة .وقد يقوم Image System
التخف من ن قد يقوم المهاجم بإعادة تثبيت نسخ اقدم من األنظمة الخاصة بأجهزة الشبكات وذلك بسبب وجود ثغرات تتيح هلل
ي Downgrade System Image .002 T1601
االكتشاف او وجود تشفب ضعيف عل عملية نقل البيانات.
المهاجمي بتغب طريقة التعامل مع الشبكات األخرى (الغب موثوقة) او تغب طريقة حركة مرور و توجيه البيانات وذلك ن قد يقوم حدود البوابة الشبكية Network /
ر ر T1599
ويأن ذللك بعد عملية اخباق الموجهة وتمرير البيانات لشبكات غب موثوقة. ي المفروضة الحماية وسائل تخط
ي بهدف Bridging Boundary
قد يقوم المهاجم بتعديل البيانات الخاصة بالعناوين الشبكية NATألجهزة الشبكة وجعلها تتواصل مع أنظمة أخرى مشبوهة
ن Network Address Translation
تخط بعض القيود المفروضة عل توجيه حركة البيانات داخل او خارج ي المهاجمي من والتعديل عل عناوين NATتمكن .001 T1599
Traversal
الشبكة.
قد يقوم المهاجم بعملية تشفب او ن تشفب الملفات و المعلومات /
ترمب لملفاته وجعلها غب قابلة لالكتشاف من قبل أنظمة الحماية والتحليل .وهذا األسلوب
مستخدم ر Files or Obfuscated T1027
بكبه وذلك لتفادي عملية التحليل للبيانات الشبكية.
Information
62
قد يقوم المهاجم بإضافة بيانات غب مفيدة عل برمجياته وذلك بهدف جعلها غب مفهومة او لتصعيب عملية التحليل.
وتحدث تلك الطريقة دون التأثب عل آلية عمل برمجياتهم الضارة .ولكن قد يزيد من حجم الملف مما يجعل أنظمة الحماية Binary Padding .001 T1027
غب قادرة عل تحليله بسبب حجمة الكبب.
والبمجيات الضارة بهم. ر األدوات إخفاء بهدف وذلك هاوتشفب بهم الخاصة مجيات والبالمهاجمي بضغط الملفات ر ن قد يقوم
البمجيات وتشفبها قد تتفادى من عملية االكتشاف من خالل استخدام آليات االكتشاف باستخدام التواقيع الرقمية. ضغط ر
Software Packing .002 T1027
ومعظم عمليات فك الضغط تحدث ن يف الذاكرة العشوائية .تقوم Virtual machine software protection translates
بحماية الملف التنفيذي من التعديل عند التشغيل وتقوم ن يف نفس الوقت باستدعاء الدالة الخاصة به لتشغيلة.
المهاجمي باستخدام تقنيات إخفاء البيانات والمعلومات لمنع االكتشاف ( )Steganographicويمكن إخفاء البيانات ن قد يقوم
Steganography .003 T1027
ونقلها من خالل صور او ملفات فيديو او مقاطع صوتية او ملفات نصية.
المهاجمي بنقل ملفاتهم قبل عملية جعلها قابله للتنفيذ ( )uncompiled codeوذلك بهدف تصعيب عملية الرصد ن قد يقوم
الت تحتوي عل اكواد برمجية ضارة غب مجمعة لك تكون قابلة لتنفيذ قد تكون صعبة فن واالكتشاف .ان الملفات النصية ر
ي ي ي Compile After Delivery .004 T1027
المهاجمي بنقلها اىل الجهاز المستهدف ومن ثم جمع تلك الملفات وجعلها قابلة للتنفيذ ن عمليات الرصد واالكتشاف .ويقوم
عب أدوات متوفرة ن يف النظام المستهدف مثل csc.exeاو GCC/MinGW ر
ن
التخف قدر بهدف وذلك الخبيثة برمجياتهم اكتشاف عملية بعد بهم الخاصة اق ر
االخب ات المهاجمي بمج ر
مؤش ن يقوم قد
ي ي Indicator Removal from Tools .005 T1027
المستطاع.
فبة ممكنة ن يف النظام .وتعرف هذه األنظمة المهاجمي باستغالل آليات اإلقالع الخاصة بالنظام كطريقة للبقاء أطول ر ن قد يقوم
نظام اقالع جاهز Pre-OS Boot / T1542
باألنظمة األساسية قبل عملية اقالع نظام التشغيل.
فبة ممكنة .ان الخباق النظام والبقاء أطول ر المهاجمي بتعديل ما يسم ب ( )firmware systemوذلك بهدف ر ن قد يقوم
( )Input/Output System BIOS Basicو ( ))Unified Extensible Firmware Interface (UEFIاو ( Extensible
))Firmware Interface (EFIجميعهم ه أنظمة تشغيله ثابته من نوع ( )firmwareوه تعمل ما ن النظام الثابت System Firmware / .001 T1542
بي نظام التشغيل ي ي
والعتاد الخاص بالجهاز.
. ر ر
المهاجمي بتعديل ما يسم ب ( )component firmwareوذلك بهدف الخباق النظام والبقاء أطول فبة ممكنة وقد ن قد يقوم
ر ر ن ً ن
والت تؤدي اىل تثبيت ي اق
االخب في المتقدمة العمليات هذه مثل لتنفيذ جدا ومتقدمة معقده طرق المهاجمي بعض يستخدم
البمجية الضارة عل نظام التشغيل او النظام الخاص ب ( .)BISOان ( )component firmwareضار يقوم يتنفيذ تعليمات ر Component Firmware .002 T1542
الت ال تمتلك مستوى ر ن ر
األساليب تتشابه مع ( )System Firmwareولكن يي تنفيذها عل بعض المكونات واالجهزة ي هذه
قدرات ن يف فحص مستوى سالمتها
فبة ممكنة .ويتم استخدام ( )bootkitsكطبقة المهاجمي باستغالل ما يسم ب ( )bootkitsوذلك بهدف البقاء أطول ر ن قد يقوم برمجية ضارة مع اقالع النظام /
.003 T1542
أسفل نظام التشغيل .ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه. Bootkit
المهاجمي باستغالل ما يسم ب ( ))Monitor (ROMMON ROMوذلك من خالل تحميل أنظمة ( )firmwareضار ن قد يقوم
ر ROMMONkit .004 T1542
وذلك بهدف البقاء أطول فبة ممكنة .ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه.
المهاجمي باستغالل ( )netbootingلتحميل نظام تشغيل غب مضح به من خادم نقل الملفات بواسطة بروتوكول ن قد يقوم
ن
( )TFTPيتم استخدام ( ))TFTP boot (netbootingبشكل شائع بي مدراء الشبكات لتحميل االعدادات الخاصة بأجهزة .
TFTP Boot .005 T1542
الشبكات والنسخ الصورية ( )Imageمن خادم مركزي او مستودع .ان ( )netbootingهو واحد من الخيارات المسموح بها
لإلقالع الخاص بالنظام ويمكن استخدامه لتحكم واإلدارة وكذلك مركز لحفظ النسخ الصورية (.)Images
63
المهاجمي بحقن العمليات وذلك بهدف رفع الصالحيات او التهرب من االكتشاف .وقد تستخدم حقن العمليات ن قد يقوم
ن
والت قد تسمح بحقن والوصول اىل العمليات يف الذاكرة العشوائية ر . ن
لتنفيذ تعليمات ضارة يف بعض العمليات النشطة حقن العمليات Process /
ي T1055
ن
المهاجمي حيث انها تعمل وكأنها وتعتب عملية حقن العمليات من األساليب المتبعة من قبل ر ( )Memoryاو النظام او الشبكة. Injection
عملية طبيعية وغب ضارة.
المهاجمي بحقن ( )libraries (DLLs dynamic-linkداخل العمليات وذلك من اجل رفع الصالحيات او التهرب من ن قد يقوم
ن Dynamic-link Library Injection .001 T1055
االكتشاف .ان عملية حقن DLLتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة
المهاجمي بحقن ( )PEداخل العمليات وذلك من اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن PE ن قد يقوم البمجيات الجاهزة للعمل /
حقن ر
ن .002 T1055
تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة Executable Injection Portable
الت يتم اختطافها وذلك من اجل رفع الصالحيات او التهرب البمجيات الضارة نف العمليات ر المهاجمي بحقن بعض ر ن قد يقوم
ن ي ي Thread Execution Hijacking .003 T1055
من االكتشاف .ان عملية حقن ( )Thread Execution Hijackingتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة.
البمجيات الضارة ن يف العمليات النشطة من خالل ( asynchronous procedure call المهاجمي بحقن بعض ر ن قد يقوم
ن
(APCوذلك من اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )APCتتم لتنفيذ تعليمات ضارة يف بعض Asynchronous Procedure Call .004 T1055
العمليات النشطة.
البمجيات الضارة يف العمليات النشطة من خالل ( (thread local storage (TLSوذلك من ن ن
قد يقوم المهاجمي بحقن بعض ر
اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )TLS callbackتتم لتنفيذ تعليمات ضارة ن يف بعض العمليات Thread Local Storage .005 T1055
النشطة.
البمجيات الضارة يف العمليات النشطة من خالل ( processes via ptrace (process ن ن
قد يقوم المهاجمي بحقن بعض ر
)system calls )traceوذلك من اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن ()Ptrace system call Ptrace System Calls .008 T1055
تتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة.
عب استخدام ( )Procلملفات النظام وذلك من اجل رفع الصالحيات او التهرب من المهاجمي بحقن برمجيات ضارة ر ن قد يقوم
ن Proc Memory .009 T1055
االكتشاف .ان عملية حقن ( )Proc memoryتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة
عب استخدام ( )Extra windows memory EWMلملفات النظام وذلك من المهاجمي بحقن برمجيات ضارة ر ن قد يقوم Extra Window Memory
ن .011 T1055
اجل رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )EWMتتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة Injection
عب استخدام عمليات تم ايقافها وتسم ب ( )hollowed processesوذلك من اجل المهاجمي بحقن برمجيات ضارة ر ن قد يقوم
ن
رفع الصالحيات او التهرب من االكتشاف .ان عملية حقن ( )hollowed processesتتم لتنفيذ تعليمات ضارة يف بعض Process Hollowing .012 T1055
العمليات النشطة
عب استخدام ( )process doppelgängingوذلك من اجل رفع الصالحيات او قد يقوم المهاجمي بحقن برمجيات ضارة ر ن
Process Doppelgänging .013 T1055
التهرب من االكتشاف .ان عملية حقن ( )process doppelgängingتتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة
عب استخدام اختطاف او انتحال ( )VDSOوذلك من اجل رفع الصالحيات او المهاجمي بحقن برمجيات ضارة ر ن قد يقوم
ن
التهرب من االكتشاف .ان عملية حقن ( VDSOاو )Virtual dynamic shared objectتتم لتنفيذ تعليمات ضارة يف بعض VDSO Hijacking .014 T1055
العمليات النشطة
احتياىل وذلك بهدف التالعب بال (.))Domain Controller (DC قد يقوم المهاجمي بتسجيل ()Controller Domain ن
ي Rogue Domain Controller T1207
والت تشتمل عل ()objects and schemas يقوم ( )DCShadowبإنشاء نسخة احتيالية لتالعب بالبيانات الخاصة ب .ADر
ي
64
االحتياىل يستطيع ان يقوم بالتالعب بكامل البنية
ي من خالل محاكات نشاط وسلوك .DCمجرد ان تتم عملية التسجيل لل DC
التحتية الخاصة بالدليل النشط ADوقد يصل اىل تغب كلمات المرور وبيانات االعتماد وبعض الوظائف.
قد يقوم المهاجم باستخدام برمجيات rootkitsوذلك إلخفاء ملفاته وبرمجياته وأنظمة وشبكاته وغبها من عمليات
األساس وتستطيع التواصل
ي البمجية الضارة داخل النظام االكتشاف .ان rootkitsهو برمجية تستخدم إلخفاء التعليمات ر Rootkit T1014
البمجيات من خالل استخدام استدعاءات بواسطة APIوغبها. ر
باف ر
برمجية rootkitsمع ي
ً ر
الت تعتمد عل اكتشافها بالتواقيع الرقمية وذلك من خالل استخدام أجزاء تم توقيعها رقميا. بتخط العمليات ً ي
ي قد يقوم المهاجم
البمجيات .
الت تم توقيعها رقميا قد يتم تنفيذها عل أنظمة ويندوز ويمكن استخدام العديد من األجزاء من ر ر
ً ان بعض االج ًزاء ي Signed Binary Proxy Execution T1218
افباضيا ن يف مثل هذه الهجمات. رقميا نف نظام ويندوز ر
ي الموقعة
قد يقوم المهاجم باستغالل عملية جمع الملفات المتوفرة ن يف HTMLبامتداد ( )chm.إلخفاء تعليمات برمجية ضارة .ويتم
يسم ( .)Microsoft HTML Help systemويحتوي ملف CHMعل ملفات ي التعامل مع ملفات CHMكجزء من ما تكوين مف HTML / Compiled
.001 T1218
مضغوطة مثل ملفات HTMLوصور وسكربتات وملفات VBAوجافا سكربت و .ActiveXيتم استخدام وعرض محتويات HTML File
والت قد تحتوي عل ملفات تنفيذيه. االنبنت اكسبلورر عند تحميل صفحة بامتداد HTML.ر ملف CHMمن خالل متصفح ر
ي
قد يقوم المهاجم باستخدام control.exeلتنفيذ تعليمات برمجية ضارة .وتقوم لوحة التحكم ن يف نظام ويندوز بمعالجة وتنفيذ
ن لوحة التحكم Control Panel / .002 T1218
وه أدوات مساعدة يتم من خاللها تعديل اعدادات الكمبيوتر وضبطه. عناض التحكم يف النظام ي
قد يقوم المهاجم باستخدام MCSTPلتنفيذ تعليمات برمجية ضارة .ويعد Microsoft Connection Manager Profile
)CMSTP.exe( Installerسطر أوامر يستخدم إلدارة الخدمات الخاصة بملفات التعريف .يقوم CMSTP.exeبقبول CMSTP .003 T1218
والت تسمح للخدمات باالتصال عن بعد من خالل خدمة ملف التعريف. ر
( )installation information file INFي
لتنفيذ تعليمات برمجية ضارة من خالل هذه األداة وه أحد األدوات المساعدة فن قد يقوم المهاجم باستخدام InstallUtil
ي ي
نظام ويندوز .وطبيعة InstallUtilتقوم عل انها أداة مساعدة لسطر األوامر وتسمح بتثبيت المصادر من خال تنفيذ تعليمات
ً
ه أداة موقع رقميا بواسطة مايكروسوفت التثبيت باستخدام .ن ،NET binariesان أداة InstallUtilي محددة عند القيام بعملية
InstallUtil .004 T1218
وتقع من ضمن نطاق NET.ن يف أنظمة ويندوز يف المسارات التالية (:system
C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe and
).C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe
المهاجمي باستغالل أداة mshta.exeلتنفيذ تعليمات برمجية ضارة .بامتداد ملف hta.او جافا سكربت او ن قد يقوم
ن
االوىل للمستهدف او استخدامها يف عملية تثبيت ن
.VBScriptوهناك امثله متعددة لطريقة استخدام mshtaيف عملية الوصول Mshta .005 T1218
ي
البمجيات الضارة.ر
ه عبارة عن أداة . ن
قد يقوم المهاجمي باستغالل msiexec.exeلتنفيذ تعليمات برمجية ضارة ان أداة msiexec.exeي
والت يتم استخدامها بشك شائع ن يف عملية تثبيت الحزم بامتداد msi. ر
Windowsي مساعدة لسطر األوامر رلبنامج Installer Msiexec .007 T1218
ً
كما قامت مايكروسوفت بتوقيع msiexecرقميا.
ن
ه عبارة عن أداة قد يقوم المهاجمي باستغالل Odbcconf.exeلتنفيذ تعليمات برمجية ضارة .ان أداة Odbcconf.exeي
والت تحتوي عل التعاريف و بعض مصادر البيانات ر
)ODBCي ً
مساعدة لإلعدادات االتصال بقواعد البيانات المفتوحة ( Odbcconf .008 T1218
Windowsكما قامت مايكروسوفت بتوقيع msiexecرقميا.
65
ه المهاجمي باستغالل Regasm Regsvcs andلتنفيذ تعليمات برمجية ضارة .ان أداة and Regasm ن
Regsvcsي ً
قد يقوم
ن
عبارة عن سطر أوامر تستخدم لتسجيل NET. Component Object Model COMكل االداتي تم توقيعها رقميا بواسطة . Regsvcs/Regasm .009 T1218
مايكروسوفت
ه عبارة عن سطر Regsvr32.exe ة أدا ان . ضارة برمجية تعليمات لتنفيذ Regsvr32.exe باستغالل المهاجمي ن قد يقوم
ي ن
أوامر تستخدم لتسجيل ( object linkingو )embedding controlsوقد تشتمل عل .DLLsيف بيئة الويندوز .أداة Regsvr32 .010 T1218
ً
Regsvr32موقعه رقميا بواسطة مايكروسوفت.
المهاجمي باستغالل rundll32.exeلتنفيذ تعليمات برمجية ضارة .ان أداة rundll32.exeقد تستخدم بشكل ن قد يقوم
الت ال ر الحماية أنظمة قبل من االكتشاف عمليات للتفادي استغاللها يتم قد ر
والت ) Shared Modules ( خالل من أي ثانوي
ي ي Rundll32 .011 T1218
الت يتم تنفيذها بواسطة rundll32بسبب القوائم المسموح بها او اإلنذارات الخاطئة اثناء عملية التشغيل تراقب العمليات ر
ي
العادية .وترتبط rundll32بشكل شائع اثناء تنفيذ ملفات .DLL
المهاجمي باستغالل verclsid.exeلتنفيذ تعليمات برمجية ضارة .ان أداة verclsid.exeوالمتعارف عليها كامتداد ن قد يقوم
Verclsid .012 T1218
وه اإلضافة المسؤولة عن التحقق من كل االمتدادات الخاص بالمتصفح او .Windows Shell CLSIDي
ً ن
المهاجمي باستخدام سكربتات موقعه رقميا وموثوقة للتنفيذ تعليمات برمجية ضارة .حيث يمكن استخدام العديد من قد يقوم
ً
ن
المهاجمي من تنفيذ افباضيا ن يف نظام ويندوز .مما يمكن والت تكون مثبته ر
ي
السكرتبات النصية الموقعة من مايكروسوفت ر Signed Script Proxy Execution T1216
تعليمات برمجية ضارة من خالل استخدامها.
المهاجمي باستخدام PubPrnوطلك لتفادي ن المهاجمي باستغالل PubPrnلتنفيذ تعليمات برمجية ضارة ،ويقوم ن قد يقوم
المبت عل التواقيع الرقمية الكتشاف التهديدات السيبانية .وكذلك تخط وسائل الحماية المبنية عل التحكم فن ن االكتشاف PubPrn .001 T1216
ي ي ر ي
والت ال تتأخذ السكربتات كتطبيقات لمنعها. التطبيقات ر
ي
المستخدمي من نشاط ضار او عمليات غب ن الت من شانها اما تحذير ر ن
قد يقوم المهاجمي بإضعاف إمكانيات التقنيات األمنية ي
ر
الت تسمح لها موثوق بها او برمجيات مشبوهة يتم تنفيذها .وقد تحتوي أنظمة التشغيل عل برمجيات ومنتجات األمان ي
البمجيات او المواقع الضارة وتحديد مستوى الموثوقية بها .ومن األمثلة عليها السماح رلبنامج بالعمل بسبب انه موقع بتحديد ر Subvert Trust Controls T1553
ر ً
رقميا من قبل طرف موثوق ،او تحذير المستخدم ان المحتوى المراد تثبيته تم تحميله من األنبنت ،او الحصول عل تنبيه انك
عل وشك االتصال بموقع غب موثوق.
الت تسمح للنظام بمعرفة إذا كانت هذه الملفات من مصادر غب موثوقة وذلك المهاجمي بتعديل خصائص الملفات ر ن قد يقوم
ن ي
نظام .macOS and OS Xحيث تعمل عند تحميل ي بهدف االحتيال عل عناض التحكم مثل Gatekeeperالمتوفرة يف
مبة com.apple.quarantineر برنامج او ملف من خالل ر
االنبنت بتفعيل ن Gatekeeper Bypass .001 T1553
والت تسمح رلبنامج الحماية Gatekeeperبتنبيه ي
البمجية. المستخدم اما بالسماح او الرفض لهذا الملف او ر
الرقم لالكواد مستوى المهاجمي باالستحواذ او شقة او انشاء طرق او آليات توقيع برمجياتهم الضارة .ويوفر التوقيع ن قد يقوم
ي
المهاجمي ان الشهادات الخاصة بالتواقيع يتم انشاءها او ن البمجيات موثوقة .ومن الشائع لدى مصادقيه لدى المطورين ان ر Code Signing .002 T1553
شقتها.
ن
الت يتمتع بها مع نظام التشغيل وأدوات التحكم يف التطبيقات عند اجراء ر ن
قد يقوم المهاجمي بالتالعب باستخدام SIPنوالثقة ي
الرقم
ي التوقيع نشأت
ن
بالتحقق ويندوز نظام يقوم العادي
ن
المستخدم وف حال عمليات التحقق من صحة التواقيع الرقمية .ي SIP and Trust Provider
.003 T1553
وكذلك سالمته .وقد تقوم بعض المتغبات المستخدمة لتوليد الثقة يف االكواد المستخدم مثل التعاريف يف نظام ويندوز والذي Hijacking
يقوم بالتعامل مع التواقيع الرقمية الخاصة بها عل انها تواقيع رقمية امنة .وتتم مرحلة التحقق من صحة التواقيع الرقمية
66
ر
والت تقبل
بواسطة تطبيق WinVerifyTrustباستخدام وظيفة application programming interface APIي
االستعالمات وتحدد المستوى المناسب من الثقة المطلوبة.
ر
المهاجمي بتثبيت ( )certificate rootعل النظام المخبق وذلك لتفادي التنبيه عندما تتم عملية التحكم والسيطرة ن قد يقوم
ن
والتواصل مع النطاقات الضارة الخاصة بالمهاجم .تستخدم ( )certificate rootيف تشفبها المفتاح العام الذي تم انشاءه
البنامج او النظام بالثقة بهذه بواسطة ( ،)authority CA root certificateوعند تثبيت الشهادة من قبل المهاجم يقوم ر
الشهادة وه بالعادة تقوم باستخدام برتوكول TLS/SSLلالتصاالت من خالل متصفحات الويب .ن Install Root Certificate .004 T1553
وف حال لم يتم تثبيت هذه ي ي
ً
الشهادة واراد المستخدم تصفح هذا الموقع ستظهر رسالة تنبيه ان علية الحذر ان الشهادة الخاصة بالموقع لم توقع رقميا
وتحتاج اىل الصالحية لتثبيتها.
المهاجمي باستغالل التنسيق الخاص بالصفحات والتحكم بها او ما يعرف ر ين ( .)Mark-of-the-Web MOTWن يف ن قد يقوم
لك يضلل المستخدمي ان الملفات امنة .ان السيناريو عند تحميل الملفات ن ر
نظام ويندوز وعند تحميل الملفات من االنبنت ي
يتم من خالل تصنيفها بطريقة خفية باستخدام ( )NTFSو ( .)Alternate Data Stream ADSوربطها باسم يعرف ب
ن
محم
ي يعت ذلك أي ملف محدد بالقيمة الخاصة ب MOTWهو ملف Zone.Identifierمع قيمة محددة تسم ر ين .MOTWي Mark-of-the-Web Bypass .005 T1553
وال يستطيع تنفيذ اال بعض الوظائف فقط .عل سبيل المثال عند تشغيل MS Office 10وكان الملف المراد فتحة مربوط
مباش بل من خالل طريقة العرض المحمية ( )Protected Viewواي ملف يتم بقيمة من MOTWال يمكن فتحة بشكل ر
والت تقوم بالمقارنة بالملفات ر
ربطة بقيمة من MOTWيتم معالجته من قبل ( )Windows Defender SmartScreenي
التنفيذية المسموح بها او الغب موثوقة وتقوم بتحذير المستخدم من تفعيله او تشغيله.
البمجية الغب موقعه .ان توقيع ر االكواد البمجية بهدف تفعيل خاصية تنفيذ ن
المهاجمي بتعديل سياسة توقيع االكواد ر قد يقوم
البمجية تعط مستوى من الثقة لدى مطورين التطبيقات وان التطبيق موثوق ولم يتم التالعب به .وتستطيع تضمين Code Signing Policy
ي االكواد ر .006 T1553
ً Modification
عنض من عناض التحكم بمنع تنفيذ أي برنامج لم يتم توقيعه رقميا من العمل عل النظام الخاص بك.
المهاجمي بتعديل او انشاء قوالب ونماذج جاهزة لالستخدام لملفات ( )Officeوذلك بهدف إخفاء تعليمات برمجية ن قد يقوم
ضارة او محاولة التالعب يف عملية المصادقة .ان ( )Microsoft’s Office Open XML OOXMLاو ما يعرف بتنسيق ن
المستندات ( )XMLوالذي يتم استخدامه لتنسيق المحتويات ن يف الملفات ( )docx, xlsx, .pptx.وكذلك يقوم باستبدال Template Injection T1221
ً ر
الت تم ذكرها سابقا .يقوم بتجميع وضغط ملفات OOXMLداخل االمتدادات ي االمتدادات القديمة ( )ppt. ,doc, .xls.اىل
النهان الخاص بالمستند. ي والت ن يف النهاية تساعد يف تحديد الشكل والمظهر
ن ر
ملف ZIPبامتدادات XMLي
والت ر ن
الوظائف الضارة ني ر
المهاجمي باستخدام ( )signaling trafficبهدف إخفاء المنافذ المفتوحة او إخفاء بعض
ر
قد يقوم
ن
تستخدم بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء أطول فبة ممكنه داخل النظام المخبق .وتستخدم يف
والت تستخدم ما يسم ب ( magic valueاو تسلسل محدد) والذي ر
بعض األحيان من خالل سطر األوامر ( )line Commandي
لتحفب استجابة معينة .مثل فتح او اغالق أحد المنافذ او تنفيذ بعض المهام الضارة .وقد يقوم المهاجم بإرسال ن يتم ارساله
ر Traffic Signaling T1205
والت ستمكنه من التحكم والسيطرة عل النظام المصاب. ي المنافذ اغالق او فتح من عملية أي اءر اج قبل الحزم من مجموعة
ن ً
تضمي بعض التعليمات وعادة ما تكون هذه السلسلة من الحرم يتم تحديدها مسبقا مثل ( .)Port Knockingولكن قم يتم
الفريدة من نوعها بعد اكمال عملية ارسال الحزم مما يقوم بفتح المنفذ او أغالقه ن يف جدار الحماية الخاص بالمستضيف او ما
يسم ب ( )host-based firewallاو من خالل تشغيل برمجية مخصصة لذلك.
المهاجمي باستخدام ( )port knockingبهدف إخفاء المنافذ المفتوحة او إخفاء بعض الوظائف الضارة ر
والت ن قد يقوم
ي Port Knocking .001 T1205
ر ر ن
تستخدم بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء أطول فبة ممكنه داخل النظام المخبق .ي
ولك يتم
67
ً ر
الت تم تعريفها سابقا .او يستطيع المهاجم استخدام بعض المحاوالت ي تفعيل/اغالق المنافذ يقوم المهاجم بإرسال سلسلة من
والت من شأنها القيام بفتح المنافذ او اغالقها يف جدار الحماية الخاص بالمستضيف او ما يسم ب ( host-based ن ر
البمجيات ي ر
)firewall
البمجيات الضارة الخاصة بهم. المهاجمي باالستفادة من أدوات المطورين الموثوق بها واستخدامها لتنفيذ وايصال ر ن قد يقوم
ر ن ر ن
والت قد تكونوالت يمكن استخدامها من قبل المهاجميً .ي البمجيات ي وهناك العديد من األدوات المساعدة يف عملية تطوير ر Trusted Developer Utilities
T1127
أدوات مستخدمة لتصحيح األخطاء او للهندسة العكسية وغبها .هذه األدوات قد تكون أدوات موقعه رقميا مما يريد من Proxy Execution
تخط عناض ووسائل الحماية الموضوعة. ر
ي والت قد تودي اىلمستوى الثقة بها .ي
ن ن
ه أداة موثوقة يف أنظمة ويندوز قد يقوم المهاجمي باستخدام MSBuildلتنفيذ تعليمات برمجية ضارة .ان أداة MSBuildي
ر
والت
البمجيات الخاصة ب Visual Studioي أساس إلنشاء وتكوين ر ي وه نظام وه اختصار يىل ( )Microsoft Build Engineي ي MSBuild .001 T1127
ه بدورها بتحديد المتطلبات واالعدادات لألنظمة المراد انشاءها. تقوم يتم التعامل معها من خالل امتدادات XMLر
والت
ي ي
التخف من االكتشاف .ان ي
ن المهاجمي بإنشاء نسخ من الخدمات السحابية ن يف مناطق جغرافية غب معروفة وذلك بهدف ن قد يقوم Unused/Unsupported Cloud
ً ر T1535
عملية الوصول لهذه الخدمات عادة ما يتم من خالل حسابات مخبقة سابقا بهدف إدارة البنية التحتية. Regions
المخبلة ( ، )password hashesوتذاكر ، Kerberosورموز رن المهاجمي ادوات مصادقة بديلة ،مثل كلمة المرور ن يستخدم Use Alternate Authentication
ن T1550
الوصول إىل التطبيق ،من أجل التنقل داخل الشبكة وتجاوز تقنيات التحكم يف الوصول إىل األنظمة. Material
يستخدم المهاجم رموز مشوقة للوصول إىل التطبيقات لتجاوز عملية المصادقة النموذجية والوصول إىل الحسابات أو
ً ن ن ً
المستخدمي واستخدامها بدال الممبة من المعلومات أو الخدمات المقيدة عل األنظمة األخرى .عادة ما تتم شقة هذه الرموز Application Access Token .001 T1550
من بيانات اعتماد تسجيل الدخول.
ن
الت تم شقتها للتحرك داخل الشبكة ،متخطي تقنيات ر ن
المهاجمي باستخدام تقنية Hash Pass Theمع كلمات المرور ي يقوم
التحكم ن
ه طريقة للمصادقة كمستخدم دون الوصول إىل كلمة مرور الغب ي Pass the hash PtH . األنظمة إىل الوصول في
مشفرة التابعة للمستخدم .تتجاوز هذه الطريقة خطوات المصادقة القياسية ر Pass the Hash .002 T1550
الت تتطلب كلمة مرور غب مشفرة ،واالنتقال ي
مخبلة. مباشة إىل جزء المصادقة الذي يستخدم كلمة مرور ر ن ر
ن
متخطي الت تم شقتها للتحرك داخل الشبكة، ر ن
المهاجمي باستخدام تقنية Ticket Pass theمع كلمات المرور ي قد يقوم
تقنيات التحكم ن
ه طريقة للمصادقة عل نظام يستخدم تذاكر Kerberos ي ) Pass the ticket (PtT . األنظمة إىل الوصول ف
ي Pass the Ticket .003 T1550
دون الوصول إىل كلمة مرور الحساب .يمكن استخدام مصادقة Kerberosكخطوة أوىل للحركة داخل أنظمة أخرى .
قد يقوم المهاجم بشقة معلومات الجلسة ( )session cookiesللحصول عل صالحيات مصادقة لخدمات الويب .تتجاوز
Web Session Cookie .004 T1550
الفعل بشكل سليم. ي البتوكوالت الن الجلسة تمت مصادقتها من المستخدم هذه التقنية بعض ر
ر
االوىل او البقاء أطول فبة ممكنه داخل قد يقوم المهاجم باستغالل بيانات االعتماد للحسابات الفعالة وذلك بهدف الوصول
ي
لتخط عناض يستخدم قد قة ر
المخب المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان بيانات االعتماد ر النظام
ي
الت تم تطبيقها عل األنظمة والموارد الخاصة بالشبكة .وقد يتم استخدام هذه التحكم بالوصول ( )access controlsر
ر ن ي
ون او سطح المكتب البعيد من خالل المتصفح. البيد االلكب ي الحسابات للوصول لألنظمة عن بعد او الخدمات مثل VPNاو ر حساب فعال Valid Accounts / T1078
المخبقة لتصعيد الصالحيات ألنظمة محدد او الوصول اىل منطقة حساسة داخل الشبكة ر وقد يتم استخدام بيانات االعتماد
البمجيات الضارة ر بعض تبيث اىل الحاجة دون قة المخب ر االعتماد ببيانات الضارة عملياته بتنفيذ المستهدفة .وقد يقوم المهاجم
والت قد تؤدي اىل اكتشافه. ر
ي
68
االوىل او البقاء أطول والت تمكنه من الوصول ر ن ر
ي قد يقوم المهاجم بالحصول عل بيانات االعتماد للحسابات االفباضية يف النظام ي
ر ر ر ر
الت يتم انشاءها ه ي االكتشاف .ان الحسابات االفباضية ي المخبق او تصعيد الصالحيات او التهرب من فبة ممكنه داخل النظام
اض Default /ر ن
ر ر ن ر ن حساب افب ي
تأن كذلك اض داخل األنظمة مثل حساب ( Guestاو )Administratorيف نظام ويندوز .الحسابات االفباضية قد ي بشكل افب ي Accounts
.001 T1078
والت قد تكون حساب مدير للنظام .ان حساب مدير النظام الخاص ر من األنظمة الخاصة ببعض العتاد من ر
المصنعة .ين
الشكة
اض يف ()Kubernetes ن ر
بخدمات ( )AWSوحساب الخدمات االفب ي
االوىل او الوصول من تمكنه المهاجمي باستغالل بيانات االعتماد الخاصة بمدراء النطاق ( )domain accountر
والت ن قد يقوم
ي ي
فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .ان حسابات مدراء النطاق والتر ر البقاء أطول ر حساب مدير النظام Domain /
ي .002 T1078
والت من خاللها يتم إعطاء الصالحيات و التكوين لخدمات ر
يتم التحكم بها من قبل ( )Service Active Directory Domainي Accounts
ن
للنظام .ومن الممكن ان تكون حسابات مدراء .النظام عبارة عن حسابات مستخدمي او خدمات.
االوىل والت تمكنه من الوصول ر ن
ي قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات المحلية ( )local accountي
فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .الحسابات المحلية يتم ر او البقاء أطول ر محل Local Accounts / حساب .003 T1078
ي
اعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة و ادارتها.
والت تمكنه ر ن
قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات عل الخدمات السحابية ( )cloud accountي
االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف .حسابات ر ر من الوصول
ي حساب الخدمات الحسابية Cloud /
الخدمات السحابية قد يتم انشاءها واعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض .004 T1078
Accounts
الخدمات الوصول لألنظمة وادارتها او التطبيقات .قد يتم توحيد الحسابات الخاصة بالخدمات السحابية مع الحسابات ن يف
النطاقات ()Window Active Directory
ر
والت تشتمل عمليات التحليل يف البيئة االفباضية .وقد يقوم ن ر ن
قد يقوم المهاجمي بإنشاء وسائل مختلفة لتهرب من االكتشاف ي
البمجية الضارة فعند وجود داللة عل الت يقوم بقراءتها عند تشغيل ر ر
البمجية الضارة بناء عل المعطيات ي المهاجم بتغب سلوك ر
Virtualization/Sandbox
البنامج .وعادة ما يستخدم المهاجمين الت يقوم بها ر ر ر
ه افباضية يقوم بحماية نفسه او إخفاء الوظائف الرئيسية ي نان هذه البيئة ي Evasion
T1497
ماهي الكتشاف وذلك التشغيل عملية د عن تلقان
ي بشكل )Virtualization/Sandbox Evasion ( ب يسم يف برمجياتهم ما
البمجية الضارة بها. البيئة المراد تشغيل ر
والت تشتمل عمليات فحص النظام وحال وجد انه ن يف البيئة ر
قد يقوم المهاجمي بإنشاء وسائل مختلفة لتهرب من االكتشاف ي
ن
البمجية الضارة الت يقوم بقراءتها عند تشغيل ر ر االفباضية .وقد يقوم المهاجم بتغب سلوك ر ر
البمجية الضارة بناء عل المعطيات ي
البنامج .وعادة الت يقوم بها ر ر ر فحص النظام System Checks /
ه افباضية يقوم بحماية نفسه او إخفاء الوظائف الرئيسية ي ان هذه البيئة ي ن
فعند وجود داللة عل .001 T1497
تلقان عند عملية التشغيل ما يستخدم المهاجمي يف برمجياتهم ما يسم ب ( )Virtualization/Sandbox Evasionبشكل ن
ي
البمجية الضارة بها. ماه البيئة المراد تشغيل ر وذلك الكتشاف ي
والت تشتمل عمليات فحص سلوك المستخدم وحال وجد انه ر ن
نقد يقوم المهاجمي بإنشاء وسائل مختلفة لتهرب من االكتشاف ي
الت يقوم بقراءتها عند تشغيل ر االفباضية .وقد يقوم المهاجم بتغب سلوك ر ف البيئة ر
مجية الضارة بناء عل المعطيات ي الب ي
الت يقوم بها ر ر
ه افباضية يقوم بحماية نفسه او إخفاء الوظائف الرئيسية ي البمجية الضارة فعند وجود داللة عل نان هذه البيئة ي ر User Activity Based Checks .002 T1497
تلقان عند المهاجمي يف برمجياتهم ما يسم ب ( )Virtualization/Sandbox Evasionبشكل ن البنامج .وعادة ما يستخدم ر
ي
البمجية الضارة بها. ماه البيئة المراد تشغيل ر ي الكتشاف وذلك التشغيل عملية
ن الت من شانها اكتشاف انه داخل بيئة ر قد يقوم المهاجم بتنفيذ بعض الطرق ر
وف بعض االحيان التالعب بالوقت ن .ي افباضية مثل ي Time Based Evasion .003 T1497
افباضية او يقوم المهاجم بتحليل البنية الخاصة بالنظام ومعرفة اوقت وساعة النظام وذلك بهدف معرفة نف حال كان ف بيئة ر
ي ي
69
( )SandBoxوحمايته نفسه من تنفيذ تعليمات برمجية قد تفضح األساليب المستخدمة .وقد تكون تلك العمليات محدده
بوقت او تعمل ن يف بداية التشغيل.
قد يقوم المهاجم ر التشفب الضعيف Weaken /
تخط التشفب وقراءة البيانات المارة.
ي باخباق أجهزة التشفب عل مستوى الشبكة بهدف T1600
Encryption
قد يقوم المهاجم بتقليل حجم الجهد المطلوب لكش التشفب وذلك من خالل تقليل قوة التشفب قبل نقلها عل الشبكة. Reduce Key Space .001 T1600
قد يقوم المهاجم بتعطيل أجهزة تشفب البيانات عل مستوى الشبكة وذلك بهدف االستفادة وتقليل وقت كش التشفب والقدرة
Disable Crypto Hardware .002 T1600
عل جمع البيانات المارة ومعالجتها واستخراج المفيد منها.
ن ر
البمجيات او اعباضها من خالل تضمي سكربتات ن
المهاجمي بحجب بعض عناض التحكم باألمان من التحقق من ر قد يقوم
ن
داخل ملفات .XSLان ( )Extensible Stylesheet Language XSLملفات تستخدم بشكل شائع يف وصف العمليات XSL Script Processing T1220
ر ً ن
البمجية. وعرض البيانات يف ملفات .XMLيتضمن معيار XSLدعما لقراءة السكربتات ي
الت يتم تضمينها بمختلف اللغات ر
70
الحصول عل بيانات االعتماد Credential Access /
ن
المستخدمي وكلمات المرور، الحصول عل بيانات االعتماد :تتم من خالل اتباع أساليب وتقنيات يقوم بها المهاجم بهدف شقة أسماء
وتشتمل األساليب والتقنيات للحصول عل بيانات االعتماد بطرق مختلفة منها مسجل نضبات المفاتيح او سحب كلمات المرور .ومن
وه صعوبة اكتشافه ن خالل استخدام بيانات اعتماد صحيحة وفعالة قد تمكن المهاجم من ر
اخباق األنظمة ر
تعط المهاجم مبة ي
ي والت
ي
وتعطيه الصالحية كذلك ن يف انشاء حسابات أخرى.
71
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
المهاجمي تقنيات القوة الغاشمة للوصول إىل بيانات االعتماد عندما تكون كلمات المرور غب معروفة أو عند الحصول عل هاش ن قد يستخدم
منهج باستخدام ر ي لكلمات المرور .بدون معرفة كلمة المرور لحساب أو مجموعة من بيانات االعتماد ،قد يخمن المهاجم كلمة المرور بشكل كش كلمات المرور /
ر T1110
الت سوف تتحقق من صحة بيانات االعتماد آلية برمجية لتجربة عدة محاوالت .كش كلمات المرور تعمل من خالل التفاعل مع الخدمة ي Brute Force
لبيانات االعتماد.
ر
المهاجمي الذين ليس لديهم معرفة مسبقة ببيانات االعتماد الحساب المشوعة داخل النظام أو البيئة قد يخمنون كلمات المرور لمحاولة ن
منهج باستخدام آلية برمجية ن
تخمي كلمة المرور بشكل الوصول إىل الحسابات .بدون معرفة كلمة المرور للحساب ،قد يختار المهاجم ن
تخمي كلمة المرور /
ر ي
لتجربة عدة محاوالت .قد يخمن المهاجم بيانات اعتماد الحساب لتسجيل الدخول دون معرفة مسبقة بكلمات مرور النظام أو البيئة أثناء Password .001 T1110
بعي االعتبار سياسات الهدف بشأن استخدام تخمي كلمة المرور ن
ن العملية باستخدام قائمة من كلمات المرور الشائعة .قد يبحث المهاجم عند Guessing
الت قد تغلق الحسابات بعد عدد من المحاوالت الفاشلة. ر
تقنية تعقيد كلمة المرور أو استخدام السياسات ي
هاجمي باستخدام هجمات كش لمحاولة استعادة كلمات المرور المحفوظة من غب تشفب ،وقد يقوم المهاجم باستخدام كلمات ن قد يقوم الم
المرور المشفرة كذلك يف هجمات أخرى مثل ( .)Pass The Hashوقد يتم استخدام هجمات أخرى للحصول عل كلمات المرور مثل ن كش كلمات المرور /
.002 T1110
.Rainbow tableوعادة ما يتم استخدام مثل هذه الهجمة ن يف كش كلمات المرور عل أنظمة يقوم المهاجم بالتحكم بها خارج الشبكة Password Cracking
والت قد تستخدم لتسجيل الوصول لألنظمة والخدمات المستهدفة. ر
المستهدفة .وقد ينتج عنها كش كلمات المرور ي
المهاجمي قائمة واحدة أو صغبة من كلمات المرور شائعة االستخدام ضد العديد من الحسابات المختلفة لمحاولة الحصول ن قد يستخدم
عل بيانات حساب المستخدم الصالحة .يستخدم كش كلمة المرور كلمة مرور واحدة (مثل " ، )"Password01أو قائمة صغبة من كلمات
ر كش كلمات المرور
والت قد تتطابق مع سياسة االمنية الخاصة بالضحية .تتم محاولة تسجيل الدخول باستخدام كلمة المرور هذه ضد المرور شائعة االستخدام ،ي .003 T1110
ً ر Password Spraying
الت تحدث عادة عند فرض حساب واحد باستخدام العديد من العديد من الحسابات المختلفة عل الشبكة لتجنب عمليات إغالق الحساب ي
كلمات المرور.
الت تم الحصول عليها من عمليات Dumpingللحسابات غب ذات الصلة للوصول إىل الحسابات المهاجمي بيانات الحسابات ر
ن قد يستخدم
ي
ر
عب اإلنبنت عند ن ن
المستهدفة من خالل تداخل بيانات الحسابات .من حي آلخر ،يتم تشيب عدد كبب من اسماء المستخدمي وكلمات المرور ر
اخباق موقع ويب أو خدمة والوصول إىل بيانات حسابات المستخدم .قد تكون المعلومات مفيدة للمهاجم لمحاولة ر ر Credential Stuffing .004 T1110
اخباق الحسابات من
ن
المستخدمي إىل استخدام نفس كلمات المرور يف الحسابات الشخصية والتجارية. ن خالل االستفادة من عادة
ن
اجمي عن مواقع يتم فيها تخزين كلمات المرور الشائعة للحصول عل بيانات حسابات المستخدمي .يتم تخزين كلمات المرور ن قد يبحث المه
ً ً
ن يف عدة أماكن عل النظام ،اعتمادا عل نظام التشغيل أو التطبيق الذي يحمل بيانات حسابات المستخدم .هناك أيضا تطبيقات محددة تخزن Credentials from
ن .004 T1555
المستخدمي .بمجرد الحصول عل بيانات الحسابات ،يمكن استخدامها ألداء التنقل داخل كلمات المرور لتسهيل إدارتها وصيانتها عل Password Stores
الشبكة والوصول إىل المعلومات المحمية.
ه المفاتيح سالسل . ن
المستخدمي حسابات بيانات عل للحصول النظام من المفاتيح سلسلة المهاجمي بجمع بيانات تخزين ن قد يقوم
ي
ن ن
الطريقة المضمنة لنظام macOSلتتبع كلمات مرور المستخدمي وبيانات حساباتهم للعديد من الخدمات والمبات مثل كلمات مرور WiFi
ومواقع الويب والمالحظات اآلمنة والشهادات و .Kerberosتوجد ملفات Keychainن يف ~ / Library / Keychains /و Library / / Keychain .001 T1555
اضيا ،طريقة مفيدة إلدارةافب ً / Keychainsو ./ Network / Library / Keychains /توفر أداة سطر أوامر األمان ،المضمنة نف macOSر
ي
ن
المستخدمي هذه. بيانات حسابات
72
عب الذاكرة للعثور قد يحصل المهاجم عل حق الوصول إىل صالحية المسؤول (مما يسمح له بقراءة ذاكرة ، )securitydثم يمكنه المسح ر
نسبيا من المحاوالت لفك تشفب سلسلة مفاتيح تسجيل دخول المستخدم .هذا يوفر للمهاجم ً عل التسلسل الصحيح للمفاتيح ن يف عدد قليل Securityd Memory .002 T1555
البيد ،المتصفحات ،الشهادات ،المالحظات المحمية ،إلخ. ن
للمستخدمي ، WiFi ،ر جميع كلمات مرور الغب مشفرة
ً ن
المهاجمي عل بيانات االعتماد من متصفحات الويب من خالل قراءة الملفات الخاصة بالمستعرض الخاص بالهدف .عادة ما قد يحصل كلمات المرور من
ن ً
مستخدم مواقع الويب وكلمات المرور بحيث ال تحتاج إىل إدخالها يدويا يف المستقبل. تحفظ مستعرضات الويب بيانات اعتماد مثل أسماء المتصفحات /
ي .003 T1555
عادة ما تقوم متصفحات الويب بتخزين بيانات االعتماد بتنسيق مشفر داخل متجر بيانات الحسابات؛ ومع ذلك ،توجد هناك طرق الستخراج from Credentials
بيانات االعتماد الغب مشفرة من متصفحات الويب. Web Browsers
المهاجمي عل بيانات الحسابات من مدير بيانات الحسابات لنظام التشغيل ويندوز .يخزن مدير حسابات بيانات االعتماد ن قد يحصل Windows
ن
الت تطلب المصادقة من خالل NTLMأو Kerberosيف خزائن بيانات لتسجيل الدخول إىل مواقع الويب والتطبيقات و أو األجهزة ر Credential .004 T1555
ي ً
سابقا باسم .)Vaults Windows الحسابات (المعروفة Manager
التابعي لجهات خارجية .تعد إدارة كلمات المرور تطبيقات ن المهاجمي عل بيانات حساب المستخدم من مديري كلمات المرور ن قد يحصل
ً ن ً
.
مصممة لتخزين بيانات اعتماد المستخدم ،عادة يف قاعدة بيانات مشفرة يمكن الوصول إىل بيانات االعتماد عادة بعد أن يوفر المستخدم Password
ن .005 T1555
تأمي قاعدة البيانات ،قد يتم نسخ بيانات االعتماد هذه إىل الذاكرة .يمكن تخزين قواعد كلمة مرور رئيسية تفتح قاعدة البيانات .بعد إلغاء Managers
البيانات هذه كملفات عل القرص الصلب.
ن ن ن
البنامج عندما يستغل البامج يف محاولة لجمع بيانات االعتماد للحسابات .يحدث استغالل ثغرة يف ر المهاجمي نقاط ضعف ر قد يستغل
برمج يف برنامج أو خدمة أو داخل برنامج نظام التشغيل أو النواة نفسها لتنفيذ تعليمات برمجية يتحكم فيها المهاجم .قد يتم ن المهاجم خطأ
ير
المهاجمي كوسيلة للوصول إىل بيانات اعتماد الحسابات المفيدة أو التحايل عل ن استهداف آليات االعتماد والمصادقة لالستغالل من قبل Exploitation for
ن ر .003 T1212
عملية الوصول إىل األنظمة .أحد األمثلة عل ذلك هو ، MS14-068والذي يستهدف Kerberosويمكن استخدامه لبوير تذاكر Kerberos Credential Access
باستخدام أذونات مستخدم نف الشبكة .قد يؤدي استغالل الوصول إىل بيانات االعتماد ً
أيضا إىل تصعيد االمتياز ً
بناء عل العملية المستهدفة ي
الت تم الحصول عليها. ر
أو بيانات االعتماد ي
ً
المهاجمي بجمع مواد االعتماد عن طريق استدعاء أو إجبار المستخدم عل تقديم معلومات المصادقة تلقائيا من خالل آلية يمكنهم ن قد يقوم Forced
ر .003 T1187
االعباض. من خاللها Authentication
غالبا ما تستخدم تطبيقات ببوير مواد اعتماد يمكن استخدامها للوصول إىل تطبيقات الويب أو خدمات ر
اإلنبنتً . المهاجمي ر ن ن قد يقوم
ن ن Forge Web
وخدمات الويب (المستضافة يف بيئات SaaSالسحابية أو الخوادم المحلية) ملفات تعريف االرتباط للجلسة أو الرموز الممبة أو المواد األخرى .003 T1606
Credentials
لمصادقة وصول المستخدم وتفويضه.
ً ر
الت يمكن استخدامها للوصول إىل تطبيقات الويب أو خدمات اإلنبنت .غالبا ما ر ن رن
قد يقوم المهاجمي ببوير ملفات تعريف ارتباط نالويب ي ن
كوكب من الويب /
تستخدم تطبيقات وخدمات الويب (المستضافة يف بيئات SaaSالسحابية أو الخوادم المحلية) ملفات تعريف االرتباط للجلسة لمصادقة .001 T1606
Web Cookies
وصول المستخدم وتفويضه.
الممبة مع أي مطالبات أذونات لمدى الحياة إذا كان يمتلك شهادة توقيع رمز SAMLصالحة .العمر ن ببوير رموز SAML المهاجمي ر ن ن قد يقوم
ن ... ر ن ر
اض لرمز SAMLالممب هو ساعة واحدة ،ولكن يمكن تحديد فبة الصالحية يف قيمة NotOnOrAfterللشوط عنض يف الرمز ن ر
االفب ن
ّ ي SAML Tokens .002 T1606
ن
للمهاجمي الممب .يمكن تغيب هذه القيمة باستخدام AccessTokenLifetimeن يف .LifetimeTokenPolicyتمكن رموز SAMLالمزورة ن
الت تستخدم SAML 2.0كآلية ( SSOتسجيل دخول فردي). ر
الخدمات يً
عب
من المصادقة ر
قد يستخدم المهاجمي طرقا اللتقاط مدخالت المستخدم للحصول عل بيانات االعتماد أو جمع المعلومات .أثناء االستخدام العادي للنظام، ن
Input Capture T1056
غالبا ما يوفر المستخدمون بيانات اعتماد لمواقع مختلفة ،مثل صفحات/بوابات تسجيل الدخول أو ن يف النظام .قد تكون آليات التقاط ً
73
المدخالت شفافة للمستخدم (مثل ربط واجهة برمجة تطبيقات بيانات االعتماد) أو تعتمد عل خداع المستخدم لتقديم مدخالت فيما
يعتقدون أنه خدمة أصلية (مثل .)Web Portal Capture
ر
المهاجمي بتسجيل ضغطات مفاتيح المستخدم العباض بيانات االعتماد أثناء قيام المستخدم بكتابتها .من المحتمل استخدام ن قد يقوم
تسجيل كلمات المرور /
Keyloggingللحصول عل بيانات اعتماد لفرص وصول جديدة عندما ال تكون جهود سحب بيانات اعتماد نظام التشغيل فعالة ،وقد .001 T1056
اعباض ضغطات المفاتيح عل النظام ر تتطلب من المهاجم ر Keylogging
لفبة طويلة من الوقت قبل التمكن من التقاط بيانات االعتماد بنجاح.
ن
المستخدمي ببيانات االعتماد مع مطالبة تبدو المهاجمي مكونات واجهة المستخدم الرسومية لنظام التشغيل الشائعة لمطالبة ن يحاك قد
ن ي
الحاىل ،فمن الشائع لنظام التشغيل الت تحتاج إىل امتيازات إضافية غب الموجودة يف سياق المستخدم ر . ر
ي البامج ي
مشوعة عندما يتم تنفيذ ر GUI Input Capture .002 T1056
مطالبة المستخدم ببيانات االعتماد المناسبة لتفويض االمتيازات المرتفعة للمهمة (عل سبيل المثال :تجاوز تحكم حساب المستخدم)
ن
المستخدمي المهاجمي بتثبيت برمجية عل بوابات خارجية ،مثل صفحة تسجيل الدخول إىل ،VPNاللتقاط ونقل بيانات اعتماد ن قد يقوم
ر Web Portal
الذين يحاولون تسجيل الدخول إىل الخدمة .عل سبيل المثال ،قد تسجل صفحة تسجيل الدخول المخبقة بيانات اعتماد المستخدم .003 T1056
Capture
المقدمة قبل تسجيل دخول المستخدم إىل الخدمة.
المهاجمي بوظائف واجهة برمجة تطبيقات )Windows (APIلجمع بيانات اعتماد المستخدم .قد تلتقط آليات الربط الضارة ن قد يرتبط
ر Credential API
الت تتضمن معلمات تكشف عن بيانات اعتماد مصادقة المستخدم .عل عكس ، Keyloggingتركز ي التطبيقات برمجة واجهة استدعاءات .004 T1056
ر ر Hooking
الت تكشف عن بيانات اعتماد المستخدم. الت تتضمن المعلمات ي هذه التقنية بشكل خاص عل وظائف APIي
أكب من األجهزة المتصلة بالشبكة باستخدام تقنية )man-in-the-middle (MiTM بي جهازين أو ر المهاجمي وضع أنفسهم ن
ن قد يحاول
ن ن
لدعم سلوكيات المتابعة مثل التجسس يف الشبكة أو التعديل عل البيانات المنقولة .من خالل إساءة استخدام مبات بروتوكوالت الشبكات Man-in-the-
ً ن ر T1557
المهاجمي جهازا عل االتصال يجب
الت يمكنها تحديد تدفق حركة مرور الشبكة (مثل ARPو DNSو LLMNRوما إىل ذلك) ،قد ر الشائعة ي Middle
ر
من خالل نظام يتم التحكم فيه من ِقبل المهاجم حت يتمكنوا من جمع المعلومات أو تنفيذ اهداف إضافية.
ً ً ن LLMNR/NBT-NS
مصدرا موثوقا لتحليل االسم لفرض االتصال بنظام يتم المهاجمي من خالل االستجابة لحركة مرور شبكة ، LLMNR/NBT-NSقد ينتحل
Poisoning and .001 T1557
التحكم فيه من قبل الخصم .يمكن استخدام هذا النشاط لجمع أو نقل مواد المصادقة.
SMB Relay
بي اتصال جهازين أو ر
أكب من األجهزة المتصلة بالشبكة .يمكن استخدام المهاجمي بروتوكول تحليل العنوان ( )ARPلوضع أنفسهم ن
ن قد يسمم ARP Cache
ن ن .002 T1557
لتمكي سلوكيات المتابعة مثل التجسس يف الشبكة أو التعديل عل البيانات المنقولة. هذا النشاط Poisoning
المبر إىل الحسابات .تتم ن
تمكي الوصول غب ر ن
المهاجمي بتعديل آليات وعمليات المصادقة للوصول إىل بيانات اعتماد المستخدم أو قد يقوم
المحل ( )LSASSومدير حسابات األمان ( )SAMعل ي معالجة عملية المصادقة من خالل آليات ،مثل عملية خادم مصادقة األمان Modify
البخيص اإلضافية عل أنظمة ،Windowsووحدات المصادقة القابلة للتوصيل ( )PAMعل األنظمة المستندة إىل ، Unixومكونات ر Authentication T1556
،MacOSالمسؤولة لجمع بيانات االعتماد وتخزينها والتحقق منها .من خالل تعديل عملية المصادقة ،قد يكون المهاجم ً
قادرا عل المصادقة Process
عل خدمة أو نظام دون استخدام حسابات صالحة.
ن
وتمكي الوصول إىل المهاجمي بتصحيح عملية المصادقة عل Domain Controllerلتجاوز آليات المصادقة النموذجية ن قد يقوم Domain Controller
.001 T1556
الحسابات. Authentication
الديناميك ( )DLLلتصفية كلمات المرور الضارة ن يف عملية المصادقة للحصول عل بيانات اعتماد
ي االرتباط مكتبات ن
المهاجمي قد يسجل Password Filter
.002 T1556
المستخدم بمجرد التحقق من صحتها. DLL
74
المبر إىل الحسابات. تمكي الوصول غب ر ن المهاجمي بتعديل وحدات المصادقة ( )PAMللوصول إىل بيانات اعتماد المستخدم أو ن قد يقوم
ر Pluggable
.
والت توجه المصادقة للعديد من الخدمات وحدة المصادقة PAMهو ًنظام معياري لملفات التكوين والمكتبات والملفات القابلة للتنفيذ ي Authentication .003 T1556
باسبداد معلومات مصادقة الحساب وتعيينها والتحقق منها ن يف etc/passwd /و / والت تقوم ر ر
ه ، pam_unix.soي األكب شيوعا ي
ر
Modules
.etc/shadow
وبالتاىل تجاوز آليات المصادقة األصلية للحسابات ن
قد يستخدم المهاجمي Patch System Imageلتشفب كلمة مرور يف نظام التشغيل، ن Network Device
ي .004 T1556
المحلية عل أجهزة الشبكة. Authentication
عب ر ن ن
الت يتم تمريرها ر قد يتجسس المهاجمي عل حركة مرور الشبكة اللتقاط معلومات حول بيئة الضحية ،بما يف ذلك مواد المصادقة ي
السلك .قد
ي سلك أو
ي عب اتصال الشبكة .يشب تجسس الشبكة إىل استخدام وضعية الشبكة عل نظام لمراقبة أو التقاط المعلومات المرسلة ر التجسس عل الشبكة /
T1040
عب الشبكة ،أو استخدام منافذ تفاعل إىل البيانات أثناء النقل ر ي يضع المهاجم وضعية الشبكة ن يف الوضع promiscuousللوصول بشكل غب Network Sniffing
أكب من البيانات.
spanاللتقاط كمية ر
ً
المهاجمي سحب بيانات االعتماد للحصول عل تسجيل الدخول إىل الحساب ومواد بيانات االعتماد ،عادة ن يف شكل كلمات مرور ن قد يحاول سحب كلمات المرور /
والبامج يمكن بعد ذلك استخدام بيانات االعتماد إلجراء للتنقل داخل الشبكة والوصول . مخبلة أو كلمة مرور غب مشفرة ،من نظام التشغيل ر رن OS Credential T1003
إىل المعلومات المقيد الوصول لها. Dumping
المهاجمي الوصول إىل مواد االعتماد المخزنة ن يف ذاكرة العملية الخاصة بخدمة ( .)LSASSبعد أن يقوم المستخدم بتسجيل ن قد يحاول
ن
الدخول ،يقوم النظام بإنشاء وتخزين مجموعة متنوعة من مواد االعتماد يف ذاكرة عملية .LSASSيمكن جمع مواد االعتماد هذه بواسطة LSASS Memory .001 T1003
مستخدم يحمل صالحية مدير مسؤول أو حساب نظام واستخدامها إلجراء تنقالت داخل الشبكة باستخدام استخدام مواد المصادقة البديلة.
المهاجمي استخراج مواد االعتماد من قاعدة بيانات إدارة حساب األمان ( )SAMإما من خالل تقنيات الذاكرة أو من خالل سجل ن قد يحاول
ر ً Security Account
الت يتمي تلك عادة للنظام، محلية حسابات عل يحتوي بيانات قاعدة ملف هو SAM. SAM بيانات قاعدة تخزين يتم حيث Windows .002 T1003
Manager
العثور عليها باستخدام األمر .net userيتطلب جميع قاعدة بيانات SAMالوصول إىل مستوى النظام.
المهاجمي الوصول إىل أو إنشاء نسخة من قاعدة بيانات مجال Active Directoryلشقة معلومات االعتماد ،وكذلك الحصول ن قد يحاول
اض ،يوجد ملف NTDS ن ر
افب بشكل . الوصول وحقوق ن
والمستخدمي األجهزة مثل الشبكة ف ن الحسابات حول أخرى معلومات عل NTDS .003 T1003
ي ي ن
)(NTDS.ditيف \NTDS\Ntds.dit ٪SystemRoot ٪لوحدة .Domain Controller
والت يمكن أن تحتوي عل مجموعة متنوعة من المهاجمي الذين لديهم وصول SYSTEMنف شبكة الضحية الوصول إىل ( ،)LSAر ن قد يحاول
ن ي ن ي
مواد االعتماد المختلفة ،مثل بيانات اعتماد حسابات الخدمة .يتم تخزين أ شار LSAيف التسجيل يف \HKEY_LOCAL_MACHINE LSA Secrets .004 T1003
أيضا التخلص من أشار LSAمن الذاكرة. .SECURITY \Policy\Secretsيمكن ً
ً
مؤقتا المستخدمة للسماح بحدوث المصادقة ن يف حالة عدم توفر Domain المهاجمي الوصول إىل بيانات اعتماد المجال المخزنة ن قد يحاول Cached Domain
.005 T1003
.Controller Credentials
المهاجمي الوصول إىل بيانات االعتماد والمعلومات الحساسة األخرى عن طريق إساءة استخدام واجهة برمجة تطبيقات ن قد يحاول
DCSync .006 T1003
)Windows Domain Controller (APIلمحاكاة عملية النسخ المتماثل من شبكة تحكم خارجية باستخدام تقنية تسم .DCSync
المهاجمي بجمع بيانات االعتماد من المعلومات المخزنة ن يف نظام ملفات Procأو .proc/يحتوي نظام ملفات Procعل Linux ن قد يقوم
الت تعمل بامتيازات مدير المسؤول استخدام ر للعمليات يمكن . التشغيل قيد التر التشغيل نظام بحالة المتعلقة المعلومات من كبب قدر عل
ي ي Proc Filesystem .007 T1003
البامج بتخزين كلمات المرور بكلمة مرور غب مشفرة أو .
الت قيد التشغيل إذا قامت أي من هذه ر ر ن
للبامج ي هذه المبة لكشف الذاكرة الحية ر
عندئذ جمع هذه كلمات المرور لالستخدام أو لعمل هجوم القوة الغاشمة. ٍ مخبلة ن يف الذاكرة ،فيمكن كلمات مرور ر ن
75
باإلنبنت .تستخدمر لتمكي ر
اخباق كلمات المرور دون اتصال ن ن
المهاجمي تفري غ محتويات etc/passwd /و etc/ shadow / قد يحاول
ن /etc/passwd and
/ / /
معظم أنظمة تشغيل Linuxالحديثة مجموعة من etc / passwdو shadow etcلتخزين معلومات حساب المستخدم بما يف ذلك .008 T1003
مخبلة نف .etc/shadow /ر
افب ً كلمة مرور ر ن /etc/shadow
اضيا ،ال يمكن قراءة etc/shadow /إال بواسطة مستخدم مدير المسؤول. ي
ن
للمهاجمي شقة رموز الوصول إىل تطبيق المستخدم كوسيلة للحصول عل بيانات اعتماد للوصول إىل األنظمة والموارد البعيدة .يمكن يمكن Steal Application
T1528
أن يحدث هذا من خالل الهندسة االجتماعية وعادة ما يتطلب إجراء المستخدم لمنح حق الوصول. Access Token
ن ن Steal or Forge
لتمكي تمرير التذكرة. المهاجمي تخريب مصادقة Kerberosعن طريق شقة أو تزوير تذاكر Kerberos قد يحاول T1558
Kerberos Tickets
ببوير تذاكر منح تذكرة ،)Kerberos (TGTوالمعروفة ً مخبلة لحساب KRBTGTر ن المهاجمي الذين لديهم كلمة مرور ر ن ن
أيضا باسم قد يقوم
ن ن Golden Ticket .001 T1558
المهاجمي من إنشاء مواد توثيق ألي حساب يف .Active Directory التذكرة الذهبية .تمكن التذاكر الذهبية
مخبلة لحساب خدمة خاص بالضحية (مثل )MSSQL ،SharePointقد يزورون تذاكر خدمة منح تذاكر المهاجمي الذين لديهم كلمة مرور ر ن ن
ً ُ ً Silver Ticket .002 T1558
، )Kerberos (TGSوالمعروفة أيضا باسم التذاكر الفضية .تعرف أيضا تذاكر Kerberos TGSبتذاكر الخدمة.
المهاجمي استخدام بطاقة منح تذكرة Kerberosصالحة ( )TGTأو التنصت ن يف حركة مرور الشبكة للحصول عل تذكرة خدمة ن يسء
قد ي
ر Kerberoasting .003 T1558
الت قد تكون عرضة ل .Brute Force ي ) TGS ( التذاكر منح
الت عطلت مصادقة Kerberosعن طريق مهاجمة كلمة المرور لرسائل .Kerberos ر ن
قد يكشف المهاجمي عن بيانات اعتماد الحسابات ي AS-REP Roasting .004 T1558
ر
قد يشق المهاجم ملفات تعريف ارتباط تطبيقات الويب أو جلسة الخدمة ويستخدمها للوصول إىل تطبيقات الويب أو خدمات اإلنبنت
كمستخدم مصادق عليه دون الحاجة إىل بيانات اعتمادً . Steal Web Session
غالبا ما تستخدم تطبيقات وخدمات الويب ملفات تعريف االرتباط للجلسة كرمز T1539
ن Cookie
ممب للمصادقة بعد مصادقة المستخدم عل موقع ويب.
الت يمكن استخدامها ر ن ن
قد يستهدف المهاجمي آليات المصادقة ذات العاملي ،FA2مثل البطاقات الذكية ،للوصول إىل بيانات االعتماد ي Two-Factor
للوصول إىل األنظمة والخدمات وموارد الشبكة .يوض باستخدام مصادقة ثنائية أو متعددة العوامل ( FA2أو )MFAوتوفر مستوى أعل من
الت يمكن استخدامها ر ر ن Authentication T1111
العباض األمان من أسماء المستخدمي وكلمات المرور وحدها ،ولكن يجب أن تكون المؤسسات عل دراية بالتقنيات ي Interception
آليات األمان هذه وعمل آلية دفاعية لمنعها.
المخبقة للعثور عل بيانات اعتماد مخزنة بشكل غب آمن والحصول عليها .يمكن تخزين بيانات االعتماد ر المهاجمي عن األنظمة ن قد يبحث
ن ن ن Unsecured
هذه أو وضعها يف غب مكانها يف العديد من المواقع عل النظام ،بما يف ذلك ملفات الغب مشفرة (مثل ، )Bash Historyأو نظام التشغيل أو T1552
Credentials
المستودعات الخاصة بالتطبيق (مثل بيانات االعتماد ن يف التسجيل) ،أو الملفات/العناض المتخصصة األخرى (مثل المفاتيح الخاصة).
الت تحتوي عل بيانات اعتماد مخزنة بشكل ر ن ن
قد يقوم المهاجمي بالبحث يف أنظمة الملفات المحلية ومشاركات الملفات البعيدة عن الملفات ي بيانات االعتماد داخل
ر ر
الت أنشأها المستخدمون لتخزين بيانات االعتماد الخاصة بهم ،أو مخازن بيانات االعتماد المشبكة غب آمن .يمكن أن تكون هذه الملفات ي الملف Credentials / .001 T1552
الت تحتوي عل الت تحتوي عل كلمات مرور لنظام أو خدمة ،أو شفرة المصدر أو الملفات الثنائية ر لمجموعة من األفراد ،أو ملفات التكوين ر
ي ي In Files
كلمات مرور مضمنة.
ً ر ن ن
المهاجمي بالبحث يف السجل عل األنظمة المخبقة بحثا عن بيانات اعتماد مخزنة بشكل غب آمن .يخزن سجل Windows قد يقوم
ً ن ر
المهاجمي من السجل بحثا عن بيانات االعتماد وكلمات البامج األخرى .قد يستفش ر أو النظام يستخدمها أن يمكن الت ي التكوين معلومات Credentials in
.002 T1552
الت تم تخزينها لالستخدام من قبل برامج أو خدمات أخرى .ن يف بعض األحيان يتم استخدام بيانات االعتماد هذه لعمليات تسجيل ر
المرور ي Registry
الدخول التلقائية.
ً ر ن ن
.
قد يبحث المهاجمي يف محفوظات أوامر bashعل األنظمة المخبقة بحثا عن بيانات اعتماد مخزنة بشكل غب آمن يتتبع Bashاألوامر
Bash History .003 T1552
الت يكتبها المستخدمون ن يف سطر األوامر باستخدام األداة المساعدة " ."historyبمجرد تسجيل خروج المستخدم ،يتم مسح السجل إىل ي
ر
76
ً
ملف bash_history.الخاص بالمستخدم .لكل مستخدم ،يوجد هذا الملف ن يف نفس الموقع .bash_history. / ~ :عادة ما يتتبع هذا
ر
والت يتم ن ن الملف آخر 500أمر للمستخدمً .
للبامج ،ي المستخدمي وكلمات المرور يف سطر األوامر كمعلمات ر غالبا ما يكتب المستخدمون أسماء
حفظها بعد ذلك ن يف هذا الملف عند تسجيل الخروج .يمكن للمهاجمي إساءة استخدام هذا من خالل البحث يف الملف عن بيانات االعتماد
ن ن
المحتملة.
ُ. ر ن
قد يبحث المهاجمي عن ملفات شهادة المفتاح الخاص عل األنظمة المخبقة للحصول عل بيانات اعتماد مخزنة بشكل غب آمن تستخدم
مفاتيح وشهادات التشفب الخاصة للمصادقة والتشفب أو فك التشفب والتوقيعات الرقمية .تتضمن امتدادات ملفات الشهادة والمفتاح Private Keys .004 T1552
الشائعة..asc ،.p7b ،.cer ،.pfx ،.pem ،.p12 ،.ppk. ،.gpg ،pgp . ، key. :
ن Cloud Instance
المهاجمي الوصول إىل Instance Metadata API Cloudلجمع بيانات االعتماد والبيانات الحساسة األخرى. قد يحاول .005 T1552
Metadata API
ن
للمسؤولي ه أدوات تسمح ن ن
قد يحاول المهاجمي العثور عل بيانات اعتماد غب آمنة يف أعدادات ( Group Policy Preferences). GPPي Group Policy
.006 T1552
ن ن
بإنشاء سياسات داخل المنظومة باستخدام بيانات االعتماد المضمنة .تسمح هذه السياسات للمسؤولي بتعيي حسابات محلية. Preferences
ن
عب واجهات برمجة التطبيقات APIداخل بيئة حاويات .تسمح واجهات برمجة التطبيقات يف هذه ن
المهاجمي بيانات االعتماد ر قد يجمع
ُ Container API .007 T1552
البيئات ،مثل Docker APIو ، Kubernetes APIsللمستخدم بإدارة موارد الحاوية ومكونات المجموعة عن بعد.
77
االستطالع واالكتشاف Discovery /
ر
المخبقة. الت تمكنهم من االستطالع واالكتشاف داخل النظام او الشبكة المهاجمي باستخدام األساليب والتقنيات ر
ن االستطالع :قد يقوم
ي
المهاجمي ن يف استطالع األنظمة للبيئة المستهدفة وتعطيهم األفضلية ن يف اتخاذ القرارات قبل القيام او تثبيت
ن ان هذه األساليب تدعم
ن
للمهاجمي من االطالع عل ما يمكنهم الوصول الية او التحكم به ،وقد البمجيات او التنقل داخل الشبكة .وتسمح كذلك هذه األساليب ر
ن
تأن مع األنظمة او برمجيات غب ضارة لالستفادة منها يف عمليات االستطالع واالكتشاف. ر
يقوم المهاجم باستخدام أدوات ي
78
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
ن االستطالع بحث عن
المهاجمي الحصول عل قائمة بالحسابات عل نظام أو داخل البيئة المستهدفة .يمكن أن تساعد هذه المعلومات قد يحاول
الحسابات Account / T1087
المهاجمي ن يف تحديد الحسابات الموجودة للمساعدة يف متابعة سلوكها.
ن ن
Discovery
المهاجمي ن يف تحديد الحسابات
ن المهاجمي الحصول عل قائمة بحسابات النظام الداخلية .يمكن أن تساعد هذه المعلومات ن قد يحاول محل Local /
ي حساب
.001 T1087
الداخلية الموجودة عل النظام للمساعدة ن يف متابعة سلوكها. Account
المهاجمي ن يف
ن ر
المخبقة .يمكن أن تساعد هذه المعلومات الت داخل الشبكة ر
الحسابات ي المهاجمي الحصول عل قائمة بكلن قد يحاول حساب مدير النظام /
ن .002 T1087
تحديد الحسابات الموجودة داخل الشبكة للمساعدة يف متابعة سلوكها. Domain Account
ن
المهاجمي سحب قوائم عناوين ون والحسابات .قد يحاول ر ن ن البيد Email /
البيد اإللكب ي المهاجمي الحصول عل قائمة بعناوين ر قد يحاول حساب ر
.003 T1087
Exchangeمثل قوائم العناوين العمومية (.)GALs Account
ر ن
الت تم إنشاؤها وتكوينها
ه تلك الحسابات يالسحابية .الحسابات السحابية ي
ُ
المهاجمي الحصول عل قائمة بالحسابات قد يحاول
حساب الخدمات السحابية /
بواسطة رشكة الستخدامها من قبل المستخدمي أو الدعم عن بعد أو الخدمات أو إلدارة الموارد داخل مزود خدمة سحابية أو تطبيق
ن .004 T1087
Cloud Account
.SaaS
ن برمجيات اكتشاف الويندوز /
المهاجمي الحصول عل قائمة برمجيات الويندوز المفتوحة .يمكن أن تنقل قوائم الويندوز معلومات حول كيفية استخدام قد يحاول
ر ً Window Application T1010
الت تم جمعها بواسطة .keylogger ي للمعلومات اسياق تعط
ي النظام أو
Discovery
المهاجمي بجمع اإلشارات المرجعية للمتصفح لمعرفة المزيد حول الضحية .قد تكشف إشارات المتصفح المرجعية عن ن قد يقوم استطالع المفضلة ن يف المتصفح
االجتماع ،وما إىل ذلك) باإلضافة : ن
معلومات شخصية عن المستخدمي (مثل المواقع المضفية ،واالهتمامات ،ووسائل التواصل Bookmark Browser / T1217
ي
إىل تفاصيل حول موارد الشبكة الداخلية مثل الخوادم أو األدوات أو لوحات المعلومات أو البنية التحتية األخرى ذات الصلة. Discovery
اكتشاف واستطالع البنية
قد يحاول المهاجم اكتشاف الموارد المتاحة داخل بيئة البنية التحتية للمنظمة مثال كخدمة ( .)IaaSيتضمن ذلك موارد خدمة
التحتية للخدمات السحابية /
االفباضية والنسخ االحتياطية باإلضافة إىل موارد الخدمات األخرى بما ن يف ذلك خدمات التخزين
الحوسبة مثل الطابعات واألنظمة ر T1580
Cloud Infrastructure
وقواعد البيانات.
Discovery
قد يستخدم المهاجم واجهة المستخدم الرسومية GUIللوحة المراقبة للخدمة السحابية مع بيانات اعتماد مشوقة للحصول عل
معلومات مفيدة من بيئة سحابية تشغيلية ،مثل خدمات وموارد ن لوحة المراقبة للخدمات
ومبات محددة .عل سبيل المثال ،يمكن استخدام GCP
السحابية Service Cloud / T1538
وماه نتائج المخاطر األمنية المحتملة ،وإلجراء استعالمات إضافية ،مثل البحث عن
ي Command Centerلعرض جميع األصول،
Dashboard
عناوين IPالعامة والمنافذ المفتوحة.
.
الت تعمل عل أي نظام بعد الدخول عليه يمكن أن تختلف هذه األساليب من النظام ر
قد يحاول المهاجم جمع الخدمات السحابية ي استطالع الخدمات السحابية /
عب مختلف البامج كخدمة ( .)SaaSتوجد العديد من الخدمات ر األساس كخدمة ( ،)PaaSإىل البنية التحتية كخدمة ( ،)IaaSأو ر
ي T1526
Discovery Cloud Service
موفري السحابة ويمكن أن تشمل التكامل المستمر والتسليم المستمر ( )CI / CDووظائف Lambdaو Azure ADوما إىل ذلك.
ن
المهاجمي اكتشاف المستودعات والموارد األخرى المتوفرة داخل بيئة المستودعات .قد تتضمن الموارد األخرى الصور قد يحاول Container and Resource
ُ وعمليات ر T1613
النش والبودات والعقد ومعلومات أخرى مثل حالة .Cluster Discovery
79
الت يمكن استخدامها لتحديد فرص التنقل داخل الشبكة ن يف بيئات ر
قد يحاول المهاجمي جمع معلومات حول عالقات ثقة النطاق ي
ن
ً
Windowsمتعددة النطاقات توفر عالقات الثقة بالنطاق آلية للنطاق للسماح بالوصول إىل الموارد بناء عل إجراءات المصادقة .
لمستخدم النطاق الموثوق به بالوصول إىل الموارد ن يف نطاق الثقة .قد تساعد ي الخاصة ن يف نطاق آخر .تسمح عالقات الثقة بالنطاق استطالع الثقة ن
بي النطاقات /
T1482
المعلومات المكتشفة للمهاجم ن يف إجراء ،SID-History Injectionوتمرير التذكرة ،و .Kerberoastingيمكن تعداد عالقات الثقة Discovery Domain Trust
بالنطاق باستخدام استدعاء DSEnumerateDomainTrusts () Win32 APIوأساليب NET.و .LDAPمن المعروف أن األداة
المهاجمي بجمع النطاقات الموثوقة. ن المساعدة ل Windows Nltestيتم استخدامها من قبل
المهاجمي بجمع الملفات واألدلة أو البحث ن يف مواقع محددة يف نظام ضحية أو مجلدات المشاركة يف الشبكة عن معلومات
ن ن ن قد يقوم االستطالع للملفات
اآلىل لمعرفة سلوكيات االكتشاف أثناء والدليل الملفات استطالع من المعلومات ن
المهاجمي يستخدم قد . ملفات نظام داخل معينة والمجلدات File and / T1083
ي
المتابعة ،بما ن يف ذلك ما إذا كان المهاجم يصيب الهدف بالكامل أم ال أو يحاول اتخاذ اهداف محددة. Directory Discovery
الت قد تكون عرضة الستغالل ر ن ن ر ن استطالع خدمات الشبكة /
الت تعمل يف األنظمة عن بعد ،بما يف ذلك تلك ي قد يحاول المهاجمي الحصول عل قائمة بالخدمات ي
البامج عن ُبعد .تتضمن طرق الحصول عل هذه المعلومات عمليات فحص المنافذ ومسح الثغرات األمنية باستخدام األدوات التر ر Network Service T1046
ي
تبيلها ن يف النظام. يتم ن ن Scanning
الت تعمل عن بعد كوسيلة لتحديد مصادر ر ر ن
قد يبحث المهاجمي عن المجلدات ومحركات األقراص الصلبة المشبكة عل األنظمة ي استطالع ملفات المشاركة /
ً
المعلومات لتجميعها كمقدمة للتجميع ولتحديد األنظمة المحتملة ذات األهمية للتنقل داخل الشبكة .غالبا ما تحتوي الشبكات عل
ر ن ّ ن ر Network Share T1135
الت تحتوي عل ملفات عل أنظمة محركات أقراص صلبة ومجلدات مشبكة يف الشبكة تمكن المستخدمي من الوصول إىل مجلدات ي Discovery
عب الشبكة. مختلفة ر
عب الشبكة. تمريرها يتم الت ر المصادقة مواد ذلك ف المهاجمي عل حركة مرور الشبكة لجمع معلومات حول بيئة ما ،بما ن ن يتجسس قد
ر ي ي
السلك .قد يضع ي سلك أو
ي عب اتصال يشب تجسس الشبكة إىل استخدام واجهة الشبكة عل نظام لمراقبة أو التقاط المعلومات المرسلة ر التجسس عل الشبكة /
T1040
عب الشبكة ،أو استخدام منافذ تفاعل إىل البيانات أثناء تنقلها ر ي المهاجم واجهة الشبكة ن يف الوضع promiscuousللوصول بشكل غب Network Sniffing
أكب من البيانات.
spanاللتقاط كمية ر
المهاجمي الوصول إىل معلومات مفصلة حول سياسة كلمة المرور المستخدمة داخل شبكة الضحية .سياسات كلمات ن قد يحاول
ر
ه طريقة لفرض كلمات مرور معقدة يصعب تخمينها أو اخباقها من خالل القوة العائمة .سيساعد هذا المهاجم عل للشبكات المرور االطالع عل سياسة كلمات
ي
الت تلبم بالسياسة (عل سبيل المثال ،إذا كان الحد ن ر ر المرور Policy Password /
إنشاء قائمة بكلمات المرور الشائعة وإطالق القاموس أو هجمات القوة العائمة ي T1201
أكب من 4-3كلمات مرور لكل األدن لطول كلمة المرور هو ،8فال تحاول استخدام كلمات مرور مثل ' 'pass123؛ عدم التحقق من ر ن Discovery
تعيي القفل عل 6لعدم قفل الحسابات). ن حساب إذا تم
قد يحاول المهاجمي جمع معلومات حول األجهزة الطرفية والمكونات المتصلة بنظام الكمبيوتر .يمكن أن تتضمن األجهزة الطرفية ن
موارد إضافية تدعم مجموعة متنوعة من الوظائف مثل لوحات المفاتيح أو الطابعات أو الكامبات أو قارئات البطاقات الذكية أو Peripheral Device
T1120
وحدات التخزين القابلة لإلزالة .يمكن استخدام المعلومات لتعزيز وعيهم بالنظام وبيئة الشبكة أو يمكن استخدامها لمزيد من Discovery
اإلجراءات
المهاجمي ن يف
ن المهاجمي العثور عل إعدادات المجموعات والصالحيات ن يف نطاق الشبكة .يمكن أن تساعد هذه المعلومات ن قد يحاول استطالع الصالحيات
ر
الت ن ن ن ن للمجموعات Permission /
تحديد حسابات المستخدمي والمجموعات المتاحة ،وعضوية المستخدمي يف مجموعات معينة ،والمستخدمي والمجموعات ي T1069
لديها صالحيات عالية. Groups Discovery
80
المهاجمي العثور عل مجموعات النظام المحلية وإعدادات الصالحيات .يمكن أن تساعد معرفة صالحية مجموعات ن يف ن قد يحاول
ن ن ن ن المجموعات المحلية Local /
.
المحل المهاجمي يف تحديد المجموعات الموجودة وأي المستخدمي ينتمون إىل مجموعة معينة قد يستخدم المهاجمي هذه ي النظام .001 T1069
ن ن ن Groups
المحليي. المستخدمي الموجودين ضمن مجموعة مدراء النظام المستخدمي الذين لديهم صالحيات عالية ،مثل المعلومات لتحديد
المهاجمي العثور عل مجموعات عل مستوى النطاق وإعدادات الصالحيات .يمكن أن تساعد معرفة مجموعات مع ن قد يحاول
ن ن ن مجموعة مدراء النظام /
الصالحية الممنوحة عل مستوى النطاق المهاجمي يف تحديد المجموعات الموجودة وأي المستخدمي ينتمون إىل مجموعة معينة. .002 T1069
ن ن Domain Groups
المستخدمي الذين لديهم صالحيات عالية ،مثل مدراء أنظمة النطاق. المهاجمي هذه المعلومات لتحديد قد يستخدم
.
قد يحاول المهاجمي العثور عل مجموعات الخدمات السحابية وإعدادات الصالحيات يمكن أن تساعد معرفة صالحيات مجموعات ن
مجموعة الخدمات السحابية /
ن
تبطي ن
المستخدمي المر ن
للمستخدمي والمجموعات داخل بيئة ما ،باإلضافة إىل المهاجمي ن يف تحديد األدوار المحددة ن السحابية .003 T1069
Cloud Groups
بمجموعة معينة.
ر ن
الت تم الحصول عليها قد يحاول المهاجمي الحصول عل معلومات حول العمليات الجارية عل النظام .يمكن استخدام المعلومات ي
ن
الت تعمل عل األنظمة داخل الشبكة .قد يستخدم المهاجمي المعلومات من عملية االكتشاف ر
ن البامج أو التطبيقات الشائعة ي لفهم ر
Process Discovery T1057
اآلىل لتشكيل سلوكيات المتابعة ،بما يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يحاول تنفيذ أثناء االكتشاف ي
أهداف محددة.
والبامج المثبتة.قد يتفاعل المهاجمي مع سجل Windowsلجمع معلومات حول النظام والتكوين ر ن Query Registry T1012
المهاجمي الحصول عل قائمة باألنظمة األخرى حسب عنوان IPأو اسم الجهاز أو أي معرف آخر عل شبكة يمكن ن قد يحاول
ن ُ
الحاىل يمكن أن توجد الوظائف داخل أدوات الوصول عن بعد لتمكي ذلك ،ولكن يمكن . استخدامها للتنقل داخل الشبكة من النظام اكتشاف واالستطالع للخدمات
المهاجمي ً ي ً
أيضا ن أيضا استخدام األدوات المساعدة المتاحة عل نظام التشغيل مثل Pingأو net viewباستخدام .Netقد يستخدم عن بعد System Remote / T1018
ملفات المضيف المحلية (عل سبيل المثال C:\Windows\System32\Drivers\etc\ hosts :أو )etc/hosts /من أجل Discovery
اكتشاف اسم المضيف لتعيينات عناوين IPلألنظمة البعيدة.
ن
المهاجمي والبامج المثبتة عل نظام أو ن يف بيئة سحابية .قد يستخدم البامج ر المهاجمي الحصول عل قائمة بإصدارات ر ن قد يحاول
ن البمجيات /
استطالع ر
اآلىل لتشكيل سلوكيات المتابعة ،بما يف ذلك ما إذا كان المهاجم ينوي أصابة المعلومات من Software Discoveryأثناء االكتشاف ي T1518
Software Discovery
الهدف بالكامل أم ال أو يسىع اىل عمل أهداف محددة.
المهاجمي الحصول عل قائمة رببامج األمان والتكوينات واألدوات الدفاعية وأجهزة االستشعار المثبتة عل نظام أو ن يف بيئة ن قد يحاول
ن استطالع برمجيات الحماية /
سحابية .قد يشمل ذلك أشياء مثل قواعد جدار الحماية ومكافحة الفبوسات .قد يستخدم المهاجمي المعلومات من Security
Software Security .001 T1518
اآلىل لتشكيل سلوكيات المتابعة ،بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل Software Discoveryأثناء االكتشاف ي Discovery
أم ال أو يسىع اىل عمل أهداف محددة.
ن
قد يحاول المهاجم الحصول عل معلومات مفصلة حول نظام التشغيل واألجهزة ،بما يف ذلك اإلصدار والتصحيحات واإلصالحات االطالع عل معلومات النظام /
اآلىل لتشكيل ن وحزم الخدمة والبنية.
قد يستخدم المهاجمي المعلومات من System Information Discoveryأثناء االكتشاف ي Information System T1082
سلوكيات المتابعة ،بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يسىع اىل عمل أهداف محددة. Discovery
المهاجمي المعلومات من ن اف لجهاز الضحية .قد يستخدم ن ن ن
ن قد يقوم المهاجمي بجمع المعلومات يف محاولة لحساب الموقع الجغر ي System Location
اآلىل لتشكيل سلوكيات المتابعة ،بما يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف Location Discovery Systemأثناء االكتشاف ي T1614
Discovery
بالكامل أم ال أو يسىع اىل عمل أهداف محددة.
81
الت يصلون إليها أو من خالل اكتشاف معلومات األنظمة ر ن
قد يبحث المهاجمي عن تفاصيل حول تكوين الشبكة وإعدادات األنظمة ي االطالع عل اعدادات الشبكة
. ر
الت يمكن استخدامها لجمع هذه المعلومات تتضمن األمثلة Arpو ipconfig / البعيدة .توجد العديد من أدوات إدارة نظام التشغيل ي Network System / T1016
ifconfigو nbtstatو .route Configuration Discovery
اآلىل ويمكن تحقيقه بعدة طرق مثل االكتشاف أثناء ذلك اء
ر إج يمكن . نت المخبقة اىل ر
اإلنب ر األنظمة وصول ن
المهاجمي من قد يتحقق Internet Connection
ي .001 T1016
استخدام طلبات Pingو tracertو GETإىل مواقع الويب. Discovery
االطالع عل االتصاالت
حاليا أو من األنظمة البعيدة ر
المخبق الذي يصلون إليه ً ن
المهاجمي الحصول عل قائمة باتصاالت الشبكة من أو إىل النظام قد يحاول الخاصة بنظام الشبكات /
T1049
عب الشبكة.
عن طريق االستعالم عن المعلومات ر System Network
Connections Discovery
نظاما بشكلً الت تستخدم ن ر ً ن
األساس ،أو المستخدم المسجل حاليا ،أو مجموعة المستخدمي ي ي المهاجمي تحديد المستخدم قد يحاول
ر
شائع ،أو ما إذا كان المستخدم يستخدم النظام بشكل نشط .يمكنهم القيام بذلك ،عل سبيل المثال ،عن طريق اسبداد أسماء
مستخدم الحساب أو باستخدام جمع بيانات األعتماد نظام التشغيل .يمكن جمع المعلومات بعدة طرق مختلفة باستخدام تقنيات ي االطالع عل بيانات مالك
منتشة ن يف جميع أنحاء النظام وتشمل ملكية عمليات النظام الجارية، االكتشاف األخرى ،ألن تفاصيل المستخدم واسم المستخدم ر العنوان System / T1033
وملكية الملف/الدليل ،ومعلومات الجلسة ،وسجالت النظام .قد يستخدم المهاجم المعلومات من مالك النظام واكتشاف المستخدم Owner/User Discovery
اآلىل لتشكيل سلوكيات المتابعة ،بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يسىع اىل عمل أثناء االكتشاف ي
أهداف محددة.
الت الت قد تحصل عل معلومات حول الخدمات ر المهاجمي الحصول عل معلومات حول الخدمات المسجلة .األوامر ر ن قد يحاول
ي ي االطالع عل خدمات النظام /
ه " "scو " "Tasklist / svcباستخدام Tasklistو " "net startباستخدام ،Netولكن قد يستخدم أدوات نظام التشغيل ي تستخدم
ن المهاجمي ً
ن System Service T1007
اآلىل لتشكيلي االكتشاف أثناء System Service Discovery من المعلومات المهاجمي يستخدم قد . أخرى أدوات اأيض
Discovery
سلوكيات المتابعة ،بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يسىع اىل عمل أهداف محددة.
تعيي وقت النظام وتخزينه بواسطة ن محل أو عن بعد .يتم قد يجمع المهاجم معلومات مثل وقت النظام أو المنطقة الزمنية من نظام االطالع عل وقت النظام /
ي T1124
بي األنظمة والخدمات ن يف الشبكة. Windows Time Serviceداخل نطاق للحفاظ عل مزامنة الوقت ن Discovery System Time
ر
المهاجمي وسائل مختلفة الكتشاف وتجنب بيئات المحاكاة االفباضية والتحليل .قد يشمل ذلك تغيب سلوك المهاجم ن قد يستخدم
ر
الت تشب وجوده عل بيئة اآللة االفباضية ( )VMEأو .Sandboxإذا اكتشف المهاجم ر األدلة وجود من التحقق عمليات نتائج ً
بناء عل
ً ي Virtualization/Sandbox
للبمجية الخبيثة .يمكنهم أيضا وجود ،VMEقد يقوم بتغيب برمجياته الخبيثة لقطع االتصال بالضحية أو إخفاء الوظائف األساسية ر T1497
البحث عن أدوات VMEقبل ن ن Evasion
تبيل برمجيات خبيثة ثانوية أو إضافية .قد يستخدم األعداء المعلومات المستفادة من
اآلىل لمعرفة سلوكيات المتابعة. Evasion Virtualization/Sandboxأثناء االكتشاف ي
ر
المهاجمي فحوصات مختلفة للنظام الكتشاف وتجنب بيئات المحاكاة االفباضية والتحليل .قد يشمل ذلك تغيب سلوك ن قد يستخدم
ر
الت تشب بأنه عل بيئة اآللة االفباضية ( )VMEأو .Sandboxإذا اكتشف ر األدلة وجود من التحقق عمليات نتائج عل المهاجم ً
بناء
ي
للبمجية الخبيثة .يمكنهم المهاجم وجود ،VMEقد يقوم بتغيب برمجياته الخبيثة لقطع االتصال بالضحية أو إخفاء الوظائف األساسية ر System Checks .001 T1497
أيضا البحث عن أدوات VMEقبل ن ن ً
تبيل برمجيات خبيثة ثانوية أو إضافية .قد يستخدم األعداء المعلومات المستفادة من
اآلىل لمعرفة سلوكيات المتابعة. Evasion Virtualization/Sandboxأثناء االكتشاف ي
. ر
المهاجمي فحوصات مختلفة لنشاط المستخدم الكتشاف وتجنب بيئات المحاكاة االفباضية والتحليل قد يشمل ذلك ن قد يستخدم User Activity Based
ر ر تغيب السلوك ً .002 T1497
الت تدل عل بيئة اآللة االفباضية ( )VMEأو .sanboxإذا اكتشف ي دالئل وجود من التحقق عمليات نتائج عل بناء Checks
82
التر
للبمجية الخبيثة ي المهاجم وجود ،VMEقد يقوم بتغيب برمجياته الخبيثة لقطع االتصال عن الضحية أو إخفاء الوظائف األساسية ر
تم زراعتها .يمكنهم ً
ن
المهاجمي المعلومات المستفادة تبيل برمجيات ثانوية أو إضافية .قد يستخدمأيضا البحث عن أدوات VMEقبل ن ن
اآلىل لتشكيل سلوكيات المتابعة.
Sandbox Evasionأثناء االكتشاف ي من / Virtualization
طرقا مختلفة تستند إىل الوقت الكتشاف وتجنب بيئات المحاكاة ر ً ن
االفباضية والتحليل .قد يشمل ذلك جمع المهاجمي قد يستخدم
الخصائص المستندة إىل الوقت ،مثل مدة تشغيل النظام أو ساعة النظام ،باإلضافة إىل استخدام أجهزة ضبط الوقت أو المشغالت Time Based Evasion .003 T1497
لفبة محدودة من الوقت. تلقائيا أو تعمل فقط ر
ً ر ً
الت تعمل
األخرى لتجنب بيئة الجهاز الظاهري ( )VMEأو ،Sandboxوتحديدا تلك ي
83
التنقل داخل الشبكة Lateral Movement /
المهاجمي بالتنقل داخل الشبكة باستخدام أساليب وتقنيات مختلفة تمكنه من التحكم والتنقل ن يف األنظمة
ن التنقل داخل الشبكة :يقوم
المهاجمي بمحاولة االستطالع واالكتشاف داخل الشبكة ومن ثم التنقل ن
ن ً ر
بي األنظمة .ومن النتائج المرجوة المخبقة عن بعد .وغالبا يقوم
من عمليات االستطالع واالكتشاف هو المقدرة عل التنقل للنظام او الحسابات المكتشفة .وقد يلجأ المهاجم اىل تثبيت برمجيات/أدوات
ن
المهاجمي حسابات فعالة وحقيقة تمكنه من التحكم والسيطرة عل األنظمة عن بعد وتتيح له فرصة التنقل ما ن
بي األنظمة .وقد يستخدم
والت قد تصعب عمليات االكتشاف. ر
لعمليات التنقل داخل الشبكة واألنظمة ي
84
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
ع إىل األنظمة الداخلية بمجرد دخوله الشبكة .يتم استغالل ر
للحصول عل وصول غب ش ن ي يستغل المهاجم خدمات الوصول عن ُبعد ر
ن ن اخباق الخدمات عن بعد /
بالبنامج أو خدمة أو يف برمجيات نظام التشغيل أو نواة التشغيل نفسها لتنفيذ برمج يف رالبنامج عندما يكون هناك خطأ ر ي الثغرة يف ر
ر ُ ر Exploitation of T1210
الت تتيح الوصول عن بعد بعد االخباق هو التنقل برمجيات خبيثة يتحكم فيها من خالل المهاجم .الهدف الشائع الستغالل الخدمات ي Remote Services
ن
لتمكي الوصول إىل أنظمة أخرى. داخل الشبكة
ن
مستخدمي آخرين داخل شبكة الضحية بعد أن يكون الداخل للوصول إىل معلومات إضافية أو استغالل التصيد المهاجم يستخدم
ي
الداخل هو هجوم متعدد المراحل حيث ممكن أن يكون حساب ي لديهم حق الوصول إىل الحسابات أو األنظمة داخل الشبكة .التصيد الداخل /
ي التصيد
ً
مسبقا أو عن طريق ر
اخباق بيانات اعتماد ون مفعل ن يف جهاز المستخدم والتحكم فيه يتم عن طريق برامج خبيثة مثبته ر ن
البيد اإللكب ير Internal T1534
ن
داخل موثوق به لزيادة احتمالية خداع الضحية للوقوع يف محاولة التصيد حساب من االستفادة ن
المهاجمي يحاول . المستخدم حساب Spearphishing
ي
االحتياىل.
ي
حتالمخبقة نف الشبكة .يقوم المهاجم بنسخ الملفات من نظام إىل آخر ر ر األنظمة المهاجمي بنقل أدوات أو ملفات مختلفة ن
بي ن يقوم
ي ن
ن .
يضمن بقاء الملفات واالدوات طوال بقائة يف الشبكة يقوم المهاجم بنسخ الملفات بي األنظمة المصابة الداخلية لدعم التنقل داخل
عب SMBلمشاركة الشبكة المتصلة أو مع االتصاالت الشبكة باستخدام بروتوكوالت مشاركة الملفات الموجودة مثل مشاركة الملفات ر Lateral Tool Transfer T1570
المصادق عليها مع SMB / Windows Admin Sharesأو .Protocol Remote Desktopويمكن ً
نظام
ي عل الملفات نسخ اأيض
Macو Linuxباستخدام أدوات مثل scpو rsyncو .sftp
ً
ن
للمستخدمي من الشائع ان يتحكم المهاجم ن يف الجلسات الموجودة مسبقا مع خدمات الوصول عن ُبعد للتنقل داخل الشبكة .يسمح
ُ ً اختطاف الخدمات عن بعد
استخدام بيانات وثوق صالحة لتسجيل الدخول إىل خدمة مصممة خصيصا لقبول االتصاالت عن بعد ،مثل telnetو SSHو .RDP
Remote Service / T1563
عندما يقوم المستخدم بتسجيل الدخول إىل إحدى الخدمات ،سيتم إنشاء جلسة تسمح له بالحفاظ عل جلسة تفاعلية مع تلك
Session Hijacking
الخدمة.
الفعل للتنقل داخل الشبكة .يعد )Secure Shell (SSHوسيلة للوصول ر
يقوم المهاجم بالدخول الغب مشوع لجلسة SSHللمستخدم
ي
عب ممر مشفر ،وعادة ما يتم المصادقة عليه من خالل عن ُبعد عل أنظمة Linuxو .macOSيسمح للمستخدم باالتصال بنظام آخر ر SSH Hijacking .001 T1563
كلمة مرور أو شهادة أو استخدام انواع مفاتيح تشفب غب متماثل.
ن
ع للتنقل داخل الشبكة .يعد جلسة سطح المكتب مبة شائعة ر
يقوم المهاجم باختطاف جلسة سطح المكتب تفاعلية للمستخدم الش ي
ن يف أنظمة التشغيل .يسمح للمستخدم بتسجيل الدخول إىل جلسة تفاعلية باستخدام واجهة مستخدم رسومية لسطح مكتب عل نظام RDP Hijacking .002 T1563
عن بعد .تشب Microsoftإىل تنفيذها رلبوتوكول سطح المكتب البعيد RDPعل أنه خدمات سطح المكتب البعيد ()RDS
خصيصا لقبول االتصاالت عن ُبعد ،مثل telnetو SSHو ً يستخدم المهاجم الحسابات الصالحة لتسجيل الدخول إىل خدمة مصممة الخدمات المتصلة عن بعد
T1021
.VNCقد يقوم المهاجم بعد ذلك بتنفيذ عمليات بانتحاله صفة المستخدم الذي قام بتسجيل الدخول. Remote Services /
سطح المكتب البعيد /
يستخدم المهاجم حسابات صالحة لتسجيل الدخول إىل جهاز كمبيوتر باستخدام بروتوكول سطح المكتب البعيد ( .)RDPقد يقوم
Remote Desktop .001 T1021
المهاجم بعد ذلك بتنفيذ عمليات بانتحاله صفة المستخدم الذي قام بتسجيل الدخول.
Protocol
85
مشاركة الملفات للويندوز /
يستخدم المهاجم الحسابات الصالحة للتفاعل مع مشاركة شبكة بعيدة باستخدام )Server Message Block (SMBويقوم المهاجم
SMB/Windows .002 T1021
بعد ذلك بتنفيذ إجراءات بصفته المستخدم الذي قام بتسجيل الدخول.
Admin Shares
Distributed
يستخدم المهاجم الحسابات الصالحة للتفاعل مع األجهزة البعيدة من خالل االستفادة من Distributed Component Object
Component Object .003 T1021
)Mode (DCOMو يقوم المهاجم بعد ذلك بتنفيذ إجراءات بصفته المستخدم الذي قام بتسجيل الدخول.
Model
يستخدم المهاجم الحسابات الصالحة لتسجيل الدخول إىل األجهزة البعيدة باستخدام .)Secure Shell (SSHو يقوم المهاجم بعد ذلك
SSH .004 T1021
بتنفيذ إجراءات بصفته المستخدم الذي قام بتسجيل الدخول
االفباضية VNCويقوم المهاجم بعد ذلك يستخدم المهاجم الحسابات الصالحة للتحكم عن بعد نف األجهزة باستخدام حوسبة الشبكة ر
ي VNC .005 T1021
الفعل الذي قام بتسجيل الدخول. ي بتنفيذ إجراءات بصفته المستخدم
يستخدم المهاجم الحسابات الصالحة للتفاعل مع األنظمة البعيدة باستخدام)Windows Remote Management (WinRM Windows Remote
.006 T1021
الفعل الذي قام بتسجيل الدخول. ي ويقوم المهاجم بعد ذلك بتنفيذ إجراءات بصفته المستخدم Management
البامج
ينتقل المهاجمون إىل االنظمة عن طريق شبكات قد تكون غب متصلة أو مفصولة تماما عن بعضها ،وذلك يتم عن طريق نسخ ر
النسخ المتماثل من خالل
التلقان عند إدخال الوسائط ن يف النظام وتشغيلها .ن يف حالة التنقل داخل ي
الضارة إىل وسائط قابلة لإلزالة واالستفادة من ن
مبات التشغيل
الوسائط القابلة لإلزالة /
البامج الضارةالشبكة ،قد يحدث هذا من خالل تعديل الملفات القابلة للتنفيذ المخزنة عل وسائط قابلة لإلزالة أو عن طريق نسخ ر T1091
Replication Through
األوىل ،قد يحدث هذا من ي
ر
االخباق المستخدمي لتنفيذه عل نظام منفصل .ن يف حالةن ع لخداع ر
وإعادة تسميتها لتبدو وكأنها ملف ش ي
ن Removable Media
البمجيات األساسية للوسائط نفسها. خالل التعديل اليدوي للوسائط ،أو تعديل األنظمة المستخدمة يف تهيئة الوسائط ،أو التعديل عل ر
والنش ،واستخدامها للتنقل ر يتمكن المهاجم من الوصول إىل برامج الطرف الثالث المثبتة داخل الشبكة ،مثل أنظمة اإلدارة والمراقبة البامج /أدوات تطوير ر
البامج التابعة لطرف ثالث قيد االستخدام ن يف بيئة الشبكة ألغراض إدارية (عل سبيل ر نش ر وأنظمة تطبيقات تكون قد . الشبكة داخل Software T1072
المثال ، Altiris ، HBSS ،SCCM ،إلخ). Tools Deployment
المشبكة ،مثل محركات أقراص ر قد يقوم المهاجم بتسليم Payloadsإىل األنظمة البعيدة عن طريق إضافة محتوى إىل مواقع التخزين
مشبكة أخرى غب سليم البمجيات الداخلية .قد يكون المحتوى المخزن عل محركات أقراص الشبكة أو نف مواقع ر الشبكة أو مستودعات ر
ي
( Taint Shared Contentمضاف اليها برمجيات خبيثة) عن طريق إضافة برامج أو نصوص برمجية ضارة أو برمجية الستغالل ملفات سليمة .بمجرد أن يفتح T1080
البنامج الضار عل نظام البعيد .وقد يستخدم المهاجم ادوات مشبوه وضاره للتنقل داخل المستخدم المحتوى المعدل يبدا تشغيل ر
الشبكة.
ادوات المصادقة البديلة /
ن ر
يستخدم المهاجمي ادوات مصادقة بديلة ،مثل كلمة المرور المخبلة ( ، )password hashesوتذاكر ، Kerberosورموز الوصول إىل ن Use Alternate
T1550
التطبيق ،من أجل التنقل داخل الشبكة وتجاوز تقنيات التحكم ن يف الوصول إىل األنظمة. Authentication
Material
رمز الوصول اىل التطبيق /يستخدم المهاجم رموز مشوقة للوصول إىل التطبيقات لتجاوز عملية المصادقة النموذجية والوصول إىل الحسابات أو المعلومات أو
ً ن ن ً
المستخدمي واستخدامها بدال من بيانات اعتماد الممبة من الخدمات المقيدة عل األنظمة األخرى .عادة ما تتم شقة هذه الرموز Access Application .001 T1550
تسجيل الدخول. Token
متخطي تقنيات التحكم فن
ن الت تم شقتها للتحرك داخل الشبكة، ر ن
ي يقوم المهاجمي باستخدام تقنية Hash Pass Theمع كلمات المرور ي Pass the Hash .002 T1550
ه طريقة للمصادقة كمستخدم دون الوصول إىل كلمة مرور الغب مشفرة التابعة الوصول إىل األنظمة Pass the hash PtH .ي
86
الت تتطلب كلمة مرور غب مشفرة ،واالنتقال رر
مباشة إىل جزء المصادقة للمستخدم .تتجاوز هذه الطريقة خطوات المصادقة القياسية ي
الذي يستخدم كلمة مرور ر ن
مخبلة.
ن
متخطي تقنيات الت تم شقتها للتحرك داخل الشبكة،ر ن
قد يقوم ن المهاجمي باستخدام تقنية Ticket Pass theمع كلمات المرور ي
ه طريقة للمصادقة عل نظام يستخدم تذاكر Kerberosدون الوصول إىل التحكم يف الوصول إىل األنظمة )Pass the ticket (PtT .ي Pass the Ticket .003 T1550
كلمة مرور الحساب .يمكن استخدام مصادقة Kerberosكخطوة أوىل للحركة داخل أنظمة أخرى .
ن
للمهاجمي استخدام ملفات تعريف ارتباط الجلسة المشوقة للمصادقة عل تطبيقات وخدمات الويب .تتخط هذه التقنية يمكن
بعض بروتوكوالت المصادقة متعددة العوامل ً Web Session Cookie .004 T1550
نظرا ألن الجلسة قد تمت مصادقتها بالفعل.
87
جمع البيانات الهامة Collection /
المهاجمي ن يف هذه المرحلة بجمع المعلومات الهامة عن الهدف .ان التقنيات واألساليب ن يف عملية جمع المعلومات
ن جمع البيانات :يقوم
ن ر
ه المرحلة األوىل قبل عملية تشيب وشقة الت لدى المهاجمي .وتكون مرحلة جمع البيانات ي متعددة وتختلف باختالف األهداف ي
البيد البيانات .وقد يتم جمع البيانات من مصادر مختلفة اما من األقراص الصلبة او المتصفحات او ملفات فيديو او صوت او ر
حت ر
ون وقد تتضمن عملية جمع المعلومات تصوير الشاشة او تسجيل نضبات المفاتيح. ر ن
االلكب ي
88
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
ر ن ر ن
الت تم جمعها قبل تشيبها .يمكن أن يساعد أرشفة البيانات يف تعتيم البيانات ي
الت تم تجميعها يقوم المهاجم يف أرشفة أو تشفب البيانات ي سحب البيانات
ر
الت يتم تشيبها من عملية االكتشاف أو جعل عب الشبكة .يمكن استخدام التشفب إلخفاء المعلومات ي وتقليل كمية البيانات المرسلة ر المؤرشفة Archive / T1560
وضوحا عند الفحص بواسطة المحلل. ً التطفل أقل Data Collected
.
الت تم جمعها قبل سحبها من الضحية باستخدام أدوات مساعدة تابعة لطرف ثالث توجد ر
قد يقوم المهاجم بضغط أو تشفب البيانات ي اداة االرشفة Archive
الت يمكنها أرشفة البيانات ،بما ن يف ذلك Zip-7و WinRARو .WinZipتتضمن معظم األدوات المساعدة ر
العديد من األدوات المساعدة ي .001 T1560
via Utility
وظائف لتشفب أو ضغط البيانات.
الت تم جمعها قبل سحبها من الضحية باستخدام مكتبات الطرف الثالث .توجد العديد من ر
قد يقوم المهاجم بضغط أو تشفب البيانات ي االرشفة بواسطة
الت يمكنها أرشفة البيانات ،بما ن يف ذلك Python rarfileو libzipو .zlibتتضمن معظم المكتبات وظائف لتشفب أو ضغط ر
المكتبات ي البمجية / المكتبات ر .002 T1560
البيانات. via Library Archive
ن ر ن االرشفة بواسطة طرق
المهاجمي الت تم جمعها قبل سحبها من الضحية باستخدام طريقة مخصصة .قد يختار قد يقوم المهاجم يف ضغط أو تشفب البيانات ي
ر مخصصة Archive /
الت يتم تنفيذها بدون مراجع مكتبةاستخدام أساليب أرشفة مخصصة ،مثل التشفب باستخدام XORأو استخدام ciphers streamي .003 T1560
Custom via
خارجية أو أداة مساعدة .كما ايضا قد يتم استخدام تطبيقات مخصصة لخوارزميات الضغط المعروفة.
Method
يمكن للمهاجم االستفادة من األجهزة الطرفية للكمبيوتر (مثل الميكروفونات وكامبات الويب) أو التطبيقات (مثل خدمات مكالمات تسجيل االصوات /
T1123
الصوت والفيديو) اللتقاط التسجيالت الصوتية بغرض االستماع إىل المحادثات الحساسة لجمع المعلومات. Audio Capture
بمجرد إنشائه داخل نظام أو شبكة ،قد يستخدم المهاجم تقنيات آلية لجمع البيانات الداخلية .يمكن أن تتضمن طرق تنفيذ هذه التقنية آىل بشكل نن
تبيل البيانات
ي
الت تناسب معايب المجموعة مثل نوع,موقع أو االسم الملف ن يف رفبات ر
األوامر والنصوص للبحث عن نالمعلومات ونسخها ي
استخدام ر
مبجم Automated / T1119
ُ ن ً
زمنية محددة .يمكن أيضا تضمي هذه الوظيفة يف أدوات الوصول عن بعد. Collection
البيانات المنسوخة /
بي التطبيقات. المستخدمي الذين يقومون بنسخ المعلومات داخل أو ن
ن المهاجمي بجمع البيانات المخزنة ن يف clipboardمن
ن قد يقوم T1115
Clipboard Data
البيانات المخزنة ن يف
المخازن السحابية /
َّ
المؤمن بطريقة غب صحيحة. الت ن يف التخزين السحابية
ر ن
قد يصل المهاجمي إىل البيانات ي T1530
Data from Cloud
Storage Object
بيانات االعدادات
المهاجمي بجمع البيانات المتعلقة باألجهزة ُ
ن المخزنة ن يف المستودعات
المدارة من المستودعات .يتم استخدام المستودعات بواسطة أنظمة اإلدارة من أجل قد يقوم
ُ ً Data from / T1602
تكوين البيانات وإدارتها والتحكم فيها عل األنظمة البعيدة .قد تسهل المستودعات أيضا الوصول عن بعد وإدارة األجهزة.
Configuration
Repository
المهاجمي قاعدة المعلومات اإلدارية ( )MIBلجمع أو استخراج معلومات قيمة ن يف شبكة ُمدارة باستخدام
ن قد يستهدف
)SNMP (MIB Dump .001 T1602
بروتوكول(.)SNMP
89
تبيل اعدادات اجهزة نن
ن
المهاجمي إىل ملفات تكوين الشبكة لجمع بيانات حساسة حول الجهاز والشبكة .تكوين الشبكة عبارة عن ملف يحتوي عل قد يصل
ن ً الشبكات المخزنة /
معلمات تحدد تشغيل الجهاز .يخزن الجهاز عادة نسخة يف الذاكرة من التكوين أثناء التشغيل ،وتكوين منفصل عل وحدة تخزين غب
ن Network Device .002 T1602
للمهاجمي فحص ملفات التكوين للكشف عن معلومات حول الشبكة المستهدفة مستقرة للتحميل بعد إعادة ضبط الجهاز .يمكن
ً ر Configuration
وتخطيطها ،وجهاز الشبكة وبرامجه ،أو تحديد الحسابات وبيانات االعتماد الشعية الستخدامها الحقا.
Dump
ن البيانات المتوفرة ن يف
ه أدوات تسمح بتخزين المعلومات،
المهاجمي فن قد ًيستفيد المهاجمي من مستودعات البيانات الستخراج المعلومات القيمة .مستودعات البيانات ي المستودعات Data /
ن ر
الت قد تساعد ن ن
ي عادة لتسهيل التعاون أو مشاركة المعلومات بي المستخدمي ،ويمكن تخزين مجموعة متنوعة من البيانات ي from Information
T1213
ر
المباش إىل المعلومات الهدف. أهداف أخرى ،أو الوصول
Repositories
جنبا إىل جنب مع ن
غالبا ما توجد ف بيئات التطوير ً
المهاجمي من مستودعات Confluenceالستخراج المعلومات القيمةً .ن قد يستفيد
ي
،Atlassian JIRAيتم استخدام Confluenceبشكل عام لتخزين الوثائق المتعلقة بالتنمية ،ومع ذلك ،قد تحتوي بشكل عام عل فئات مذكرة Confluence / .001 T1213
أكب ً
تنوعا من المعلومات المفيدة. ر
المهاجمي من مستودع SharePointكمصدر الستخراج المعلومات القيمةً .
غالبا ما يحتوي SharePointعل معلومات ن قد يستفيد
نظام Sharepoint / .002 T1213
مفيدة للمهاجم للتعرف عل بنية ووظائف الشبكة واألنظمة الداخلية.
ن البيانات من النظام
المحل ،مثل أنظمة الملفات أو قواعد البيانات المحلية ،للعثور عل الملفات ذات األهمية
ي المهاجمي عن مصادر النظام قد يبحث
المحل Data from / ي T1005
والبيانات الحساسة قبل عملية االستخراج.
Local System
ر
الت تهمهم .يمكن جمع البيانات ر
الت قاموا باخباقها للعثور عل الملفات ي
ر ن
قد يبحث المهاجمي عن مشاركات الشبكة عل أجهزة الكمبيوتر ي البيانات المتوفرة ن يف
ر
الت يمكن ر ر مجلدات المشاركة /
عب محركات أقراص الشبكة المشبكة(الدليل ن المشبك المضيف ،خادم ملفات الشبكة ،إلخ) ي الحساسة من أنظمة خارج الشبكة ر
T1039
.
الحاىل قبل تشيبها اىل خارج الشبكة قد تكون األوامر يف الطرفية التفاعلية قيد االستخدام ،ويمكن استخدام
ي الوصول إليها من النظام Data from Network
الوظائف الشائعة داخل cmdلجمع المعلومات. Shared Drive
ر ر ر ن البيانات من وسائط
الت تهمهم .يمكن
الت قاموا باخباقها للعثور عل الملفات ي
قد يبحث المهاجمي عن الوسائط القابلة لإلزالة المتصلة عل أجهزة الكمبيوتر ي
ر التخزين المتنقلة Data /
جمع البيانات الحساسة من أي وسائط قابلة لإلزالة (محرك األقراص الضوئية ،ذاكرة ، USBإلخ) متصلة بالنظام المخبق قبل عملية T1025
from Removable
االستخراج .قد تكون األوامر من الطرفية التفاعلية قيد االستخدام ،ويمكن استخدام الوظائف الشائعة داخل cmdلجمع المعلومات.
Media
الت تم جمعها ن يف مسار مركزي أو مجلد قبل عملية تشيبها اىل خارج الشبكة .يمكن االحتفاظ ر ن
قد يقوم نالمهاجمي بتنظيم البيانات ني البيانات المخزنة /
بالبيانات يف ملفات منفصلة أو دمجها يف ملف واحد من خالل تقنيات مثل أرشفة البيانات .Archiveيمكن استخدام األوامر الطرفية T1074
Data Staged
تجريت.
ري التفاعلية ،ويمكن استخدام الوظائف الشائعة داخل cmdو bashلنسخ البيانات إىل موقع
المحل قبل عملية تشيبها اىل خارج الشبكة .يمكن
ي الت تم جمعها ن يف موقع مركزي أو مجلد عل النظام ر ن
قد يقوم المهاجمي نبوضع البيانات ي ً
ن البيانات المخزنة محليا /
.
االحتفاظ بالبيانات يف ملفات منفصلة أو دمجها يف ملف واحد من خالل تقنيات مثل أرشفة البيانات Archiveيمكن استخدام األوامر .001 T1074
Staging Local Data
تجريت.
ري الطرفية التفاعلية ،ويمكن استخدام الوظائف الشائعة داخل cmdو bashلنسخ البيانات إىل موقع
بي جهازين أو ر المهاجمي وضع أنفسهم ن
ن البيانات المخزنة عن بعد
أكب من األجهزة المتصلة بالشبكة باستخدام تقنية )man-in-the-middle (MiTM قد يحاول
ن ن
لدعم سلوكيات المتابعة مثل التنصت ف الشبكة أو التالعب ف البيانات المنقولة .من خالل إساءة استخدام ن Remote Data / .002 T1074
مبات بروتوكوالت الشبكات ي ي Staging
90
ً ن ر
المهاجمي جهازا عل االتصال يجب الت يمكنها تحديد تدفق حركة مرور الشبكة (مثل ARPو DNSو LLMNRوما إىل ذلك) ،قد ر الشائعة ي
حت يتمكنوا من جمع المعلومات أو تنفيذ اهداف إضافية. من خالل نظام يتم التحكم فيه من ِقبل المهاجم ر
ر ن ر ن ن
ون عل بيانات حساسة ،بما البيد اإللكب ي ون للمستخدم لجمع معلومات حساسة .قد تحتوي رسائل ر البيد اإللكب ي المهاجمي ر قد يستهدف
ون /ر ن نن
ون أو إعادة ن ر
اإللكب يد الب
ر جمع ن
للمهاجمي يمكن . ن
للمهاجمي مفيدة تكون أن يمكن ر
والت الشخصية، المعلومات أو التجارية ار
ش ن يف ذلك األ البيد االلكب ي
تبيل ر
T1114
ي ي Email Collection
البيد أو العمالء. توجيهه من خوادم ر
ر ن الداخل / البيد نن
تبيل ر
ر ن ي
ون للمستخدم عل األنظمة المحلية لجمع معلومات حساسة .يمكن الحصول عل الملفات ي
الت البيد اإللكب ي المهاجمي ر قد يستهدف
Local Email .001 T1114
المحل للمستخدم ،مثل تخزين Outlookأو ملفات ذاكرة التخزين المؤقت. النظام من ون ن ر
اإللكب يد الب بيانات تحتوي عل
ي ي ر
Collection
ن ر ن ن
المهاجمي استخدام قواعد إعادة ون لجمع المعلومات الحساسة .قد ي
يسء البيد اإللكب ي المهاجمي بإعداد قواعد إعادة توجيه ر
ن
قد يقوم
ون لمراقبة أنشطة الضحية ،وشقة المعلومات ،واكتساب المزيد من المعلومات االستخبارية عن الضحية أو منظمة ر
البيد اإللكب ي توجيه ر
ن
للمستخدمي الضحية الستخدامها كجزء من عمليات استغالل أو عمليات أخرى .يسمح Outlookو )Outlook Web App (OWA البيد عن بعد / نن
تبيل ر
لمستخدم أو
ي ون المختلفة ،بما ن يف ذلك إعادة التوجيه إىل مستلم مختلف .وبالمثل ،يمكن ر ن
البيد اإللكب ي بإنشاء قواعد علبة الوارد لوظائف ر Remote Email .002 T1114
عب واجهة ويب .Google Workspaceيمكن إعادة توجيه الرسائل البيد رمسؤوىل Workspace Googleإعداد قواعد إعادة توجيه ر ي Collection
للمسؤولي ً
ن ن ن ن
أيضا إنشاء قواعد إعادة التوجيه لحسابات خارجيي ،وال توجد قيود تحد من مدى هذه القاعدة .يمكن داخليي أو مستلمي إىل
المستخدمي بنفس االعتبارات والنتائج. ن
ً ن
المهاجمي طرقا لجمع مدخالت المستخدم للحصول عل بيانات الحسابات أو جمع المعلومات .أثناء االستخدام العادي قد يستخدم
للنظامً ، البيد /
قواعد تمرير ر
غالبا ما يوفر المستخدمون بيانات اعتماد لمواقع مختلفة ،مثل صفحات أو بوابات تسجيل الدخول أو مربعات حوار النظام .قد
Email Forwarding .003 T1114
تكون آليات الجمع ا لمدخالت شفافة للمستخدم (مثل ربط واجهة برمجة تطبيقات بيانات الحسابات) أو تعتمد عل خداع المستخدم
Rule
لتقديم مدخالت فيما يعتقدون أنه خدمة أصلية (مثل .)Portal Capture Web
.
عباض بيانات االعتماد أثناء قيام المستخدم بكتابتها من المحتمل أن يتم المهاجمي بتسجيل نضبات مفاتيح المستخدم ال ر ن قد يقوم
تسجيل وجمع
استخدام Keyloggingللحصول عل بيانات حسابات المستخدم لفرص وصول جديدة عندما ال تكون عملية Dumpingبيانات
اعباض نضبات المفاتيح عل النظام ر حسابات نظام التشغيل فعالة ،وقد تتطلب من المهاجم ر المدخالت Input / T1056
لفبة طويلة من الوقت قبل التمكن من
Capture
التقاط بيانات الحسابات المستخدم بنجاح.
العباض بيانات حسابات المستخدم أثناء قيامه بكتابتها .من المحتمل أن يتم المهاجمي بتسجيل نضبات مفاتيح المستخدم ر ن قد يقوم
استخدام Keyloggingللحصول عل بيانات حسابات المستخدم لفرص وصول جديدة عندما ال تكون عملية ال Dumpingبيانات تسجيل نضبات المفاتيح
اعباض نضبات المفاتيح عل النظام ر حسابات مستخدم نظام التشغيل فعالة ،وقد تتطلب من المهاجم ر .001 T1056
لفبة طويلة من الوقت قبل التمكن Keylogging /
ن
المستخدمي بنجاح. من التقاط بيانات حسابات
ن
المهاجمي مكونات واجهة المستخدم الرسومية GUIلنظام التشغيل الشائعة لمطالبة المستخدمي ببيانات حسابات الوصول ن يحاك قد
ن ي تسجيل واجهة
الحاىل ،فمن الشائع المستخدم سياق ف الموجودة غب إضافية اتزامتيا إىل تحتاج الت ر امج الب
ر تنفيذ يتم عندما . وعة مش مع مطالبة تبدو ر
ي ي ي التطبيقات GUI / .002 T1056
لنظام التشغيل مطالبة المستخدم ببيانات حساب الوصول المناسبة لتفويض االمتيازات للمهمة (عل سبيل المثال :تجاوز التحكم ن يف
Input Capture
حساب المستخدم).
المهاجمي بتثبيت برمجية عل بوابات خارجية ،مثل صفحة تسجيل الدخول إىل ،VPNاللتقاط ونقل بيانات حسابات الوصول ن قد يقوم
ر ن Web Portal
.
للمستخدمي الذين يحاولون تسجيل الدخول إىل الخدمة عل سبيل المثال ،قد تسجل صفحة تسجيل الدخول المخبقة بيانات حساب .003 T1056
Capture
المستخدم قبل تسجيل دخول المستخدم إىل الخدمة.
91
المهاجمي بوظائف واجهة برمجة تطبيقات )Windows (APIلجمع بيانات حسابات الوصول للمستخدم .قد تلتقط آليات ن قد يرتبط
الربط الضارة استدعاءات واجهة برمجة التطبيقات APIر شقة بيانات API /
الت تتضمن معلمات تكشف عن بيانات حسابات الوصول لمصادقة المستخدم. ي
الت تتضمن المعلمات ر
عل عكس ،Keyloggingتركز هذه التقنية بشكل خاص عل وظائف APIر Credential API .004 T1056
الت تكشف عن بيانات حسابات ي ي Hooking
المستخدم.
ن
قد يرتبط المهاجمي بوظائف واجهة برمجة تطبيقات )Windows (APIلجمع بيانات حسابات المستخدم .قد تلتقط آليات الربط ر
اعباض البيانات من
الت تتضمن معلمات تكشف عن بيانات حسابات مصادقة المستخدم .عل عكس ،Keyloggingتركز هذه ر خالل المتصفح Man /
الضارة استدعاءات APIي T1185
الت تكشف عن بيانات حسابات المستخدم. ر ر
الت تتضمن المعلمات يالتقنية بشكل خاص عل وظائف APIي the Browser in
ر ن ن
للمهاجمي االستفادة من الثغرات األمنية والوظائف الرئيسية يف برنامج المتصفح لتغيب المحتوى وتعديل السلوك واعباض يمكن ا ر
عباض البيانات /
T1557
المعلومات كجزء من تقنيات .Man in The browser Man-in-the-Middle
ً ً ن LLMNR/NBT-NS
مصدرا موثوقا لتحليل االسم لفرض االتصال بنظام المهاجمي من خالل االستجابة لحركة مرور شبكة ، NBT-NS / LLMNRقد ينتحل
Poisoning and SMB .001 T1557
يتم التحكم فيه من قبل المهاجم .يمكن استخدام هذا النشاط لجمع أو نقل مواد المصادقة.
Relay
أكب من األجهزة المتصلة بالشبكة .يمكن استخدام هذا النشاط بي اتصال جهازين أو ر المهاجمي بروتوكول( )ARPلوضع أنفسهم نن قد يسمم ARP Cache
ن ن ن .002 T1557
لتمكي سلوكيات المتابعة مثل التنصت يف الشبكة أو التالعب يف البيانات المنقولة. Poisoning
تضمي وظيفة التقاط الشاشة كمبةن ن ن
قد يحاول المهاجمي أخذ لقطات شاشة لسطح المكتب لجمع المعلومات عل مدار العملية .قد يتم
ً ً تسجيل الشاشة /
االخباق .عادة ما يكون التقاط لقطة شاشة ممكنا من خالل األدوات المساعدة ر ألداة الوصول عن بعد المستخدمة ن يف عمليات ما بعد T1113
Screen Capture
األصلية أو استدعاءات واجهة برمجة التطبيقات ،مثل CopyFromScreenأو xwdأو .screencapture
يمكن للمهاجم االستفادة من األجهزة الطرفية للكمبيوتر (عل سبيل المثال ،الكامبات المدمجة أو كامبات الويب) أو التطبيقات (مثل
خدمات مكالمات الفيديو) اللتقاط تسجيالت الفيديو بغرض جمع المعلومات .يمكن ً تسجيل الفيديو /
أيضا التقاط الصور من األجهزة أو التطبيقات ،ن يف T1125
ً Video Capture
رفبات زمنية محددة ،بدال من ملفات الفيديو.
92
التحكم والسيطرة Command and Control /
التحكم والسيطرة :يقوم المهاجم باستخدام وسائل متعددة لتحكم والسيطرة بالنظام المستهدف وتختلف التقنيات واألساليب المتبعة ن يف
المهاجمي باستخدام طرق متقدمة لمحاكات حركة المرور الطبيعية لتجنب عمليات الرصد واالكتشاف. ن هذه المرحلة .وعادة ما يقوم
لك يقوم بإنشاء قناة مخفية لتحكم والسيطرة عل البنية التحتية ر
الت يستطيع المهاجم استخدامها ي
وهناك العديد من األساليب والتقنيات ي
وال يتم اكتشافها من قبل أجهزة وأنظمة وبرمجيات الحماية.
93
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
التخف مع
ي
ن المهاجمي باستخدام بروتوكوالت ل Application Layerلتجنب الكشف /الحجب ن يف الشبكة عن طريق ن قد يتواصل برتوكوالت التطبيقات /
بي العميل البوتوكول ن مرور كةحر ف ن مضمنة ا ً
غالب األوامر هذه ونتائج لألنظمة، بعد عن أوامر ن
تضمي سيتم . الحالية المرور حركة Application Layer T1071
ر ي
والخادم. Protocol
المهاجمي باستخدام بروتوكوالت Application Layerالمرتبطة بحركة مرور الويب لتجنب الكشف /الحجب ن يف ن قد يتواصل
برتوكوالت الويب Web /
غالبا مضمنة ن يف حركة مرور تضمي أوامر عن بعد لألنظمة ،ونتائج هذه األوامر ً ن التخف مع حركة المرور الحالية .سيتم ي
ن الشبكة من خالل .001 T1071
البوتوكول ن Protocols
بي العميل والخادم. ر
ن
المهاجمي باستخدام بروتوكوالت Application Layerالمرتبطة بنقل الملفات لتجنب الكشف /الحجب يف الشبكة عن ن قد يتواصل بروتوكول نقل الملفات /
البوتوكول ن تضمي أوامر عن بعد لألنظمة ،ونتائج هذه األوامر ً ن التخف مع حركة المرور الحالية .سيتم ن
غالبا مضمنة يف حركة مرور ر ي طريق File Transfer .002 T1071
بي العميل والخادم. ن Protocols
ون لتجنب الكشف /الحجب فن ر ن ن
ي ن البيد اإللكب ي المهاجمي باستخدام بروتوكوالت Application Layerالمرتبطة بتسليم ر قد يتواصل
البيد Mail
بروتوكول ر
ً ن
التخف مع حركة المرور الحالية .سيتم تضمي أوامر عن بعد لألنظمة ،ونتائج هذه األوامر غالبا مضمنة يف حركة مرور ن طريق عن الشبكة .003 T1071
ي Protocols
بي العميل والخادم. البوتوكول ن ر
المهاجمي باستخدام بروتوكول Application Layerمن خالل نظام أسماء النطاقات ( )DNSلتجنب الكشف /الحجب ن قد يتواصل
برتوكول اسماء النطاقات /
غالبا مضمنة ن يف حركة تضمي أوامر عن بعد لألنظمة ،ونتائج هذه األوامر ً ن التخف مع حركة المرور الحالية .سيتمي
ن ن يف الشبكة عن طريق .004 T1071
البوتوكول ن DNS
بي العميل والخادم. مرور ر
االتصال من خالل
الت ُيحتمل أن تكون غب متصلة بالشبكة باستخدام ر ر ن
يمكن المهاجمي تنفيذ األوامر والتحكم بي األنظمة المخبقة عل الشبكات ر ي
ن
ن الوسائط القابلة لالزالة /
وسائط قابلة لإلزالة لنقل األوامر من نظام إىل نظام .لنجاح الهجمة يجب اخباق كال النظامي ،مع احتمال تعرض النظام المتصل
ن ً ر ر Communication T1092
عب الوسائط القابلة لإلزالة .سيتم نقل األوامر والملفات والثان من خالل التنقل داخل الشبكة بواسطة النسخ ر ي لالخباق أوال باإلنبنت
باإلنبنت الذي يتمتع المهاجم بوصول ر ر Through Removable
مباش إليه. من النظام غب المتصل إىل النظام المتصل
Media
أكب صعوبة ن يف الكشف .يمكن تشفب معلومات التحكم المهاجمي بتشفب البيانات لجعل محتوى حركة التحكم والسيطرة ر ن قد يقوم
البوتوكول الحالية ويتضمنر بمواصفات البيانات ن
ترمب استخدام م ن
يلبر قد . القياس انات البي تشفب نظام باستخدام )C2 ( والسيطرة تشفب البيانات Data /
ي T1132
استخدام ASCIIأو Unicodeأو Base64أو MIMEأو أنظمة تشفب ثنائية إىل نص أو رموز أخرى .قد تعمل بعض أنظمة تشفب Encoding
البيانات ً
أيضا إىل ضغط البيانات ،مثل .gzip
أكب صعوبة فن
ترمب بيانات قياس لجعل محتوى حركة التحكم والسيطرة ر ن ن
المهاجمي بتشفب البيانات باستخدام نظام قد يقوم
ي ي
البوتوكول الحالية. ن ر
قياس يلبم بمواصفات ر بيانات تشفب نظام باستخدام ) C2( والسيطرة التحكم معلومات تشفب يمكن . اكتشافه قياس Standard / ن
ترمب
ي ي .001 T1132
تتضمن مخططات تشفب البيانات الشائعة ASCIIو Unicodeو hexadecimalو Base64و .MIMEقد تؤدي بعض أنظمة تشفب Encoding
البيانات ً
أيضا إىل ضغط البيانات ،مثل .gzip
أكب صعوبة ن يف
ترمب بيانات غب قياس لجعل محتوى حركة التحكم والسيطرة ر
ي
ن ن
المهاجمي بتشفب البيانات باستخدام نظام قد يقوم
البوتوكول ر مواصفات عن يختلف قياس غب بيانات ن
ترمب نظام باستخدام ) C2( والسيطرة التحكم معلومات تشفب يمكن . اكتشافه قياس Non- / ن
ترمب غب
ي ي .002 T1132
ن ن
الحالية .قد تستند مخططات ترمب البيانات غب القياسية إىل أنظمة تشفب البيانات القياسية أو مرتبطة بها ،مثل ترمب Base64المعدل Standard Encoding
لنص رسالة طلب داخل بروتوكول .HTTP
94
أكب صعوبة .يتم إخفاء اتصاالت (' )C2ولكن ليس ن
بالضورة المهاجمي بتشويش حركة التحكم والسيطرة( )C2لجعل اكتشافها ر ن قد يقوم
ً ن
أن تكون مشفرة' يف محاولة لجعل المحتوى أكب صعوبة يف اكتشافه أو فك تشفبه ولجعل طريقة االتصال أقل وضوحا وإخفاء األوامر ر ن تشفب وتعمية البيانات /
T1001
البوتوكول ،أو استخدام وعدم التمكن من رؤيتها .يشمل ذلك العديد من الطرق ،مثل إضافة البيانات غب المرغوب فيها إىل حركة مرور ر Data Obfuscation
الشعية.البوتوكوالت ر إخفاء المعلومات ،steganographyأو انتحال صفة ر
ر
البوتوكوالت المستخدمة للتحكم والسيطرة لجعل عملية اكتشافه أكب صعوبة .من خالل المهاجمي بيانات غب مهمة إىل ر ن قد يضيف
ن
البوتوكوالت المستخدمة للتحكم والسيطرة ،يمكن للمهاجمي منع األساليب البسيطه لفك ن
إضافة بيانات عشوائية أو ال معت لها إىل ر البيانات الغب هامة /
مسبقا بأحرف غب مهمة أو كتابة أحرف غب مهمة ن ً .001 T1001
بي تشفب أو تحليل حركة المرور بأي طريقة أخرى .قد تتضمن األمثلة إلحاق البيانات Junk Data
األحرف المهمة.
أكب صعوبة .يمكن المهاجمي تقنيات إخفاء المعلومات إلخفاء حركة مرور التحكم والسيطرة لجعل محاوالت اكتشافه ر ن قد يستخدم
الت يتم نقلها بي األنظمة .يمكن استخدام هذه المعلوماتن ر ن اخفاء البيانات /
Steganographicإلخفاء البيانات يف الرسائل الرقمية ي استخدام تقنيات
.002 T1001
المخبقة .ن يف بعض الحاالت ،يمكن استخدام تمرير الملفات المضمنة باستخدام تقنية إخفاء ر المخفية ن يف التحكم والسيطرة ن يف األنظمة Steganography
المعلومات ،مثل ملفات الصور أو المستندات ،للتحكم والسيطرة.
المشوعة أو حركة مرور خدمة الويب إلخفاء نشاط التحكم والسيطرة وإحباط جهود البوتوكوالت ر المهاجمي صفة ر ن قد ينتحل البوتوكول /
انتحال ر
للمهاجمي جعل حركة مرور التحكم والسيطرة ن المشوعة أو خدمات الويب ،يمكن البوتوكوالت ر المحللي .من خالل انتحال صفة ر ن Protocol .003 T1001
المشوعة. الخاصة بهم منسجمة مع حركة مرور الشبكة ر Impersonation
ديناميك اتصاالت بالبنية التحتية التحكم والسيطرة لتفادي االكتشاف والطرد من الشبكة .يمكن تحقيق المهاجمي بشكل ن ينس قد ر
ن ي
البامج
لتلف اتصاالت ر ر ر ر ر ر االستجابة التلقائية /
الت يستخدمها المهاجم ي الت تشبك يف خوارزمية مشبكة مع البنية التحتية ي البامج الضارة ي ذلك باستخدام ر
T1568
البامج ً
الضارة .يمكن استخدام هذه الحسابات لضبط المعلمات ديناميكيا مثل اسم المجال أو عنوان IPأو رقم المنفذ الذي تستخدمه ر Dynamic Resolution
الضارة للتحكم والسيطرة.
المهاجمي Fast Flux DNSإلخفاء قناة التحكم والسيطرة خلف مجموعة من عناوين IPالمتغبة بشعة والمرتبطة بدقة ن قد يستخدم
عال ،باستخدام مجموعة من دد ر
بب تبديلها يتم والت ر لها مخصصة متعددة IP عناوين مع ، FQDN تقنية هذه تستخدم . واحدة مجال Fast Flux DNS .001 T1568
ٍ ي
عناوين IPالخاصة ب robinو )Time-To-Live (TTLلسجل مورد .DNS
ً ً ن
ديناميكيا لحركة مرور التحكم والسيطرة بدال من آىل ( )DGAsلتحديد مجال الوجهة قد يستفيد المهاجمي من توليد النطاقات بشكل ي آىل
توليد النطاقات بشكل ي
ن ن ر ن ن
االعتماد عل قائمة عناوين IPالثابتة أو المجاالت .يتمب هذا بمبة أنه يجعل األمر أكب صعوبة عل المحللي يف حظر أو تتبع أو االطاحة Domain /
ً ر .002 T1568
البامج الضارة بحثا عن الت يمكن أن تتحقق منها ر بقناة التحكم والسيطرة ،حيث من المحتمل أن يكون هناك آالف المجاالت ي Generation
التعليمات. Algorithms
الت يتم إرجاعها ن يف نتائج DNSلتحديد المنفذ وعنوان IPالذي يجب ي
المهاجمي بإجراء جمع بيانات اسماء النطاقات ر ن قد يقوم جمع بيانات اسماء
ً ً
الفعل الذي تم إرجاعه .يمكن استخدام ي استخدامه للتحكم والسيطرة ،بدال من االعتماد عل رقم منفذ محدد مسبقا أو عنوان IP النطاقات DNS / .003 T1568
حساب IPأو رقم المنفذ لتجاوز الحماية عند الخروج لقناة .C2 Calculation
ً ن
المهاجمي خوارزمية تشفب معروفة إلخفاء حركة التحكم والسيطرة بدال من االعتماد عل أي حماية متأصلة يوفرها قد يستخدم
تشفب القناة /
بروتوكول االتصال .عل الرغم من استخدام خوارزمية آمنة ،قد تكون هذه التطبيقات عرضة للهندسة العكسية إذا تم تشفب المفاتيح T1573
Encrypted Channel
الشية أو إنشاؤها داخل ال ربامج الضارة/ملفات التكوين.
95
ً ن
المهاجمي خوارزمية تشفب متماثل معروفة إلخفاء حركة التحكم والسيطرة بدال من االعتماد عل أي حماية متأصلة يوفرها قد يستخدم
Symmetric
.
بروتوكول االتصال تستخدم خوارزميات التشفب المتماثل نفس المفتاح لتشفب النص العادي وفك تشفب النص المشفر تتضمن . .001 T1573
Cryptography
خوارزميات التشفب المتماثل الشائعة AESو DESو DES3و Blowfishو .RC4
ً ن
المهاجمي خوارزمية معروفة للتشفب غب المتماثل إلخفاء حركة التحكم والسيطرة بدال من االعتماد عل أي حماية متأصلة قد يستخدم
ً
يوفرها بروتوكول االتصال .يستخدم التشفب غب المتماثل ،المعروف أيضا باسم تشفب المفتاح العام ،زوج مفاتيح لكل طرف :األول
يعتب عام يمكن توزيعه للعامة واآلخر خاصً . Asymmetric
نظرا لكيفية إنشاء المفاتيح ،يقوم المرسل بتشفب البيانات باستخدام المفتاح العام ر .002 T1573
ر Cryptography
المتلف تشفب البيانات بمفتاحه الخاص .هذا يضمن أن المستلم المقصود فقط يمكنه قراءة البيانات المشفرة. ي للمستقبل ويفك
تتضمن خوارزميات تشفب المفتاح العام الشائعة RSAو .ElGamal
اخباق القناة األساسية أو تعذر الوصول إليها من أجل الحفاظ عل قناة المهاجمي قنوات اتصال بديلة أو احتياطية إذا تم ر ن قد يستخدم
Fallback Channels T1008
التحكم والسيطرة ولتجنب عتبات نقل البيانات.
خارج إىل بيئة تم االستيالء عليها .يمكن نسخ الملفات من نظام يتم التحكم ير المهاجمي بنقل أدوات أو ملفات أخرى من نظام ن قد يقوم
الخارج من خالل قناة التحكم والسيطرة إلحضار األدوات إىل شبكة الضحية أو من خالل بروتوكوالت بديلة ر ي فيه عن طريق المهاجم
.FTPيمكن ً Ingress Tool Transfer T1105
نظام Macو Linuxباستخدام أدوات مضمنة ن يف األنظمة مثل scpو ي عل الملفات نسخ اأيض مثل باستخدام أداة أخرى
rsyncو .sftp
ن
ينس المهاجمي مراحل متعددة للتحكم والسيطرة ليتم توظيفها يف ظل ظروف مختلفة أو لوظائف معينة .قد يؤدي استخدام ن قد ر Multi-Stage
ر T1104
مراحل متعددة إىل تشويش قناة التحكم والسيطرة لجعل عملية االكتشاف عن التطفل أكب صعوبة. Channels
ن ن ن
بي المضيف وخادم C2أو بي المضيفي المصابي داخل المهاجمي بروتوكول non-application layerلالتصال ن ن قد يستخدم
البوتوكوالت الممكنة واسعة النطاق .تتضمن األمثلة المحددة استخدام بروتوكوالت ،network layerمثل بروتوكول الشبكة .قائمة ر
رسائل التحكم نف ر Non-Application
اإلنبنت ( ،)ICMPوبروتوكوالت طبقة النقل " ،"transport layerمثل بروتوكول مخطط بيانات المستخدم ي T1095
Layer Protocol
البوتوكوالت النفقية ،مثل ( ،)UDPوبروتوكوالت ،session layerمثل ، )Socket Secure (SOCKSوكذلك إعادة التوجيه /ر
.)Serial over LAN (SOL
ً ن
عب المنفذ 8088أو المنفذ .
المهاجمي باستخدام بروتوكول ومنفذ غب مرتبطة مع بعضها عادة عل سبيل المثال HTTPS ،ر قد يتواصل
ن المنافذ الغب متعارف عليها
587عل عكس المنفذ التقليدي .443قد يقوم المهاجمي بإجراء تغيبات عل المنفذ المتعارف عليه و المستخدم بواسطة T1571
Port Non-Standard /
البوتوكول لتجاوز الحماية أو تحليل االختالف أو تحليل بيانات الشبكة. ر
قد يقوم المهاجمي بنقل اتصاالت الشبكة الخاصة من وإىل نظام الضحية ضمن بروتوكول منفصل لتجنب الكشف أو حماية الشبكة أو ن
ي الوصول إىل أنظمة ال يمكن الوصول إليها بأي طريقة أخرى .يتضمن االتصال الخاص تغليف بروتوكول داخل بروتوكول آخر .قد لتمك ن
ن برتوكوالت النقل الخاصة /
يخف هذا السلوك حركة المرور البيانات الضارة عن طريق المزج مع حركة المرور الحالية أو توفب طبقة خارجية من التشفب (عل غرار ي T1572
ر ن ً Tunneling Protocol
الت لن تصل إىل وجهتها المقصودة لوال ذلك ،مثل SMBأو .)VPNيمكن للنفق أو النقل الخاص أيضا تمكي توجيه حزم الشبكة ي
ر
عب اإلنبنت.
RDPأو حركة مرور أخرى تتم حجبها بواسطة أجهزة الشبكة أو ال يتم توجيهها ر
بي األنظمة أو العمل كوسيط التصاالت الشبكة إىل خادم التحكم المهاجمي وكيل اتصال لتوجيه حركة مرور الشبكة ن ن قد يستخدم
الت تتيح إعادة توجيه حركة المرور من ر األدوات من العديد توجد . المستخدمة التحتية ببنيتهم ة ر
المباش االتصاالت لتجنب والسيطرة
ي الوكيل Proxy / T1090
ن
المهاجمي هذه األنواع من الوكالء خالل الوكالء أو إعادة توجيه المنفذ ،بما ن يف ذلك HTRANو ZXProxyو .ZXPortMapيستخدم
المبامنة ،وتوفب المرونة ن يف مواجهة أي فقدان ن يف االتصال،
إلدارة اتصاالت التحكم والسيطرة ،وتقليل عدد اتصاالت الشبكة الخارجية ر ن
96
معا عدة وكالء إلخفاء مصدر حركة المرور بيانات المهاجمي ً
ن بي الضحايا لتجنب الشك .قد يربط أو تجاوز االتصاالت الموثوقة القائمة ن
الضارة.
ر ن ر ن ن ً ً ن
قد يستخدم المهاجمي وكيال داخليا لتوجيه حركة التحكم والسيطرة بي نظامي أو أكب يف بيئة تم أخباقها .توجد العديد من األدوات
الت تتيح إعادة توجيه حركة المرور من خالل الوكالء أو إعادة توجيه المنفذ ،بما ن يف ذلك HTRANو ZXProxyو .ZXPortMap ي
ر
ن ر ر ن الداخل /
ي الوكيل
يستخدم الخصوم وكالء داخليي إلدارة اتصاالت التحكم والسيطرة داخل بيئة مخبقة ،لتقليل عدد اتصاالت الشبكة الخارجية المبامنة .001 T1090
،لتوفب المرونة نف مواجهة أي فقدان نف االتصال ،أو تجاوز االتصاالت الموثوقة الحالية ن Internal Proxy
بي األنظمة المصابة لتجنب الشك .قد ي ي
تستخدم اتصاالت الوكيل الداخلية بروتوكوالت شبكات نظب إىل نظب ( )p2pالشائعة ،مثل ،SMBلالندماج بشكل أفضل مع البيئة.
ً ً
خارجيا للعمل كوسيط التصاالت الشبكة إىل خادم التحكم والسيطرة لتجنب االتصاالت المبا رشة ببنيتهم ن
المهاجمي وكيال قد يستخدم
ن
الت تتيح إعادة توجيه حركة المرور من خالل الوكالء أو إعادة توجيه المنفذ ،بما يف ذلك التحتية المستخدمة .توجد العديد من األدوات ر الخارج /
ي ر ي الوكيل
.002 T1090
المهاجمي هذه األنواع من الوكالء إلدارة اتصاالت التحكم والسيطرة ،باإلضافة لتوفب ن HTRANو ZXProxyو .ZXPortMapيستخدم External Proxy
المرونة ن يف مواجهة أي فقدان ن يف االتصال ،أو لتجاوز مسارات االتصاالت الموثوقة الحالية لتجنب االكتشاف.
عادة ما يكون المدافع ً ً ن
قادرا عل تحديد آخر حركة مرور المهاجمي عدة وكالء. إلخفاء مصدر حركة مرور البيانات الضارة ،قد يربط
ن ً
الت تم اجتيازها قبل أن يدخل الشبكة؛ قد يكون المدافع قادرا أو غب قادر عل تحديد أي وكالء سابقي قبل وكيل آخر قفزة ر
للوكيل ي
ر
األصل لحركة المرور الضارة أكب صعوبة من خالل مطالبة المدافع بتتبع حركة المرور الضارة تمت .تجعل هذه التقنية تحديد المصدر Multi-hop Proxy .003 T1090
ي
ن
من خالل عدة وكالء لتحديد مصدرها .نوع معي من هذا السلوك هو استخدام شبكات ، onoin routingمثل شبكة TORالمتاحة
للعامة.
الت المهاجمي من مخططات الموجه( )Routing Schemesنف شبكات توصيل المحتوى ( )CDNsوالخدمات األخرى ر ن يستفيد قد
ي ي
عب .HTTPSتتضمن Domain fronting تستضيف مجاالت متعددة إلخفاء الوجهة المقصودة لحركة مرور HTTPSأو حركة المرور ر
النطاقي من نفس ، CDNفقد ن استخدام أسماء نطاقات مختلفة ن يف حقل SNIلرأس TLSوالحقل المضيف ل .HTTPإذا تم تقديم كال
Domain Fronting .004 T1090
يقوم CDNبالتوجيه إىل العنوان المحدد ن يف HTTPبعد إلغاء التفاف رأس .TLSيتم استخدام أحد أشكال التقنية واجهة
فارغا؛ قد يسمح هذا للواجهة بالعمل ر ً
حت عندما تحاول CDNالتحقق من تطابق حقول " ، "domainlessحقل SNIالذي تم تركه
SNIو ( Host HTTPإذا تم تجاهل حقول SNIالفارغة).
قد يستخدم المهاجم برامج رشعية للوصول لسطح المكتب والوصول عن ُبعد ،مثل Team Viewerو Go2Assistو LogMeinو
ُ للبمجيات عن
الوصول ر
AmmyyAdminوغبها ،إلنشاء قناة تفاعلية للتحكم والسيطرة الستهداف األنظمة داخل الشبكات .تستخدم هذه الخدمات بشكل
ُ بعد Remote Access / T1219
الفت ،وقد ُيسمح بها من خالل سياسة التحكم ن يف التطبيقات داخل البيئة .تستخدم أدوات الوصول عن بعد مثل
ُ ن
كبامج للدعم ي شائع ر
الت يشيع استخدامها من قبل المهاجمي.ن الشعية األخرى ر بالبامج ر Software
ي VNCو Ammyyو Teamviewerبشكل متكرر عند مقارنتها ر
المهاجمي Traffic Signalingإلخفاء المنافذ المفتوحة أو غبها من الوظائف الضارة المستخدمة للبقاء ن يف الشبكة أو ن قد يستخدم
التحكم والسيطرة تتضمن Traffic Signalingاستخدام القيمة السحرية أو تسلسل يجب إرساله إىل النظام إلطالق استجابة خاصة، .
مثل فتح منفذ مغلق أو لتنفيذ مهمة ضارة .إرسال سلسلة من الحزم بخصائص معينة قبل فتح المنفذ تتيح للمهاجم استخدامه ن يف
ً ً Traffic Signaling T1205
التحكم والسيطرة .عادة ما تتكون هذه السلسلة من الحزم من محاوالت توصيل بتسلسل محدد مسبقا من المنافذ المغلقة (مثل Port
أعالما غب عادية أو سالسل محددة أو خصائص فريدة أخرى .بعد اكتمال التسلسل ،قد يتم فتح ً ، )Knockingولكن يمكن أن تتضمن
ً
منفذ بواسطة جدار الحماية الخاص بالمضيف ،ولكن يمكن أيضا تنفيذه بواسطة برنامج مخصص.
97
المهاجمي طريقة Porting Knockingإلخفاء المنافذ المفتوحة المستخدمة للبقاء ن يف الشبكة أو للتحكم والسيطرة. ن قد يستخدم
ً ً ن
.
لتمكي منفذ ،يرسل المهاجم سلسلة من محاوالت لالتصال إىل منافذ مغلقة تم تحديدها مسبقا بعد اكتمال التسلسل ،غالبا ما يتم Port Knocking .001 T1205
ً
فتح منفذ بواسطة جدار حماية المضيف ،ولكن يمكن أيضا تنفيذه بواسطة برنامج مخصص.
مخبق .قد توفر مواقع الويب الشعبية المهاجمي خدمة ويب خارجية رشعية قائمة كوسيلة لنقل البيانات إىل /من نظام ر ن قد يستخدم
ن ً ً
الت تعمل كآلية ل C2قدرا كببا من التغطية نظرا الحتمال اتصال المضيفي داخل الشبكة بهم بالفعل .إن ً ر خدمات الويب Web /
االجتماع ي
ر ي ووسائل التواصل
T1102
المهاجمي االختباء ن يف الضوضاء المتوقعة.
ن الت تقدمها Googleأو ، Twitterيسهل عل ي
المشبكة ،مثل تلك ر الخدمات استخدام Service
ً ن ً
إضافيا من الحماية. يستخدم مقدمو خدمات الويب عادة تشفب ، SSL / TLSمما يمنح المهاجمي مستوى
الت تشب إىل بنية تحتية إضافية للتحكم والسيطرة ر ر ن
قد يستخدم المهاجمي خدمة ويب ُخارجية موجودة وشعية الستضافة المعلومات ي
المهاجمي محتوى ،يعرف باسم محلل اإلسقاط ' ، 'dead drop resolverعل خدمات الويب مع نطاقات أو عناوين ن ( .)C2قد ر
ينش Dead Drop Resolver .001 T1102
IPمضمنة (وغالبا ما تكون مشفرة /مشوهة) .بمجرد اإلصابة ،سيتواصل الضحايا مع هؤالء المحللون ويعيدون توجيههم. ً
عب قناة خدمة الويب. مخبق واستالمه ر وشعية كوسيلة إلرسال أوامر إىل نظام ر المهاجمي خدمة ويب خارجية موجودة ر ن قد يستخدم
.
االجتماع الستضافة تعليمات التحكم والسيطرة ( )C2يمكن ر
قد تستفيد األنظمة المخبقة من مواقع الويب الشائعة ووسائل التواصل ن
الطرفي / االتصال من
ي
عب قناة خدمة الويب .قد يحدث الرجوع بعدة طرق، لهذه األنظمة المصابة بعد ذلك إرسال المخرجات من هذه األوامر مرة أخرى ر Bidirectional .002 T1102
ً
بنش تعليق عل منتدى ،أو المخبق ر ر اعتمادا عل خدمة الويب المستخدمة .عل سبيل المثال ،قد تأخذ حركة الرجوع ن يف قيام النظام Communication
لمشوع تطوير ،أو تحديث مستند مستضاف عل خدمة ويب ،أو عن طريق إرسال تغريدة. إصدار طلب سحب ر
تلف مخرجات قادمة من ر ر ر ن
قد يستخدم المهاجمي خدمة ويب خارجية رموجودة وشعية كوسيلة إلرسال أوامر إىل نظام مخبق دون ي
االجتماع الستضافة تعليمات التحكم ي خالل خدمة الويب .قد تستفيد األنظمة المخبقة من مواقع الويب الشائعة ووسائل التواصل االتصال من طرق واحد /
ن
عب قناة C2مختلفة ،بما يف ذلك إىل والسيطرة ( .)C2قد تختار هذه األنظمة المصابة إرسال المخرجات من تلك األوامر مرة أخرى ر One-Way .003 T1102
ُ ً
المهاجمي ن يف
ن الت يرغب فيها ي
المخبقة أي مخرجات عل اإلطالق نف الحاالت ر
ي
ر خدمة ويب أخرى .بدال من ذلك ،قد ال ترجع األنظمة Communication
ً
إرسال تعليمات إىل األنظمة وال يريدون ردا.
98
تشيب البيانات Exfiltration /
ن
المهاجمي لشقة البيانات من شبكتك .بمجرد أن يتم جمع البيانات غالبا يتم تشيب البيانات :يتكون من عدة تقنيات قد يستخدمها
عب األرشفة أو التشفب .ان التقنيات المستخدمة لتشيب البيانات لخارجحزمها/ضغطها لتفادي االكتشاف عندما يتم نقلها .وذلك يتم أما ر
عب قناة التحكم والسيطرة )(C&Cأو من خالل قناة أخرى وكذلك من المحتمل وضع قيود عل حجم النقل. ه بالغالب تتم رالشبكة ي
99
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
ن آىل /
تشيب البيانات بشكل ي
المهاجمي بتشيب البيانات ،مثل المستندات الحساسة و الملفات ،من خالل استخدام عمليات مؤتمتة بعد جمعها. قد يقوم T1020
Exfiltration Automated
عب البنية التحتية للشبكة ن
المهاجمي من انعكاس حركة المرور traffic mirroringمن أجل أتمتة تشيب البيانات ر قد يستفيد
ن ن البيانات المتكررة Traffic /
.
المستهدفة تعد مبة انعكاس حركة المرور مبة مضمنة لبعض أجهزة الشبكة وتستخدم لتحليل الشبكة ويمكن تهيئتها لتكرار حركة .001 T1020
المرور وإعادة التوجيه إىل وجهة واحدة أو ر Duplication
أكب لتحليلها بواسطة محلل الشبكة أو جهاز مراقبة آخر.
ً
قد يقوم المهاجم بتشيب البيانات من خالل تجزئة البيانات اىل احجام موحدة بدال من تشيب الملفات كاملة أو من الممكن أن يحد نقل البيانات بواسطة احجام
لك ال يتم اكتشافها .ويمكن استخدام هذا األسلوب لتجنب التنبيهات من ر محددة Transfer Data /
الت تقل عن عتبات ' 'Thresholdمعينة ي من أحجام الحزم ي T1030
خالل مركز مراقبة بيانات الشبكة. Size Limits
ن تشيب البيانات بواسطة
عب بروتوكول مختلف عن بروتوكول قناة التحكم والسيطرة ()C&Cالحالية .يمكن
المهاجمي البيانات عن طريق تشيبها ر قد يشق
ً بروتوكول بديل Exfiltration / T1048
ئيس.
أيضا إرسال البيانات إىل شبكة بديلة عن خادم التحكم والسيطرة الر ي Over Alternative Protocol
ن Exfiltration Over
عب بروتوكول شبكة مشفرة من نوع متماثل بخالف بروتوكول قناة التحكم و السيطرة المهاجمي البيانات عن طريق تشيبها ر قد يشق
ً Symmetric Encrypted .001 T1048
الرئيس.
ي والقيادة التحكم خادم عن بديلة شبكة إىل البيانات إرسال اأيض يمكن . الموجودة
Non-C2 Protocol
ن Exfiltration Over
عب بروتوكول شبكة مشفرة من النوع غب متماثل بخالف بروتوكول قناة التحكم المهاجمي البيانات من خالل تشيبها ر قد يشق
ً Asymmetric Encrypted .002 T1048
ئيس.
ي ر ال والسيطرة التحكم خادم عن بديلة شبكة إىل البيانات إرسال اأيض يمكن . الموجودة والسيطرة
Non-C2 Protocol
ن Exfiltration Over
عب بروتوكول شبكة غب مشفرة بخالف بروتوكول قناة التحكم والسيطرة الموجودة. المهاجمي البيانات عن طريق تشيبها ر قد يشق
يمكن ً Unencrypted/Obfuscated .003 T1048
ئيس.
ي ر ال والسيطرة التحكم خادم عن بديلة شبكة إىل البيانات إرسال اأيض
Non-C2 Protocol
ن ن تشيب البيانات من خالل قناة
ترمبها من خالل قناة عب قناة التحكم والسيطرة الموجودة .البيانات المشوقة يتم
المهاجمي البيانات عن طريق تشيبها ر قد يشق
تحكم وسيطرة Exfiltration / T1041
االتصاالت العادية باستخدام نفس بروتوكول اتصاالت التحكم والسيطرة.
Over C2 Channel
ن تشيب البيانات من خالل
عب شبكة وسيطة مختلفة عن قناة التحكم والسيطرة .إذا كانت شبكة التحكم والسيطرة عبارةالمهاجمي بتشيب البيانات ر قد يحاول
ر الشبكات البديلة Exfiltration
عب اتصال WiFiأو مودم أو اتصال بيانات خلوية أو
سلك متصل باإلنبنت ،فقد يحدث التشيب ،عل سبيل المثال ،ر ي عن اتصال T1011
Over Other Network
Bluetoothأو قناة تردد راديو مختلفة (.)RF
Medium
ً ن تشيب البيانات من خالل
عب البلوتوث بدال من قناة التحكم والسيطرة .إذا كانت شبكة التحكم والسيطرة عبارة عن
المهاجمي بتشيب البيانات ر قد يحاول
ر البلوتوث Exfiltration / .001 T1011
سلك متصل باإلنبنت ،فقد يختار المهاجم شقة البيانات باستخدام قناة اتصال مثل .Bluetoothي اتصال
Over Bluetooth
100
عب وسيط مادي ،مثل محرك أقراص قابل لإلزالة .أمثلة عل ذلك ،ر
اخباق الشبكة المعزولة المهاجمي بتشيب البيانات ر ن قد يحاول
عن ر تشيب البيانات من خالل
.
عب وسيط مادي أو جهاز مقدم من قبل المستخدم يمكن أن االنبنت ، Air-gapped networkويمكن أن يحدث التشيب ر وسائط ن
فبيائية Exfiltration / T1052
خارج أو محرك أقراص USBأو هاتف خلوي أو مشغل MP3أو أي أجهزة تخزين ر ي تكون هذه الوسائط عبارة عن محرك أقراص ثابت
أخرى .يمكن استخدام الوسيط المادي أو الجهاز كنقطة خروج نهائية أو للتنقل ن Over Physical Medium
بي األنظمة غب المتصلة.
االنبنت Air-اخباق الشبكة المعزولة عن ر عب جهاز مادي متصل ب .USBأمثلة عل ذلك ،ر المهاجمي بتشيب البيانات ر ن قد يحاول
تشيب البيانات من خالل USB
عب جهاز USBمقدم من قبل المستخدم .يمكن استخدام جهاز USBكنقطة خروج ،gapped networkويمكن أن يحدث التشيب ر .001 T1052
نهائية أو للتنقل ن over USB / Exfiltration
بي األنظمة غب المتصلة.
ً ر ن
قد يستخدم المهاجمي خدمة ويب خارجية موجودة وشعية لتشيب البيانات بدال من قناة التحكم والسيطرة الخاصة بهم .قد توفر تشيب البيانات من خالل
ن
المستخدمي و نظرا الحتمال وجود اتصال مسبق ن
بي قدرا كافيا من التغطية ً الت تستخدم لتشيب البيانات ً ر خدمات الويب Exfiltration /
ن ن خدمات الويب الشائعة ي T1567
ر
الشبكة الداخلية قبل حدوث االخباق .باإلضافة قد يوجد هناك سياسات يف جدار الحماية تسمح يف حركة المرور لهذه الخدمات. Over Web Service
بدال من قناة التحكم والسيطرة الخاصة بهمً . ً ن
غالبا ما يمكن الوصول البمجية المهاجمي بتشيب البيانات إىل مستودع األكواد ر قد يقوم تشيب البيانات اىل مستودع
ً . :
عب واجهة برمجة التطبيقات (عل سبيل المثال )https://api.github.comغالبا يتم الوصول إىل إىل مستودعات األكواد ر االكواد Exfiltration to / .001 T1567
ن
إضاف من الحماية. مستوى المهاجم يمنح مما ، HTTPS بروتوكول عب هذه التطبيقات واجهات برمجة Code Repository
ي ر
ً ن تشيب البيانات اىل الخدمات
المهاجمي بتشيب البيانات إىل خدمة التخزين السحابية بدال من قناة التحكم والسيطرة الخاصة بهم .تتيح خدمات التخزين قد يقوم
ر ر السحابية Exfiltration to / .002 T1567
عب اإلنبنت. ي رخارج
ر سحان ري تخزين خادم من دادهاب واس وتحريرها البيانات تخزين ةالسحابي
Cloud Storage
المهاجمي بجدولة تشيب البيانات ليتم عملها فقط ن يف أوقات محددة ن يف اليوم أو عل رفبات زمنية معينة .يمكن القيام بذلك ن قد يقوم جدولة نقل البيانات /
ن T1029
مع األنشطة العادية يف الشبكة لتجنب االكتشاف. Scheduled Transfer
تشيب البيانات اىل الحسابات
سحان
ري المهاجمي بتشيب البيانات عن طريق نقل البيانات ،بما ن يف ذلك النسخ االحتياطية من البيئات السحابية إىل حساب ن قد يقوم
ن ن ن
آخر يتم التحكم فيه ف نفس الخدمة لتجنب عمليات نقل /ن السحابية Transfer Data / T1537
تبيالت الملفات وذلك لتفادي اكتشاف التشيب البيانات يف الشبكة. ي to Cloud Account
101
التأثب Impact /
ً
التأثب :يسىع المهاجمون دائما اىل تدمب البيانات واحداث تأثب عل البيانات او الخدمات او عل الوصول لها او من خالل التالعب بها او
التأثب عل سالمة االعمال والعمليات التشغيلية .وتختلف التقنيات واألساليب المتبعة ن يف احداث األثر اما ان تكون تدمبية او عبث
بالبيانات .وقد يقوم المهاجم بالتأثب عل المنظمة من خالل التعديل عل البيانات لتحقيق أهدافه مما يحدث تأثب عل النظام او الجهة
ر
االخباق الذي حدث. النهان او لتغطية ر
الت تم العبث بالبيانات الخاصة بها .وعادة ما يكون احداث األثر هو هدف المهاجمون
ي ي
102
المعرف ID /
الوصف Description / االسمName /
الفرع
ي المعرف
ن مسح الحسابات /
للمستخدمي المضح لهم .الحسابات من المحتمل حذفها, يقطع المهاجمون توفر الوصول للموارد الشبكية أو االنظمة وذلك لمنع الوصول
Account Access T1531
اقفالها أو يتم التالعب بها عن طريق تغيب الحساب لمنع الوصول للحسابات .
Removal
المهاجمي بتدمب البيانات والملفات ن يف نظام محدد او عدد كبب ن يف الشبكة وذلك لمنع التوافرية لألنظمة ,الخدمات وموارد الشبكة.
ن يقوم
الرقم وذلك من خالل الكتابة فوق الملفات ع ر
الش الطب تقنيات طريق عن جاع ر
لالسب قابلة غب بيانات حذف عملية ه البيانات تدمب
ي ي المحذوفة لمنع يامكانية ر تدمب البيانات Data /
ر
المؤش الخاص اسبجاعها .ن يف نظم التشغيل المعروفة يتم حذف الملفات من خالل أوامر del, rmوهنا يتم حذف T1485
ر Destruction
الرقم .الطريقة
ي عبالملف من غب حذف المحتوى بداخل الملف ,مما يجعل أمكانية استعادة الملفات ممكنة من خالل أدوات الطب الش ي
سوف تختلف عند استخدام wipeألنها تقوم بحذف الملف ر
مباشة.
المهاجمي بتشفب البيانات والملفات ن يف األنظمة المستهدفة او عدد كبب منها يف الشبكة وذلك لمنع التوافرية يف األنظمة ,الخدمات
ن ن ن يقوم
ن تشفب البيانات لتعظيم
المحل أو المتصلة عن بعد وذلك دون معرفة
ي الصلب القرص في المحفوظة للبيانات ممكن غب الوصول يجعلون كذلك . الشبكة وموارد
االثر Data /
الماىل ألجل اعطاءه مفتاح فك التشفب الملفات أو لمنع الوصول للملفات ي مفتاح فك التشفب .يتم عمل ذلك ليتم الزام الضحية بالتعويض T1486
ن ن Encrypted for
وف بعض األحيات يتم تشفب بشكل دائم .يف حال الفدية ،يتم غالبا تشفب ملفات مستندات األوفس ,الصور ,الفيديو ,صوتيات وغبها ي Impact
ملفات حساسة بالنظام ومنها .MBR, Disk Partion
ن التالعب بالبيانات /
المهاجمي بأضافة ،حذف أو التالعب بالبيانات من أجل تغيب المخرجات أو ألخفاء نشاطه .التالعب بالبيانات قد يؤثر من الممكن أن يقوم
Data T1565
عل عملية األعمال أو متخذين القرار.
Manipulation
التالعب بمخزن
ن
المهاجمي بأضافة ،حذف أو التالعب بالبيانات المخزنة من أجل تغيب المخرجات أو ألخفاء نشاطه .التالعب بالبيانات من الممكن أن يقوم البيانات Stored /
.001 T1565
المخزنة قد يؤثر عل عملية األعمال أو متخذين القرار. Data
Manipulation
التالعب بالبيانات
المهاجمي ن يف تبديل البيانات المتجه للتخزين أو انظمة أخرى من أجل تغيب المخرجات أو ألخفاء نشاطه .التالعب
ن من الممكن أن يقوم المنقولة /
.002 T1565
بالبيانات المنقولة قد يؤثر عل عملية األعمال أو متخذين القرار Data Transmitted
Manipulation
التالعب بالبيانات وقت
المهاجمي نف تعديل األنظمة للتالعب بالبيانات ن
حي وصولها وعرضها للمستخدم .التالعب بالبيانات وقت العمل ن من الممكن أن يقوم العمل والتشغيل /
ي .003 T1565
والتشغيل قد يؤثر عل عملية األعمال أو متخذين القرار Runtime Data
Manipulation
ن
المهاجمي بتعديل المحتوى الظاهري المتوفر داخليا أو خارجيا لشبكة المنظومة .األسباب وراء التشويه يتضمن توصيل رسالة ،تخويف يقوم التشوية او التغب /
T1491
أو التفاخر بالتطفل .تستخدم صور هجومية أو مزعجة لتسبب للمستخدم عدم الراحة أو الضغط لألمتثال للرسائل المصاحبة. Defacement
103
المستخدمي .قد يكون عل شكل تعديالت عل مواقع الويب ن ن
المهاجمي بتشويه األنظمة الداخلية للمنظمة لمحاولة تخويف وتضليل يقوم
ر الداخل
ي التشوية والتغب
.
الداخلية ،أو عل أنظمة المستخدم مباشة باستبدال خلفية سطح المكتب تستخدم صور هجومية أو مزعجة لتسبب للمستخدم عدم
ً الراحة أو الضغط لالمتثال للرسائل المصاحبةً . Internal / .001 T1491
فغالبا ما يحدث ذلك بعد تحقيق الداخل تكشف وجود المهاجم ،
ي نظرا ألن طريقة التشويه
Defacement
أهداف أخرى
الخارج ن ن
يقوم المهاجمي بتشويه األنظمة الخارجية للمنظمة لمحاولة توصيل رسالة أو تخويف وتضليل المستخدمي أو المنظمة .التشويه
ر ي التشوية و التغب
نش دعايات. المهاجمي أو مجموعات القراصنة تستخدمها لتوصيل رسالة سياسية أو ر
ن األكب شيوعا من ضحايا التشويه وذلك ألن يعت رب هو ر
ر الخارج External /
ر ي .002 T1491
الت تتخذها منظمة أو حكومة .وبالمثل ،يمكن الخارج تستخدم غالبا كمحفز لتحريك أحداث معينة ،أو ردت فعل عل اإلجراءات ي ر ي التشويه
ً Defacement
أيضا استخدام تشويه موقع الويب كإعداد أو مقدمة للهجمات المستقبلية مثل Drive-by Compromise
ن ن ن ن
بمج أو تخريب البيانات الخام يف القرص الصلب يف أنظمة محددة أو عدد كبب يف الشبكة وذلك لمنع التوافرية يف األنظمة, ن
المهاجمي يقوم
ن ن ي مج القرص الصلب /
ر
الخدمات وموارد الشبكة .وذلك بالقيام بالكتابة بشكل مباش يف القرص الصلب عل البيانات المخزنة بداخلها .يف بعض األحيان يتم تشفب ي T1561
Disk Wipe
ملفات حساسة بالنظام ومنها .MBRقد تتم محاولة مسح كامل لجميع أجزاء القرص
مج محتوى البياناتي
المهاجمي بأزالت المحتويات المخزنة ن يف األجهزة ن يف أنظمة محددة أو عدد كبب ن يف الشبكة وذلك لمنع التوافرية ن يف األنظمة ,الخدمات
ن يقوم من القرص الصلب /
.001 T1561
وموارد الشبكة Content Disk
Wipe
ن مج هيكلة القرص
ي
مج هياكل بيانات القرص الموجودة عل محرك األقراص الثابتة الالزمة لتشغيل النظام ،وذلك بأستهداف قد يقوم المهاجمي بإتالف أو ن ي
ن الصلب Disk .002 T1561
أنظمة حساسة أو عدد كبب منها يف الشبكة وذلك لمنع التوافرية يف األنظمة ,الخدمات وموارد الشبكة
Structure Wipe
عبالمستخدمي .هجوم حجب الخدمة يمكن قيامه رن المهاجمي ن يف هجوم حجب الخدمة لمنع التوافرية ن يف الوصول لخدمات
ن قد يقوم
ر حجب الخدمة للطرفية
.
الت يتم استخدامها أما من قبل الخدمات المستضافة بداخله أو استغالل النظام إلحداث حالة تعطل مستمرة مثال استهالك موارد النظام ي Endpoint Denial / T1499
البيد ،المواقع ،نظام أسماء النطاقات DNSوالتطبيقات وغبها ،ومن خالل وجود هذي الخدمات قد عل ذلك خدمات تتضمن خدمة ر
يتمكن المهاجم من استغاللها لعمل هجوم حجب الخدمة ألغراض سياسة أو تهديدات أو ر ن Service of
ابباز.
ه المسؤولة ن يف أدارة الموارد المحدودة ن يف النظام.باألضافة ال تحتاج هذه ن ن ن
قد يقوم المهاجمي يف أستهداف نظم التشغيل يف الهجوم نظرا ألنها ي استهالك موارد النظام /
ً
الت يفرضها نظام التشغيل ذاتيا وذلك لمنع النظام ر
الهجمات إىل استنفاد الموارد الفعلية عل النظام حيث يمكنها ببساطة استنفاد الحدود ي OS Exhaustion .001 T1499
بأكمله من أن يتأثر بسبب المطالب المفرطة عل قدرته. Flood
استهالك موارد الشبكة
ن
المهاجمي كثبا ما يستهدفون خدمة الويب أو المهاجمي ن يف أستهداف خدمات شبكية مختلفة مزودة من قبل النظام لعمل .DOSن يقوم
Service / .002 T1499
خدمة نظام أسماء النطاقات .برامج خادم الويب أيضا من الممكن استهدافه بطرق متنوعه وذلك اعتمادا عل الخدمة المزودة فيه.
Flood Exhaustion
استهالك موارد
المبات المحددة ن يف تطبيقات
تتمب بموارد عالية جدا للتسبب نف حجب الخدمة .DoSقد تكون ن
ي
ن ن
المهاجمي تطبيقات ويب قد يستهدف
ن التطبيقات /
الويب عالية جدا الستخدام الموارد .قد تتمكن الطلبات المتكررة لهذه المبات من استنفاد موارد النظام ورفض الوصول إىل التطبيق أو الخادم .003 T1499
Application
نفسه
Exhaustion Flood
104
ر
اخباق التطبيقات او
ن
للمستخدمي .قد تقوم بعض األنظمة بإعادة الت يمكن أن تتسبب ن يف تعطيل تطبيق أو نظام ومنع توافره
ر
البامج ي
ن
المهاجمي ثغرات ر قد يستغل البمجيات / ر
ن ً
تشغيل التطبيقات والخدمات الهامة تلقائيا عند حدوث أعطال ،ولكن من المحتمل إعادة استغاللها بشكل مستمر للتسبب يف استمرارية Application or .004 T1499
حجب الخدمة System
Exploitation
البامج الثابتة األخرى ن يف األجهزة المتصلة بالنظام المهاجمي بالكتابة فوق أو إتالف محتويات ذاكرة الفالش الخاصة بنظام BIOSأو ر ن قد يقوم
عطب النظام الثابت او
البنامج الثابت هو برنامج يتم تحميله وتنفيذه من ذاكرة غب مستقرة عل األجهزة .
من أجل جعلها غب قابلة للتشغيل أو غب قادرة عل األقالع ر الداخل Firmware /ي T1495
من أجل تهيئة وظائف الجهاز وإدارتها .يمكن أن تتضمن هذه األجهزة اللوحة األم أو محرك األقراص الثابتة أو بطاقات الفيديو. Corruption
اسبداد النظام التالف المهاجمي بحذف أو إزالة بيانات نظام التشغيل المضمنة وإيقاف تشغيل الخدمات المصممة للمساعدة نف ر ن قد يقوم
ي منع ر
اسبداد النظام /
ن ن
وذلك من أجل منع االسبداد .قد تحتوي أنظمة التشغيل عل مبات يمكن أن تساعد يف إصالح األنظمة التالفة ،مثل كتالوج النسخ ر
ن االحتياط والنسخ االحتياطية لوحدة التخزين volume shadow copiesن Inhibit System T1490
المهاجمي بتعطيل أو حذف التلقان .قد يقوم
ي ومبات اإلصالح ري
ن Recovery
مبات اسبداد النظام لزيادة تأثبات تدمب البيانات وتشفب البيانات من أجل التأثب.
للمستخدمي .يمكن إجراء DoSللشبكة ن عب الشبكة DoSلتقليل أو منع توافر الموارد المخصصة ي هجمات حجب الخدمة ر قد ينفذ المهاجم ن
ر حجب خدمات الشبكة
البيد
ه مواقع ويب وخدمات ر الت تعتمد عليها .أمثلة عل الموارد ي طريق استنفاد خدمات معدل نقل البيانات bandwidthللشبكة ي عن
Network Denial / T1498
ون ونظام أسماء النطاقات .لقد لوحظ أن األعداء يشنون هجمات حجب الخدمة عل الشبكة ألغراض سياسية ولدعم األنشطة ن ر
اإللكب
ي Service of
رن
واالبباز الخبيثة األخرى ،بما ن يف ذلك اإللهاء والقرصنة
المهاجمي التسبب ن يف حجب الخدمة DoSعن طريق إرسال حجم كبب من حركة مرور الشبكة إىل الهدف المراد .يحدث Direct ن قد يحاول
ر فيضان الشبكة المحدد
Network Floodعندما يتم استخدام نظام واحد أو أكب إلرسال عدد كبب من حزم الشبكة نحو خدمة الشبكة المستهدفة .يمكن استخدام
ً ً Direct Network / .001 T1498
البوتوكوالتالبوتوكوالت مثل UDPأو ICMPبشكل شائع ولكن يمكن أيضا استخدام ر تقريبا لإلغراق .يتم استخدام ر أي بروتوكول شبكة
Flood
مثل .TCP
المهاجمي بالتسبب ن يف حجب الخدمة من خالل عكس حجم كبب لحركة مرور الشبكة عل الهدف المراد .يستفيد هذا النوع من ن قد يقوم
ُ ً
الشبك IPالمنتحل .Spoofعادة ما يطلق عل خادم ي لعنوان ويستجيب يستضيف خارجية لجهة تابع خادم وسيط من Network DoS تضخيم االنعكاس /
الشبك المنتحل ً ً
الطرف الثالث هذا اسم عاكس .يعمل المهاجم هجوما انعكاسيا عن طريق إرسال حزم إىل عاكسات تحتوي عل العنوان Reflection .002 T1498
ي
أكب من نظام واحد لتنفيذ الهجوم ،أو يمكن استخدام الروبوتات. الخاص بالضحية .عل غرار ، Direct Network Floodsيمكن استخدام ر Amplification
كب حركة المرور عل الهدف. أكب رلب ن
وبالمثل ،يمكن استخدام عاكس واحد أو ر
الت قد تؤثر عل النظام أو توافرية الخدمة ر ن
قد يستفيد المهاجمي من موارد األنظمة المختارة من أجل حل مشكالت الموارد العالية ي Resource
T1496
المستضافة. Hijacking
ن
قد يقوم المهاجمي بإيقاف الخدمات أو تعطيلها عل النظام لجعل هذه الخدمات غب مفعلة لدى المستخدمي .يمكن أن يؤدي إيقاف ن
ن ن ن ايقاف الخدمات /
المهاجمي بتحقيق األهداف وف حال ايقاف الخدمات قد ينتفع الخدمات أو العمليات المهمة إىل منع االستجابة للحادثة يف حال وقوعها .ي Service Stop
T1489
الضر بالمنظمة. المرادة وذلك إللحاق ن
المهاجمي بإغالق/إعادة تشغيل األنظمة لمنع الوصول إىل هذه األنظمة أو المساعدة ن يف تدمبها .قد تحتوي أنظمة التشغيل عل ن ايقاف او اعادة تشغيل قد يقوم
ً ن
أوامر لبدء إيقاف تشغيل /إعادة تشغيل الجهاز .يف بعض الحاالت ،يمكن أيضا استخدام هذه األوامر لبدء إيقاف تشغيل/إعادة تشغيل جهاز االنظمة System / T1529
للمستخدمي المضح لهم. ن .
Shutdown/Rebootكمبيوتر عن بعد قد يؤدي إيقاف تشغيل األنظمة أو إعادة تشغيلها إىل تعطيل الوصول إىل موارد الكمبيوتر
105
106
إنتىه بفضل هللا.
107