نمذجة التهديدات السيبرانية باللغة العربية Mitre - att&Ck -1

‫السيبانية‬
‫ر‬ ‫نمذجة التهديدات‬

‫‪MITRE | ATT&CK‬‬
‫اتيج لهذا العمل رشكة ‪Cyber Cave‬‬ ‫ر‬ ‫ر‬
‫الشيك االسب ر ي‬
‫‪1‬‬
2
‫لماذا هذا العمل ‪..‬‬
‫ن‬
‫متقدمي (‪ )APT‬متعددة‪ .‬مما‬ ‫ن‬
‫المبتدئي (‪ )script kiddie‬او ال‬ ‫ن‬
‫المهاجمي‬ ‫ر‬
‫الت يقوم بها‬
‫التقنيات واألساليب والطرق (‪ )TTPs‬ي‬
‫ن‬
‫المهاجمي بطريقة سهله الفهم وفعالة عند‬ ‫استدعت الحاجة اىل وجود إطار يقوم بنمذجة تلك التهديدات الصادرة من قبل‬
‫التطبيق‪ .‬ووجود هذا اإلطار باللغة العربية يعزز من عملية الفهم واالدراك لمستوى الهجمات والتقنيات واألساليب المتبعة‬
‫ان‪.‬‬‫ن‬
‫السيب ي‬
‫ر‬ ‫محلل االمن‬
‫ي‬ ‫لدى‬
‫شكر وتقدير‬
‫كل الشكر والتقدير ر‬
‫للشكة السعودية (‪ )CyberCave‬وكذلك الزمالء‪:‬‬
‫‪ -‬مالك الدوشي‬
‫‪ -‬ثامر الشمري‬
‫السحيم‬
‫ي‬ ‫‪ -‬محمد‬
‫‪Nowayer -‬‬
‫‪3‬‬
‫عمليات االستطالع والمسح ‪Reconnaissance/‬‬
‫ر‬
‫الت يقوم بها المهاجم سواء كانت بطريقة نشطة أو غب نشطة لجمع‬ ‫ه العمليات والتقنيات ي‬ ‫االستطالع والمسح‪ :‬ي‬ ‫إن المقصود بعمليات‬
‫والت قد تفييده ن يف عمليات االستهداف المستقبلية‪ .‬وقد تتضمن هذه المعلومات بعض التفصيل عن المنظمة أو الشخص‬ ‫ي‬
‫المعلومات ر‬
‫ّ‬ ‫ُ‬
‫الموظفي‪ .‬حيث تمكن هذه المعلومات المهاجم من االستفادة من تلك المعلومات المفصلة ن يف المراحل‬
‫ن‬ ‫المستهدف أو البنية التحتية أو‬
‫ي‬
‫االوىل "‪ "Initial Access‬أو لتحديد‬ ‫الت تم جمعها لتخطيط وتنفيذ الوصول‬ ‫المتقدمة من دورة حياة الهجوم كاستخدام المعلومات ر‬
‫ي‬ ‫ي‬
‫ر‬
‫الت‬ ‫ر‬ ‫ر‬
‫االوىل‪ ،‬أو توجيهه بإكمال عمليات االستطالع حيث أن المعلومات ي‬
‫ي‬ ‫االخباق‬ ‫الت يجب عل المهاجم القيام بها بعد عملية‬ ‫األولويات ي‬
‫تم جمعها غب كافية‪.‬‬
‫‪4‬‬
‫المعرف‬ ‫‪ID /‬‬
‫الوصف ‪Description /‬‬ ‫االسم‪Name /‬‬
‫الفرع‬
‫ي‬ ‫المعرف‬
‫الت قد تفييده ن يف عمليات االستهداف‪.‬‬ ‫ي‬
‫االخباق يقوم المهاجم بإجراء عمليات مسح واستطالع وجمع للمعلومات ر‬ ‫ر‬ ‫قبل عملية‬
‫ر‬ ‫ن‬ ‫ر‬ ‫ر‬ ‫ر‬
‫يأن ذلك من خالل الفحص‬ ‫تأن بتفاعل مباش ما بي المهاجم والمستهدف‪ .‬ي‬ ‫الت ي‬‫ونقصد هنا عمليات االستطالع النشطة ي‬ ‫المسح النشط ‪Active /‬‬
‫‪T1595‬‬
‫الت تكون غب نشطة‬ ‫للبنية التحتية للمستهدف واكتشاف حركة مرور البيانات وه عل عكس عمليات االستطالع االخرى ر‬ ‫‪Scanning‬‬
‫ي‬ ‫ي‬
‫مباشة مع المستهدف‪.‬‬ ‫وغب ر‬
‫قبل عمليات االستهداف قد يقوم المهاجم بعمليات مسح لمجموعة من المعرفات ‪ IP address‬لغرض جمع المعلومات‬
‫المسح لمجموعة معرفات ‪/‬‬
‫حت يتم استخدامها ن يف المراحل المتقدمة‪ .‬إن جمع المعلومات من خالل المعرفات قد يفيد المهاجم‬ ‫الخاصة بالمستهدف ر‬ ‫‪001‬‬ ‫‪T1595‬‬
‫‪Scanning IP Blocks‬‬
‫بتحديد عدد المعرفات التابعة لجهة معينة‪.‬‬
‫حت يتم استخدام نقاط الضعف ن يف المراحل المتقدمة من العملية‪.‬‬ ‫االخباق يقوم المهاجم بفحص الثغرات للهدف ر‬ ‫ر‬ ‫قبل عملية‬
‫مسح الثغرات ‪/‬‬
‫إن فحص الثغرات هو عبارة عن سلسلة من عمليات الفحص لإلعدادات الخاطئة لألجهزة واألنظمة والتطبيقات والشبكات‬ ‫‪002‬‬ ‫‪T1595‬‬
‫‪Vulnerability Scanning‬‬
‫(مثل اصدار التطبيق) ومحاولة المهاجم معرفة اإلصدار من أجل استغالل الثغرات الخاصة به‪.‬‬
‫ر‬ ‫ر‬ ‫ر‬ ‫جمع المعلومات من النظام‬
‫االخباق‪ .‬ولربما‬ ‫الت لدى الهدف وقد تستخدم أثناء عمليات‬ ‫قبل عملية االخباق يقوم المهاجم بجمع المعلومات عن االجهزة ي‬ ‫المستهدف ‪Gather /‬‬
‫تتضمن المعلومات أسماء االجهزة وبيانات حسابات المدراء لألنظمة والمعرفات الخاصة بهم وبعض االعدادات الخاصة‬ ‫‪T1592‬‬
‫‪Victim Host‬‬
‫باألنظمة‪.‬‬
‫‪Information‬‬
‫ر‬
‫االخباق‪.‬‬ ‫والت قد تستخدم أثناء عمليات‬ ‫ر‬ ‫ر‬
‫الت لدى الهدف ي‬ ‫قبل عملية االستهداف يقوم المهاجم بجمع المعلومات عن األجهزة ي‬
‫وقد تحتوي المعلومات تفاصيل البنية التحتية لألجهزة والعتاد وبعض التفاصيل مثل اإلصدارات الخاصة بتلك العتاد أو بعض‬
‫ر‬ ‫ر‬ ‫ر‬ ‫العتاد ‪Hardware /‬‬ ‫‪001‬‬ ‫‪T1592‬‬
‫المؤشات‬ ‫والت قد تستخدم للحماية مثل (قارئ البطاقات ‪/‬‬ ‫الت قد تكون إلضافات تم اضافتها عل العتاد ي‬ ‫المعلومات ي‬
‫الحيوية ‪ /‬أجهزة التشفب المتخصصة وما اىل ذلك)‪.‬‬
‫الت تفييده ن يف عمليات االستهداف‬ ‫ي‬
‫البمجيات والتطبيقات ر‬ ‫ر‬ ‫عن‬ ‫المعلومات‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع‬
‫ر‬ ‫ً‬
‫بالبمجيات مثل المعلومات المرتبطة بها من إصدارات وتواريخها‪ ،‬أو‬ ‫الت تختص ر‬ ‫مستقبال‪ .‬وقد تشتمل بعض المعلومات ي‬ ‫البمجيات ‪Software /‬‬
‫ر‬ ‫‪002‬‬ ‫‪T1592‬‬
‫البمجية أو التطبيقات االصلية‪.‬‬ ‫الت قد تكون مضافة مع ر‬ ‫ر‬
‫البمجيات ي‬ ‫ر‬
‫والت قد‬ ‫ر‬
‫البامج وأنظمة التشغيل الخاصة ببعض األجهزة ي‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات عن ر‬
‫ً‬
‫الت تختص بأنظمة التشغيل مثل المعلومات المرتبطة بها من إصدارات‬ ‫ر‬ ‫انظمة ‪Firmware /‬‬
‫تستخدم مستقبال‪ ،‬وقد تشتمل بعض المعلومات ي‬ ‫‪003‬‬ ‫‪T1592‬‬
‫البمجية أو التطبيقات االصلية‪.‬‬ ‫الت قد تكون مضافة مع ر‬ ‫ر‬
‫ً‬
‫مستقبال فن‬ ‫البمجيات ي‬ ‫وتاريخها والغرض منها وآلية االعداد‪ ،‬أو ر‬
‫والت قد تستخدم‬ ‫ر‬
‫ي‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات عن اعدادات التكوين للمستهدف ي‬ ‫اعدادات العميل ‪Client /‬‬
‫االستهداف‪ .‬قد تتضمن المعلومات طريقة اإلعدادات وتفصيالتها‪ .‬بما ن يف ذلك نوع نظام التشغيل واإلصدار واألنظمة‬ ‫‪004‬‬ ‫‪T1592‬‬
‫ر‬ ‫‪Configurations‬‬
‫االفباضية والبيئة المعمارية (‪ )bit /32 bit 64‬او اللغة المستخدمة أو المنطقة الزمنية‪.‬‬
‫جمع المعلومات عن هوية‬
‫والت من الممكن استخدامها ن يف مراحل‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات حول هوية المستهدف ي‬
‫االستهداف المتقدمة‪ .‬وقد تتضمن المعلومات الهوية الشخصية أو هويات المجموعات عل سبيل المثال (أسماء الموظفين‬ ‫المستهدف ‪Gather /‬‬
‫‪T1589‬‬
‫ر ن‬ ‫‪Victim Identity‬‬
‫ون وما اىل ذلك) باإلضافة اىل بعض البيانات الحساسة مثل بيانات األرقام الشية‪.‬‬ ‫البيد االلكب ي‬ ‫وعناوين ر‬
‫‪5‬‬
‫والت قد تستخدم ن يف مراحل االستهداف‬ ‫ر‬
‫عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات عن بيانات االعتماد ي‬ ‫قبل‬
‫ً‬ ‫بيانات االعتماد ‪/‬‬
‫مستقبال‪ ،‬وقد تكون بيانات االعتماد عبارة عن حسابات يقوم المهاجم بجمعها بهدف استهداف المنظمة للشخص‬ ‫‪001‬‬ ‫‪T1589‬‬
‫‪Credentials‬‬
‫المستهدف نف حال كان الشخص المستهدف يقوم باستخدام بيانات اعتماد موحدة‪.‬‬
‫قبل عمليات ي االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات عن البيد الشخص للشخص المستهدف بهدف استخدامها فن‬ ‫ر ن‬
‫ون ‪Email /‬‬
‫ي‬ ‫ر ي‬ ‫ر‬ ‫البيد االلكب ي‬
‫ر‬
‫‪002‬‬ ‫‪T1589‬‬
‫للموظفي وغبهم‪.‬‬ ‫ن‬ ‫والت قد تستخدم فقط‬ ‫باإلنبنت ر‬ ‫المتصلة‬ ‫المراحل المتقدمة‪ .‬وذلك من خالل استهداف بعض الخدمات‬ ‫‪Addresses‬‬
‫ي‬
‫الت يمكن استخدامها ن يف مرحلة‬ ‫ي‬
‫الموظفي ر‬
‫ن‬ ‫أسماء‬ ‫عن‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات‬ ‫ن‬
‫ن‬ ‫ن‬ ‫ر‬ ‫ن‬ ‫ُ‬ ‫الموظفي ‪/‬‬ ‫اسماء‬
‫ون الخاص بهم وكذلك يف مساعدة جهود المسح‬ ‫البيد االلكب ي‬ ‫الموظفي الستخراج ر‬ ‫االستهداف المتقدمة‪ .‬وقد تستخدم أسماء‬ ‫‪003‬‬ ‫‪T1589‬‬
‫‪Employee Names‬‬
‫واالستطالع والتصيد‪.‬‬
‫والت يمكن استخدامها ن يف مرحلة‬ ‫ي‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات حول الشبكة المستهدفة ر‬
‫جمع معلومات الشبكة ‪/‬‬
‫االستهداف المتقدمة‪ .‬وقد تتضمن المعلومات المتعلقة بالشبكة مجموعة متنوعة من التفاصيل والبيانات الهامة والحساسة‬
‫ن‬ ‫‪Gather Victim Network‬‬ ‫‪T1590‬‬
‫وف بعض األحوال قد يستطيع المهاجم رسم الطوبولوجيا وطريقة‬ ‫الداخل وغبها) ي‬
‫ي‬ ‫مثل (بيانات المعرفات وبيانات النطاق‬
‫عملها‪.‬‬
‫ن‬
‫والت يمكن استخدامها يف مرحلة‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات حول الشبكة المستهدفة ي‬ ‫خصائص النطاق ‪Domain /‬‬
‫االستهداف المتقدمة‪ ،‬قد تتضمن العملية بعض الخصائص عن النطاق والمالك له ووسيلة التواصل ومعلومات التسجيل‪ .‬وقد‬ ‫‪001‬‬ ‫‪T1590‬‬
‫ن‬ ‫ر ن‬ ‫‪Properties‬‬
‫التعي له داخل المنظمة (مثال أول حرف من اسم الشخص واسم العائلة وهكذا)‪.‬‬ ‫ون وطريقة‬‫البيد االلكب ي‬‫تتضمن كذلك ر‬
‫والت يمكن‬ ‫ر‬ ‫بالمستهدف‬ ‫الخاصة‬ ‫‪DNS‬‬ ‫النطاقات‬ ‫أسماء‬ ‫معلومات‬ ‫بجمع‬ ‫المهاجم‬ ‫يقوم‬ ‫قد‬ ‫االستهداف‪،‬‬ ‫قبل عمليات‬
‫ي‬
‫استخدامها ن يف مرحلة االستهداف المتقدمة‪ ،‬قد تتضمن العملية بعض المعلومات التفصيلية عن المستهدف منها عدد الخوادم‬ ‫اسماء النطاقات ‪DNS /‬‬ ‫‪002‬‬ ‫‪T1590‬‬
‫ون وغبها)‪.‬‬ ‫ر ن‬
‫البيد االلكب ي‬ ‫وأسماء النطاقات الفرعية والهدف منها والخدمات كذلك (مثل خدمات ر‬
‫والت‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات لمعرفة مستوى الثقة داخل الشبكة الخاصة بالمستهدف ر‬ ‫الثقة ن‬
‫بي الشبكات وتبعياتها ‪/‬‬
‫ي‬
‫يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬قد تتضمن العملية بعض المعلومات التفصيلية عن المستهدف منها عدد‬ ‫‪Trust Network‬‬ ‫‪003‬‬ ‫‪T1590‬‬
‫الت ترتبط بالمنظمة من خالل الشبكة والفروع والخدمات المدارة والمتعاقدين وما إىل ذلك‪.‬‬ ‫ر‬
‫الجهات الخارجية ي‬ ‫‪Dependencies‬‬
‫والت يمكن استخدامها‬ ‫ر‬
‫نقبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات عن هيكلة الشبكة الخاصة بالمستهدف ي‬
‫ر‬
‫الفبيائية أو االفباضية أو‬ ‫ف مرحلة االستهداف المتقدمة‪ ،‬قد تتضمن العملية بعض المعلومات التفصيلية عن هيكلة الشبكة ن‬ ‫طوبولوجيا الشبكات ‪/‬‬
‫ي‬ ‫‪004‬‬ ‫‪T1590‬‬
‫االنبنت وبعض معلومات البنية‬ ‫باإلنبنت‪ .‬وقد تتضمن بعض المعلومات الحساسة حول الشبكات وبوابات ر‬ ‫ر‬ ‫الخدمات المتصلة‬ ‫‪Network Topology‬‬
‫التحتية‪.‬‬
‫والت يمكن استخدامها ن يف مرحلة‬ ‫ي‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع معلومات المعرفات الخاصة بالمستهدف ر‬
‫االستهداف المتقدمة‪ ،‬قد تتضمن العملية بعض المعلومات التفصيلية عن المعرفات الخاصة بالمنظمات وتسلسل المعرفات‬
‫المعرف ‪IP Addresses /‬‬ ‫‪005‬‬ ‫‪T1590‬‬
‫"‪. "IP address range‬ويستطيع المهاجم من خالل المعرفات استخراج الخدمات المرتبطة بالمنظمة كالمواقع المادية‬
‫الخاصة بالمنظمة ومزودي خدمات ر‬
‫االنبنت والبنية التحتية‪.‬‬
‫والت‬‫ر‬ ‫انظمة حماية الشبكات ‪/‬‬
‫االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة والخاصة بأجهزة الحماية بالشبكة المستهدفة ي‬ ‫قبل عمليات‬
‫يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬قد تتضمن العملية بعض المعلومات التفصيلية عن أجهزة وجدران الحماية‬ ‫‪Network Security‬‬ ‫‪006‬‬ ‫‪T1590‬‬
‫االنبنت واألجهزة األخرى المتعلقة بحماية ر‬
‫االنبنت‪.‬‬ ‫وخدمات الوكيل ومصفيات ر‬ ‫‪Appliances‬‬
‫‪6‬‬
‫والت يمكن استخدامها ن يف‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة حول المنظمة المستهدفة ي‬
‫ر‬ ‫جمع معلومات المنظمة‬
‫والت قد تحتوي عل األقسام‬ ‫مرحلة االستهداف المتقدمة‪ .‬قد تتضمن العملية بعض المعلومات التفصيلية عن المنظمات ي‬ ‫المستهدفة ‪Gather /‬‬ ‫‪T1591‬‬
‫الموظفي ذوي األهمية داخل هذه‬ ‫ن‬ ‫واإلدارات وبعض االعمال الداخلية والعمليات الخاصة بها والمهام الوظيفية وبعض‬
‫‪Victim Org Information‬‬
‫المنظمة‪.‬‬
‫والت يمكن استخدامها فن‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع معلومات المكان الجغر ناف للمنظمة المستهدفة ر‬
‫ي‬ ‫ن‬
‫ي ن‬ ‫ي‬ ‫اف ‪/‬‬
‫تحديد الموقع الجغر ي‬
‫اف والمواد األساسية‬ ‫مرحلة االستهداف المتقدمة‪ .‬قد تتضمن العملية بعض المعلومات التفصيلية عن مكان المنظمة الجغر ي‬ ‫‪Determine Physical‬‬ ‫‪001‬‬ ‫‪T1591‬‬
‫القضان حسب‬ ‫الت تعتمد عليها المنظمة باإلضافة إىل مكان البنية التحتية ومرجعتيها اإلدارية والنطاق الخاص بالتحاكم‬ ‫ر‬
‫ي‬ ‫ي‬ ‫‪Locations‬‬
‫القضان‪.‬‬
‫ي‬ ‫المنظمة والدولة والنظام‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة حول العالقات التجارية للمنظمة المستهدفة ر‬
‫والت‬
‫ي‬
‫يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬قد تتضمن العملية بعض المعلومات التفصيلية حول العالقات التجارية‬ ‫عالقة االعمال ‪Business /‬‬
‫ر‬ ‫ن‬ ‫‪002‬‬ ‫‪T1591‬‬
‫الت لديها صالحيات الوصول لشبكة‬ ‫الثان أو الثالث والخدمات المدارة والمتعاقدين أو ي‬ ‫للمؤسسة من الطرف األول أو ي‬ ‫‪Relationships‬‬
‫الت تستخدمها المنظمة‪.‬‬ ‫ر‬ ‫للمنظمة‪ .‬وقد يستطيع المهاجم كشف عالقات الموردين مع ر‬
‫البمجيات ي‬ ‫الشكة والقيام باستهداف ر‬
‫والت يمكن‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات عن وتبة االعمال داخل المنظمة المستهدفة ي‬ ‫وتبة العمل داخل المنظمة ‪/‬‬
‫استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬قد تتضمن العملية بعض المعلومات التفصيلية فيما يخص درجة شعة وخطورة‬
‫االعمال وساعات العمل الرسمية وعدد أيام العمل نف األسبوع وتواري خ ر‬ ‫‪Business Identify‬‬ ‫‪003‬‬ ‫‪T1591‬‬
‫والبامج‬ ‫الشاء والبيع والشحن للموارد واألجهزة ر‬ ‫ي‬ ‫‪Tempo‬‬
‫الخاصة بالمنظمة المستهدفة‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة عن األدوار والمسؤوليات والهويات لألشخاص‬
‫والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬قد تتضمن العملية بعض‬ ‫ر‬
‫المستهدفي داخل المنظمة المستهدفة ي‬
‫ن‬ ‫تحديد الصالحيات ‪/‬‬
‫ن‬ ‫ن‬ ‫‪004‬‬ ‫‪T1591‬‬
‫الهيكل لها واألدوار للموظفي الرئيسيي باإلضافة اىل البيانات والمصادر المتاحة‬ ‫ي‬ ‫المعلومات الحساسة عن المنظمة والكيان‬ ‫‪Identify Roles‬‬
‫للوصول لها‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد تستهدف العاملين‬
‫تصيد المعلومات ‪/‬‬
‫االحتياىل هو الحصول عل‬ ‫ي‬ ‫والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬إن التصيد‬ ‫ر‬
‫بداخل المنظمة المستهدفة ي‬ ‫‪Phishing for‬‬ ‫‪T1598‬‬
‫المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد‪ .‬حيث يختلف التصيد المقصود بجمع‬
‫المعلومات عن التصيد إليصال برمجية تنفيذية ضارة‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد اشخاص محددين‬
‫والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬إن التصيد‬ ‫ر‬
‫داخل المنظمة من خالل استخدام خدمات الطرف الثالث ي‬ ‫خدمات التصيد ‪/‬‬
‫ً‬ ‫‪001‬‬ ‫‪T1598‬‬
‫االحتياىل هو الحصول عل المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد‪ .‬وغالبا ما‬ ‫ي‬ ‫‪Spearphishing Service‬‬
‫يستخدم التصيد المستهدف الهندسة االجتماعية كوسيلة لجمع المعلومات كإرسال وظائف أو رسائل عاجلة وهامة‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد اشخاص محددين‬
‫تصيد من خالل المرفقات ‪/‬‬
‫االحتياىل هو‬
‫ي‬ ‫والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬إن التصيد‬ ‫ر‬
‫داخل المنظمة من خالل ارفاق ملف ضار ي‬
‫ً‬ ‫‪Spearphishing‬‬ ‫‪002‬‬ ‫‪T1598‬‬
‫الحصول عل المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد‪ .‬وغالبا ما يستخدم التصيد‬
‫‪Attachment‬‬
‫المستهدف الهندسة االجتماعية كوسيلة لجمع المعلومات كإرسال وظائف أو رسائل عاجلة وهامة‪.‬‬
‫قبل عمليا ت االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل ارسال رسائل تصيد اشخاص محددين‬ ‫تصيد من خالل الروابط ‪/‬‬
‫‪003‬‬ ‫‪T1598‬‬
‫االحتياىل هو‬
‫ي‬ ‫والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬إن التصيد‬ ‫ر‬
‫داخل المنظمة من خالل ارفاق رابط ضار ي‬ ‫‪Spearphishing Link‬‬
‫‪7‬‬
‫وغالبا ما يستخدم التصيد‬ ‫ً‬ ‫الحصول عل المعلومات من خالل خداع المستهدف بهدف افشاء المعلومات أو بيانات االعتماد‪.‬‬
‫المستهدف الهندسة االجتماعية كوسيلة لجمع المعلومات كإرسال وظائف أو رسائل عاجلة وهامة‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل مصادر معلومات مغلقة عن المنظمة أو‬
‫ن‬
‫بالمستهدفي‬ ‫والت يمكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬وقد تكون المعلومات المتعلقة‬ ‫ر‬
‫الشخص المستهدف ي‬ ‫البحث ن يف المصادر المغلقة ‪/‬‬
‫ن‬ ‫ر‬ ‫ن‬ ‫متاحة ر‬ ‫‪T1597‬‬
‫للشاء من مصادر وقواعد بيانات خاصة أو قد يقوم المهاجمي بشاء المعلومات لالستفادة منها يف عمليات االستهداف‬ ‫‪Sources Search Closed‬‬
‫ر‬
‫ومن أشهرها االنبنت المظلم وغبها‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل مصادر الخاصة بالمعلومات االستباقية عن‬
‫الت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬وقد يقدم با ِئ ُعو المعلومات االستباقية مصادر تغدية‬ ‫ر‬
‫التهديدات ي‬
‫ن‬ ‫ي‬ ‫ً‬ ‫موفري المعلومات االستباقية‬
‫مجانا أو متقدم تحتوي معلومات متقدمة وغنية‪ .‬كما أنه يف بعض األحيان يتم تقديم معلومات حساسة مثل أسماء العمالء أو‬ ‫‪001‬‬ ‫‪T1597‬‬
‫ن‬ ‫ر‬ ‫ر‬ ‫‪Vendors Threat Intel /‬‬
‫معي‬ ‫الت تستهدف قطاع‬ ‫المعرفات المصابة وغبها‪ .‬وربما تحتوي بعض المعلومات تفاصيل عن االخباقات وتشيب البيانات ي‬
‫أو عمليات ربط ونمذجة التهديدات المبنية عل السلوك والتقنيات ‪. TTPS‬‬
‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل شاء بعض التفاصيل والمعلومات الفنية‬ ‫رشاء البيانات الفنية ‪/‬‬
‫بشاء تلك المعلومات من مصادر موثوقة أو من خالل‬ ‫والت من الممكن استخدامها نف مرحلة االستهداف المتقدمة‪ .‬وقد يقوم ر‬ ‫ر‬ ‫‪Purchase Technical‬‬ ‫‪002‬‬ ‫‪T1597‬‬
‫ي‬ ‫ي‬
‫االشباك بوسائل المدفوعة الخاصة بمصادر المسح أو االستطالع وغبها‪.‬‬ ‫ر‬ ‫‪Data‬‬
‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل قواعد البيانات الفنية المتاحة عل االنبنت‬ ‫البحث من خالل قواعد‬
‫والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬وقد تتضمن تلك المعلومات عل‬ ‫ر‬
‫عن المنظمة المستهدفة ي‬ ‫البيانات الفنية المفتوحة ‪/‬‬
‫ر‬ ‫‪T1596‬‬
‫مسجل النطاقات أو بعض‬ ‫ي‬ ‫مستودعات البيانات الخاصة بالمنظمة أو سجالت االنبنت أو عدد النطاقات والشهادات وأسماء‬ ‫‪Search Open Technical‬‬
‫البمجيات أو التعليقات المتوفرة عند عمليات الفحص واالستطالع‪.‬‬ ‫المعلومات الحساسة عن المنظمة داخل ر‬ ‫‪Databases‬‬
‫والت من الممكن‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل أسماء النطاقات ‪ DNS‬ر‬ ‫البحث من خالل اسماء‬
‫ي‬
‫استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬وقد تتضمن تلك المعلومات أسماء األشخاص أو المنظمة المالكة للنطاق أو‬ ‫النطاقات بشكل غب ر‬
‫مباش ‪/‬‬ ‫‪001‬‬ ‫‪T1596‬‬
‫البيد وغبها‪.‬‬ ‫العناوين الفرعية المستهدفة ومنها عل سبيل المثال خدمات ر‬ ‫‪DNS/Passive DNS‬‬
‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل قواعد البيانات الفنية المتاحة عل االنبنت‬
‫والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪.‬‬ ‫ر‬
‫عن المنظمة المستهدفة باستخدام مواقع ونطاقات ‪ WHOIS‬ي‬
‫ن‬ ‫ر‬
‫حيث يتم تخزين البيانات بواسطة ‪ WHOIS‬وذلك بتخزين وتسجيل البيانات من خالل سجالت االنبنت والمسؤولي عن ربط‬ ‫مالك العنوان ‪whois /‬‬ ‫‪002‬‬ ‫‪T1596‬‬
‫وماه العناوين‬ ‫ي‬ ‫المعرفات بإصحابها حيث يمكن ألي شخص االستعالم عن النطاق والمعرف الخاص به ومن قام بتسجيله‬
‫والنطاقات الفرعية المرتبطة به‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث ن يف بيانات الشهادة الرقمية للحصول‬
‫والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬حيث يتم اصدار الشهادات الرقمية من‬ ‫ر‬
‫عل معلومات حساسة ي‬ ‫الشهادات الرقمية ‪Digital /‬‬
‫‪003‬‬ ‫‪T1596‬‬
‫ِقبل مراجع التصديق ‪ CA‬وذلك بهدف التحقق من أن محتوى الموقع يتم نقله واالتصال به بشكل مشفر‪ ،‬حيث تحتوي تلك‬ ‫‪Certificates‬‬
‫اف‪.‬‬‫والشكة والموقع الجغر ن‬ ‫الشهادات عل بعض المعلومات الخاصة بالتسجيل مثل االسم ر‬
‫ي‬
‫ن‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث يف بيانات شبكة خدمات المحتوى‬
‫مقدم خدمات المحتوى‬
‫والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬تسمح شبكات الخدمات الموزعة للمؤسسات‬ ‫ر‬
‫الموزع ‪ CDN‬ي‬ ‫‪004‬‬ ‫‪T1596‬‬
‫المحتوى عل مجموعة متوازية من الخوادم نف نطاق جغر ن‬ ‫الشبك ‪CDNs /‬‬
‫ي‬
‫اف حسب طلب العميل‪.‬‬ ‫ي‬ ‫ي‬ ‫باستضافة‬
‫‪8‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث ن يف بيانات المسح واالستطالع العامة‬
‫مباشة مع المستهدف ومن الممكن استخدامها نف مرحلة االستهداف المتقدمة‪ .‬ر‬ ‫والت ال يكون لها صلة ر‬ ‫ر‬ ‫قواعد البيانات الخاصة‬
‫تنتش العديد من‬ ‫ي‬ ‫ي‬
‫ً‬ ‫ر‬ ‫بمنصات المسح واالستطالع ‪/‬‬ ‫‪005‬‬ ‫‪T1596‬‬
‫الخدمات الخاصة بالمسح واالستطالع عل االنبنت‪ ،‬وغالبا تقوم هذه األدوات بالمسح من خالل العناوين أو النطاقات أو‬
‫‪Scan Databases‬‬
‫وماه شهادات التشفب المستخدمة‪.‬‬ ‫ي‬ ‫مسجل تلك النطاقات أو تقوم بعض األدوات بفحص المنافذ المفتوحة‬ ‫ي‬ ‫أسماء‬
‫ن‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة والمتاحة عل االنبنت من خالل البحث يف مواقع‬
‫‪Search Open‬‬
‫مباش مع المستهدف ومن الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪،‬‬ ‫والت ال تكون عل اتصال ر‬ ‫ر‬
‫مجان ي‬ ‫ي‬
‫ن‬ ‫الويب وبشكل‬
‫ن‬ ‫ن‬ ‫ً‬ ‫ر‬ ‫ر‬ ‫‪Websites/Domains /‬‬ ‫‪T1593‬‬
‫االجتماع أو‬
‫ي‬ ‫وقد تكون المعلومات المنتشة عل االنبنت مفيدة جدا للمهاجمي مثل المعلومات المتوفرة يف وسائل التواصل‬
‫البحث من خالل المواقع‬
‫العقود أو طلبات التوظيف أو المكافآت وغبها‪.‬‬
‫والت‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث نف وسائل التواصل االجتماع ر‬
‫ي‬ ‫ي‬ ‫ي‬ ‫االجتماع ‪Social /‬‬ ‫التواصل‬
‫ن‬
‫المستهدفي‬ ‫االجتماع عل معلومات عن‬
‫ي‬ ‫من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬قد تحتوي مواقع التواصل‬ ‫ي‬ ‫‪001‬‬ ‫‪T1593‬‬
‫‪Media‬‬
‫منظمات كانوا أو اشخاص مثل مناصبهم الوظيفية أو مواقعهم الجغرافية وكذلك اهتماماتهم‪.‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل استخدام محركات البحث حول المستهدف‬
‫والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬قد تقوم محركات البح ث بالبحث وارشفة البيانات الحساسة‬ ‫ي‬
‫ر‬ ‫محركات البحث ‪Search /‬‬
‫ّ‬ ‫‪002‬‬ ‫‪T1593‬‬
‫والغب حساسة بهدف جمع المحتوى لتسهيل الوصول له من خالل فهرسته‪ .‬مما قد يمكن المهاجم من الوصول لبعض‬ ‫‪Engines‬‬
‫مؤمنه وقد تقدم بعض محركات البحث فالتر خاصة تمكنك من البحث عن امتدادات معينه أو غبها‪.‬‬ ‫المعلومات الغب ي‬
‫البحث من خالل الموقع‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بجمع المعلومات الحساسة من خالل البحث ن يف مواقع الويب الخاصة بالجهة أو‬
‫المستهدف ‪Search /‬‬
‫والت من الممكن استخدامها ن يف مرحلة االستهداف المتقدمة‪ .‬وقد تحتوي مواقع الويب تلك عل‬ ‫ر‬
‫الشخص المستهدف ي‬ ‫‪T1594‬‬
‫ن‬ ‫ر‬ ‫معلومات متنوعة ومفصلة بما فيها أقسام ر‬ ‫‪Victim-Owned‬‬
‫ون وعمالئها‪.‬‬ ‫البيد االلكب ي‬
‫الشكة وموظفيها وكذلك تركيبة ر‬
‫‪Websites‬‬
‫‪9‬‬
‫تطوير الموارد ‪Resource Development /‬‬
‫الت تفيدهم ن يف عمليات االستهداف وتتضمن هذه‬ ‫ي‬

‫المهاجمي بإنشاء أو رشاء أو شقة بعض الموارد ر‬
‫ن‬ ‫تطوير الموارد ‪:‬قد يشتمل عل قيام‬
‫للمهاجمي أو القدرات‪ .‬ويمكن للمهاجم االستفادة من هذه الموارد للمساعدة ن يف مراحل االستهداف‬
‫ن‬ ‫الموارد عل سبيل المثال البنية التحتية‬
‫المتقدمة‪ .‬عل سبيل المثال استخدام لوحة التحكم المتوفرة نف بعض النطاقات لعمليات التحكم والسيطرة أو استخدام البنية التحتية فن‬
‫ي‬ ‫ي‬
‫ارسال رسائل تصيديه أو شقة الشهادات أو التواقيع الرقمية وذلك لتفادي االكتشاف‪.‬‬
‫‪10‬‬
‫الفرع‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬حيث توجد‬ ‫ر‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بشاء أو استئجار البنية التحتية ي‬ ‫امتالك بنية تحتية‬
‫‪T1583‬‬
‫ن‬
‫الت تتيح للمهاجم التنسيق بي العمليات الهجومية‪ .‬ومن الممكن أن يقوم المهاجم باستخدام الخدمات السحابية‬ ‫ر‬
‫ن‬ ‫أنواع متعددة نمن الخوادم ي‬ ‫‪Acquire /‬‬
‫ن‬
‫ألعمال ضارة يف أماكن مختلفة‪ .‬يف بعض األحيان قد يكون المهاجم قام باستخدام برمجيات الطرف الثالث ألغراض ضارة مثل الربط بي شبكات‬
‫‪Infrastructure‬‬
‫البوت وغبها‪.‬‬
‫ر‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬إن أسماء النطاقات‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بشاء او استئجار النطاقات ي‬ ‫النطاقات‬
‫‪.001 T1583‬‬
‫وه بديل عن المعرفات ‪ IP address‬والجدير بالذكر أن هناك نطاقات تستطيع استخدامها‬ ‫ه مفردات يستطيع قراءتها وحفظها االنسان ي‬ ‫ي‬
‫ن‬ ‫‪Domains/‬‬
‫جان‪.‬‬
‫بشكل م ي‬
‫ر‬ ‫خوادم أسماء‬ ‫‪.002 T1583‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬وقد‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بإعداد خوادم أسماء النطاقات ‪ DNS‬ي‬
‫يستخدم المهاجم قنوات خوادم أسماء النطاقات لعمليات التحكم والسيطرة أو لدعم عمليات التشغيل الخاصة بالمهاجمي‪.‬ن‬ ‫النطاقات ‪DNS /‬‬
‫‪Server‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬حيث‬ ‫ر‬ ‫ر‬
‫قبل عمليات االستهداف قد يقوم المهاجم باستئجار الخوادم االفباضية الخاصة ي‬ ‫الخوادم ر‬
‫االفباضية‬
‫‪.003 T1583‬‬
‫والت تقوم بتوفب الخدمات السحابية والمستودعات والخوادم ر‬
‫االفباضية‪ .‬ويقوم‬ ‫ر‬
‫توجد مجموعة متنوعة من مزودي الخدمات السحابية ي‬ ‫‪Virtual /‬‬
‫ن‬
‫المهاجمون باستخدام مثل هذه التقنية لتصعب عمليات ربط عملياتهم عل المحللي بشكل واضح وكذلك لسهولة اعداد تلك الخوادم وشعة‬
‫‪Server Private‬‬
‫اغالقها‪.‬‬
‫والت من الممكن استخدامها اثناء عملية االستهداف‪ .‬حيث يتم استخدام‬ ‫ر‬ ‫ر‬
‫قبل عمليات االستهداف قد يقوم المهاجم بشاء أو استئجار الخوادم ي‬ ‫‪.004 T1583‬‬
‫تلك الخوادم لتنفيذ العمليات الضارة ضد المنظمات المستهدفة أو يتم استخدامها كذلك ن يف التحكم والسيطرة‪ .‬والسبب خلف استخدامها هو‬ ‫الخوادم ‪Server /‬‬
‫الت تستخدم ر‬
‫فبة الهجوم‪.‬‬ ‫ر‬
‫الحفاظ عل خصوصية األدوات ي‬
‫ر‬
‫والت تحتوي عل عدد كبب من األنظمة المخبقة ومن الممكن استخدامها‬ ‫ر‬ ‫ر‬
‫قبل عمليات االستهداف قد يقوم المهاجم بشاء أو استئجار الشبكات ي‬ ‫‪.005 T1583‬‬
‫ن‬
‫للمهاجمي‬ ‫ر‬
‫المخبقة ويتم استخدامها بتوجيهها ألداء مهام منسقة‪ .‬ويمكن‬ ‫اثناء عملية االستهداف‪ .‬حيث أن البوت عبارة عن شبكات من األنظمة‬ ‫البوت ‪Botnet /‬‬
‫االشباك الستخدام شبكة البوت ن يف هجمات حجب الخدمة أو هجمات التصيد‪.‬‬ ‫ر‬ ‫رشاء أو‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬توجد مجموعة‬ ‫ر‬ ‫ر‬
‫قبل عمليات االستهداف قد يقوم المهاجم بشاء أو استئجار خدمات الويب ي‬ ‫‪.006 T1583‬‬
‫والت يقوم المهاجمي بالتسجيل فيها واالستفادة من خدماتها (مثل خدمات التحكم والسيطرة أو خدمات نقل‬‫ن‬ ‫ر‬
‫متنوعة من مواقع الويب الشائعة ي‬ ‫خدمات الويب‬
‫لك تساعدهم‬ ‫ن‬
‫االجتماع للتحكم والسيطرة حيث يقوم المهاجمي باستخدامها ي‬‫ي‬ ‫وتشيب وحفظ الملفات) باإلضافة إىل استخدام وسائل التواصل‬ ‫‪Web Services/‬‬
‫التخف من الرصد واالكتشاف وكذلك تسهل عليهم ربط عملياتهم‪.‬‬ ‫ي‬
‫ن‬ ‫ن يف‬
‫باخباق الحسابات ر‬ ‫قبل عمليات االستهداف قد يقوم المهاجم ر‬ ‫الحسابات‬ ‫‪T1586‬‬
‫والت من الممكن استخدامها اثناء عملية االستهداف‪ .‬يستخدم المهاجمون‬ ‫ي‬ ‫ر‬
‫المخبقة ‪/‬‬
‫والت قد تؤدي ن يف‬
‫ر‬
‫لك يولد الثقة لديه ي‬‫الهندسة االجتماعية لهذا الغرض حيث يتم القيام بانتحال شخصيات معروفة لدى الشخصية المستهدفة ي‬
‫النهاية إىل ر‬ ‫‪Compromise‬‬
‫اخباق حسابه‪.‬‬
‫‪Accounts‬‬
‫‪11‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬يستخدم‬ ‫ر‬ ‫حسابات وسائل قبل عمليات االستهداف قد يقوم المهاجم ر‬ ‫‪.001 T1586‬‬
‫االجتماع ي‬ ‫ي‬ ‫باخباق حسابات التواصل‬
‫حت يولد الثقة‬ ‫االجتماع المهاجمون الهندسة االجتماعية لهذا الغرض‪ .‬حيث يقوم المهاجمون بانتحال شخصيات معروفة لدى الشخصية المستهدفة ر‬ ‫ي‬ ‫التواصل‬
‫ن‬
‫والت قد تؤدي ف النهاية إىل ر‬ ‫ر‬ ‫‪Media‬‬ ‫‪Social‬‬ ‫‪/‬‬
‫اخباق الحساب‪.‬‬ ‫ي‬ ‫لديه ي‬ ‫‪Accounts‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬وقد يستخدم‬ ‫ر‬ ‫ر ن‬ ‫قبل عمليات االستهداف قد يقوم المهاجم ر‬
‫ون ي‬ ‫البيد االلكب ي‬ ‫باخباق حسابات ر‬ ‫ون ‪/‬‬ ‫ر ن‬ ‫‪.002 T1586‬‬
‫ون يقوم بإرسال رسائل تصيد‬ ‫ن‬ ‫ر‬
‫االلكب‬ ‫يد‬ ‫للب‬
‫ر‬ ‫اق‬ ‫ر‬
‫االخب‬ ‫عملية‬ ‫بعد‬ ‫المثال‬ ‫سبيل‬ ‫عل‬ ‫‪.‬‬‫بها‬ ‫يقومون‬ ‫الت‬ ‫ر‬ ‫العمليات‬ ‫لتعزيز‬ ‫ون‬ ‫االلكب ن‬
‫ر‬ ‫يد‬
‫الب‬ ‫ر‬ ‫المهاجمون‬ ‫البيد االلكب ي‬ ‫ر‬
‫ي‬ ‫ي‬ ‫ي‬ ‫‪Email‬‬
‫ر‬ ‫ر‬ ‫للمستهدفي حيث سيكون هناك إحساس بالثقة ما ن‬ ‫ن‬
‫البمجيات الضارة‬ ‫والت قد يتم استخدامها لتثبيت ر‬ ‫والبيد المخبق‪ .‬ي‬ ‫بي الشخص المستهدف ر‬
‫أو الحصول عل صالحيات الوصول للبنية التحتية‪.‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬قد تشمل‬ ‫ر‬ ‫ر‬ ‫ر‬
‫ً‬ ‫بنية تحتية مخبقة قبل عمليات االستهداف قد يقوم المهاجم باخباق البنية التحتية التابعة للجهات ي‬ ‫‪T1584‬‬
‫المهاجمي بهذه الهجمات بدال من رشاء أو‬ ‫ن‬ ‫‪ Compromise /‬حلول البنية التحتية عل الخوادم المادية أو السحابية أو خدمات الويب التابعة للجهات‪ .‬يقوم‬
‫‪ Infrastructure‬استئجار البنية التحتية باستخدام تلك المنصة لمهاجمة منظمات أخرى أو من خالل استخدام تلك البنية التحتية لشبكات البوت‪.‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬إن أسماء‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بشقة النطاقات الرئيسية أو الفرعية ي‬ ‫‪.001 T1584‬‬
‫وه بديل عن المعرفات ‪ IP address‬والجدير بالذكر أن المهاجم يستطيع شقة‬ ‫وحفظها االنسان ي‬ ‫ه مفردات يستطيع قراءتها‬ ‫النطاقات ي‬ ‫النطاقات ‪/‬‬
‫وف بعض الحاالت يتم‬ ‫ومن ثم يقوم باستعداد كلمة المرور للنطاق المراد شقته ن‬ ‫للمستهدف‬ ‫ون‬‫االلكب ن‬
‫ر‬ ‫يد‬‫الب‬ ‫اق‬ ‫النطاقات من خالل ر‬
‫اخب‬ ‫‪Domains‬‬
‫ي‬ ‫ي‬ ‫ر‬
‫استخدام الهندسة االجتماعية أو استغالل بعض اإلعدادات الخاطئة‪.‬‬
‫والت من الممكن استخدامها أثناء عملية‬ ‫ر‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم ر‬
‫لمقدم الخدمات ي‬ ‫ي‬ ‫باخباق خوادم أسماء النطاقات التابعة‬
‫خوادم اسماء‬
‫‪.002 T1584‬‬
‫ر‬
‫وه بديل عن المعرفات ‪.IP address‬بعد قيام المهاجم باالخباق‬ ‫ه مفردات يستطيع قراءتها وحفظها االنسان ي‬ ‫النطاقات ‪ DNS /‬االستهداف‪ .‬إن أسماء النطاقات ي‬
‫لمقدم الخدمات لدعم‬ ‫باخباق خوادم أسماء النطاقات التابعة‬ ‫يقوم بإعادة حركة المرور لالستعالمات لخوادم التحكم والسيطرة وقد يقوم ر‬
‫ي‬ ‫‪Server‬‬
‫الت يقوم بها‪.‬‬ ‫ر‬
‫العمليات ي‬
‫والت من الممكن استخدامها أثناء عملية‬ ‫ر‬ ‫باخباق الخوادم ر‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم ر‬
‫لمقدم الخدمات ي‬ ‫ي‬ ‫االفباضية التابعة‬
‫االفباضية‬ ‫الخوادم ر‬ ‫‪.003 T1584‬‬
‫ن‬
‫مقدم خدمات االفباضية ‪ VMs‬حيث تتنوع ما بي خوادم سحابية ومستودعات وخدمات‪ .‬وقد يقوم‬ ‫ر‬ ‫من‬ ‫متعددة‬ ‫أنواع‬ ‫توجد‬ ‫‪.‬‬ ‫االستهداف‬
‫ي‬ ‫‪Virtual /‬‬
‫مقدم الخدمات وذلك لجعل فرصة ايجادهم وربط البنية التحتية لدى‬ ‫باخباق خوادم خاصة تم رشاءها أو استئجارها من قبل‬ ‫المهاجم ر‬
‫ي‬ ‫‪Server‬‬ ‫‪Private‬‬
‫المدافعي أصعب‪.‬‬ ‫ن‬
‫والت من الممكن استخدامها اثناء عملية االستهداف‪.‬‬ ‫ر‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم ر‬
‫لمقدم الخدمات ي‬ ‫ي‬ ‫باخباق الخوادم التابعة‬ ‫‪.004 T1584‬‬
‫المهاجمي كذلك ألغراض مختلفة بما فيها مهام التحكم‬ ‫ن‬ ‫المهاجمي ن يف تنفيذ وتنظيم الهجمات‪ .‬ويستخدمه‬ ‫ن‬ ‫الخوادم ‪ Server /‬يسمح استخدام الخوادم من قبل‬
‫عوضا عن رشاء أو استئجار خادم خاص‪.‬‬ ‫ً‬ ‫والسيطرة‬
‫والت من الممكن استخدامها أثناء‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم باخباق عدد كبب من األنظمة والخوادم التابعة لمقدم الخدمات ر‬ ‫ر‬ ‫‪.005 T1584‬‬
‫ي‬ ‫ي‬
‫والت من الممكن توجيهها‬ ‫المهاجمي باستهداف عدد كبب من األنظمة وذلك من أجل استخدامها كشبكة بوت ر‬ ‫ن‬ ‫عملية االستهداف‪ .‬يقوم‬
‫ي‬ ‫البوت ‪Botnet /‬‬
‫ر‬ ‫ر‬ ‫ن‬
‫واستخدامها لعمليات هجمات حجب الخدمة وغبها‪ .‬وقد يقوم المهاجمي باخباق خوادم جاهزة لعمليات البوت أو استئجارها أو شاءها‪ .‬ومن‬
‫ه هجمات حجب الخدمة أو التحكم والسيطرة عل نطاق واسع‪.‬‬ ‫أنواع الهجمات المتوقع القيام بها ي‬
‫والت من الممكن استخدامها أثناء عملية‬ ‫ر‬ ‫ر‬
‫لمقدم الخدمات ي‬ ‫ي‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم باخباق األنظمة والخوادم التابعة‬ ‫‪.006 T1584‬‬
‫مقدم خدمات الويب المشهورين مثل ‪ GitHub‬و ‪ Twitter‬و ‪ Drobbox‬و ‪ google‬الخ ليقوم‬ ‫ن‬
‫المهاجمي بعض‬ ‫خدمات الويب ‪ /‬االستهداف‪ .‬قد يستخدم‬
‫ي‬
‫‪.‬‬
‫‪ Web Services‬بالحصول عل صالحيات الحساب المستهدف من خالل استغالل الخدمات أو البنية التحتية الخاصة به وذلك ألغراض وعمليات ضارة عل‬
‫ً‬
‫سبيل المثال استخدامها لعمليات التحكم والسيطرة من خالل أدوات معدة مسبقا وتستطيع التعامل مع الخدمات العامة مثل ‪ google‬و‬
‫‪12‬‬
‫حت يصعب اكتشافه ورصدة وربطه‬ ‫التخف وتقليل البيانات الضارة عل الشبكة ر‬‫ن‬ ‫يعط األفضلية للمهاجم من حيث‬ ‫‪ Twitter‬وغبها مما‬
‫ي‬ ‫ي‬
‫ن‬
‫معيني‪.‬‬ ‫بمجموعة أو مهاجمين‬
‫ً‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم ببناء قدرات برمجية تمكنه من استخدامها أثناء عملية االستهداف بدال من رشائها أو استئجارها أو‬ ‫‪T1587‬‬
‫ر‬ ‫ً‬ ‫ن‬ ‫ً‬ ‫ر‬ ‫القدرات التطويرية‬
‫تأن عملية المتطلبات الخاصة من توفر قدرات‬ ‫حت الحصول عليها مجانا أو شقتها‪ .‬يمكن للمهاجمي من تطوير قدراتهم وبرمجياتهم داخليا وهنا ي‬ ‫‪Develop /‬‬
‫ن‬
‫التحكم والسيطرة والتهرب من االكتشاف والتمكن من تشفب البيانات واستخدامها لشهادات الموقعة‪ .‬قد يطور المهاجمي مثل هذه األدوات‬
‫‪Capabilities‬‬
‫لدعم العمليات ن يف مراحل متعددة من مراحل الهجوم‪.‬‬
‫البمجيات الضارة بعض‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بتطوير برمجيات ضارة يمكن استخدامها أثناء عملية االستهداف‪ .‬تتضمن ر‬ ‫‪.001 T1587‬‬
‫والت تفيد ن يف مراحل متقدمة من مراحل الهجوم‪ .‬وتكون ن يف الغالب اما تحكم وسيطرة أو أبواب خلفية أو برمجية تستطيع نسخ‬ ‫ر‬
‫االكواد نالضارة ي‬ ‫البمجيات الضارة‬
‫ر‬
‫ن‬ ‫ن‬
‫البمجيات هو جعل عملية‬ ‫المهاجمي يف مراحل الهجوم األخرى‪ .‬والسبب يقف خلف تطوير تلك ر‬ ‫نفسها يف األجهزة القابلة لإلزالة ‪ USB‬مما يفيد‬ ‫‪Malware /‬‬
‫اكتشافهم أصعب وكذلك التهرب من برمجيات وأنظمة الدفاع عن الشبكات واألجهزة‪.‬‬
‫ر‬ ‫ً‬ ‫شهادات التواقيع‬ ‫‪.002 T1587‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬وقد تشمل‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم باستخدام تواقيع لألكواد ذاتيا ي‬ ‫البمجية ‪Code /‬‬ ‫ر‬
‫والبامج النصية وذلك بغرض التأكيد وضمان عدم التعديل أو التغب أو اإلتالف‪ .‬وقد يولد‬‫والبمجيات التنفيذية ر‬ ‫عمليات التواقيع عل األكواد ر‬
‫والبمجيات آمنة ر‬ ‫ن‬ ‫‪Signing‬‬
‫حت وإن كان مصدرها غب معروف أو غب آمن‪.‬‬ ‫وجود التواقيع الرقمية لألكواد بعض الثقة لدى المستخدمي من أن هذه األكواد ر‬
‫‪Certificates‬‬
‫ً ر‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬تم‬
‫المهاجم بإنشاء شهادات ‪ SSL/TLS‬موقعه ذاتيا ي‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم‬
‫تصميم شهادات ‪ SSL/TLS‬لوضع الثقة ن‬ ‫الشهادات الرقمية‬
‫‪.003 T1587‬‬
‫وه تتضمن معلومات متعددة حول المفاتيح المستخدمة ومعلومات تخص‬ ‫ي‬ ‫البيانات‬ ‫نقل‬ ‫عملية‬ ‫ف‬‫ي‬ ‫‪Digital /‬‬
‫الرقم للكيان الذي تحقق من صحة محتويات الشهادة‪ .‬ن يف حال كانت الشهادة صحيحة وكان الشخص يثق بالنطاق الذي يحمل تلك‬ ‫ي‬ ‫التوقيع‬
‫ً‬ ‫ن‬ ‫‪Certificates‬‬
‫الشهادة فعندئذ يقوم بالتواصل مع النطاق المالك للشهادة‪ .‬يف كثب من األحيان تفقد تلك الشهادات الموقعة ثقتها بسبب كونها موقعة ذاتيا‪.‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬حيث يتم‬ ‫ر‬ ‫ر‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بتطوير أدوات اخباق متعددة ي‬ ‫‪.004 T1587‬‬
‫ن‬
‫جمي‬ ‫الت لم تقم بسد تلك الثغرات‪ .‬حيث يقوم المها‬ ‫ر‬ ‫ي‬
‫ن‬ ‫تصميم تلك األدوات الستغالل ثغرات أو أخطاء برمجية وأمنية تستهدف األنظمة والخوادم ي‬ ‫ر‬
‫االخباق ‪/‬‬
‫بتطوير أدواتهم بدل عمليات رشاء أو شقة تلك األدوات‪ .‬وقد يستخدم المهاجم قدراته من خالل المعرفة العميقة يف الثغرات لبناء أدوات مطورة‬
‫ً‬ ‫‪Exploits‬‬
‫االخباق يقوم المهاجم باستخدام الطرق المعتادة ن يف عمليات البحث والهندسة العكسية لألنظمة أو‬
‫ر‬ ‫داخليا‪ .‬وكجزء من عمليات تطوير أدوات‬
‫الثغرات‪.‬‬
‫ر‬ ‫إنشاء حسابات أو‬ ‫‪T1585‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬يمكن‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بإنشاء حسابات خاصة للخدمات ي‬
‫ر‬ ‫ن‬ ‫ن‬ ‫جمعها ‪/‬‬
‫للمهاجمي إنشاء حسابات وبناء شخصيات وهمية تحتوي عل معلومات شخصية وتاريخية بهدف استخدامها يف عمليات اخباق مستقبلية‪.‬‬
‫‪Establish‬‬
‫وقد تكون تلك الحسابات إما ن يف وسائل التواصل أو ن يف المواقع األخرى‪.‬‬
‫ر‬ ‫حسابات وسائل‬ ‫‪.001 T1585‬‬
‫والت من الممكن استخدامها أثناء عملية‬
‫االجتماع ي‬
‫ي‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بإنشاء حسابات خاصة عل وسائل التواصل‬
‫ن‬ ‫االجتماع‬ ‫التواصل‬
‫للمهاجمي إنشاء حسابات وبناء شخصيات وهمية تحتوي عل معلومات شخصية وتاريخية‪ .‬بهدف استخدامها يف عمليات‬ ‫ن‬ ‫ي االستهداف‪ .‬يمكن‬
‫‪Media‬‬ ‫‪Social‬‬ ‫‪/‬‬
‫اخباق مستقبلية‪ .‬وقد تكون تلك الحسابات إما ن يف وسائل التواصل أو ن يف المواقع األخرى‪.‬‬ ‫ر‬
‫ن‬
‫المهاجمي‬ ‫ون والذي من الممكن استخدامه اثناء عملية االستهداف‪ .‬قد يقوم‬ ‫االلكب ن‬
‫ر‬ ‫بريد‬ ‫بإنشاء‬ ‫المهاجم‬ ‫يقوم‬ ‫قد‬ ‫االستهداف‪،‬‬ ‫عمليات‬ ‫قبل‬ ‫‪/‬‬ ‫ون‬‫ر ن‬
‫ن ي‬ ‫البيد االلكب ي‬
‫ر‬ ‫‪.002 T1585‬‬
‫المجان لتعزيز عملياتهم الهجومية مثل عمليات التصيد وغبها أو قد تستخدم‬ ‫البيد‬
‫إلكبونية من موفري خدمات ر‬ ‫بإنشاء حسابات بريد ر‬ ‫‪Email‬‬
‫ي‬
‫االجتماع وذلك لزيادة فرصة نجاح الهندسة االجتماعية‪.‬‬‫ي‬ ‫للتسجيل ن يف وسائل التواصل‬ ‫‪Accounts‬‬
‫‪13‬‬
‫ً‬ ‫ً‬ ‫ر‬ ‫ر‬
‫والت من الممكن استخدامها أثناء عملية االستهداف بدال من تطويرها داخليا‬ ‫االستهداف‪ ،‬قد يقوم المهاجم بشاء أو شقة القدرات ي‬ ‫قبل عمليات‬ ‫‪T1588‬‬
‫ً‬ ‫امتالك القدرات ‪/‬‬
‫‪.‬‬
‫أو الحصول عليها مجانا وقد تشتمل تلك القدرات عل برمجيات ضارة أو الحصول عل تراخيص رلبمجيات التحكم والسيطرة أو استغالل وشقة‬
‫‪Obtain‬‬
‫الشهادات الرقمية وكذلك شقة المعلومات الخاصة ببعض الثغرات وطرق استغاللها‪ .‬من الممكن استخدام تلك القدرات ن يف جميع عمليات‬
‫ر‬ ‫‪Capabilities‬‬
‫االخباق المستقبلية‪.‬‬
‫والت يمكن استخدامها أثناء عملية االستهداف‪ .‬تتضمن‬ ‫ر‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم ر‬
‫ن‬ ‫البمجيات الضارة ي‬ ‫بشاء أو تحميل ر‬
‫ن‬
‫‪.001 T1588‬‬
‫والت تفيد يف مراحل متقدمة من مراحل الهجوم‪ .‬وتكون يف الغالب إما تحكم وسيطرة أو أبواب خلفية أو‬ ‫ر‬
‫ن‬ ‫األكواد الضارة ي‬
‫ن‬
‫البمجيات الضارة بعض‬ ‫ر‬ ‫البمجيات الضارة‬
‫ر‬
‫‪.‬‬ ‫ن‬
‫برمجية تستطيع نسخ نفسها يف األجهزة القابلة لإلزالة ‪ USB‬مما يفيد المهاجمي يف مراحل الهجوم األخرى والسبب يقف خلف تطوير تلك‬ ‫‪Malware‬‬ ‫‪/‬‬
‫البمجيات هو جعل عملية اكتشافهم أصعب وكذلك التهرب من برمجيات وأنظمة الدفاع عن الشبكات واألجهزة‪.‬‬ ‫ر‬
‫والت يمكن استخدامها أثناء عملية االستهداف وتتضمن أدوات‬ ‫بشاء أو تحميل أو شقة األدوات ر‬‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم ر‬ ‫‪.002 T1588‬‬
‫ي‬ ‫ُ‬
‫ن‬
‫المهاجمي‬ ‫مفتوحة المصدر او مغلقة مجانية أو مدفوعة‪ .‬قد تستخدم تلك األدوات لعمليات ضارة عل سبيل المثال استخدام ‪. PsExec‬يقوم‬
‫ن‬ ‫ر‬ ‫األدوات ‪Tools /‬‬
‫المهاجمي إما بكش اإلصدارات المتوفرة‬ ‫االخباق وأشهرها ‪ .CobaltStrike‬وفيها يقوم‬ ‫باستخدام أدوات معدة لعمليات تقييم الثغرات أو اختبار‬
‫الباخيص‪.‬‬ ‫لديهم أو شقة ر‬
‫ر‬ ‫ر‬ ‫شهادات التواقيع‬ ‫‪.003 T1588‬‬

‫والت من الممكن استخدامها أثناء عملية االستهداف‪ .‬قد‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بشاء أو تحميل أو شقة تواقيع لألكواد ي‬ ‫البمجية ‪Code /‬‬ ‫ر‬
‫والبامج النصية وذلك بغرض التأكيد وضمان عدم التعديل أو التغب أو اإلتالف‪ .‬يولد‬ ‫والبمجيات التنفيذية ر‬ ‫تشمل عمليات التواقيع عل األكواد ر‬
‫والبمجيات آمنة ر‬ ‫ن‬ ‫‪Signing‬‬
‫حت وإن كان مصدرها غب معروف أو غب آمن‪.‬‬ ‫ر‬ ‫األكواد‬ ‫هذه‬ ‫أن‬ ‫من‬ ‫المستخدمي‬ ‫لدى‬ ‫الثقة‬ ‫وجود التواقيع الرقمية لألكواد بعض‬
‫‪Certificates‬‬
‫والت من الممكن‬ ‫ً ر‬ ‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم ر‬
‫الحصول عل شهادات ‪ SSL/TLS‬موقعه ذاتيا ي‬ ‫ن‬
‫بشاء أو شقة أو تحميل أو‬ ‫‪.004 T1588‬‬
‫وه تتضمن معلومات متعددة حول‬ ‫استخدامها أثناء عملية االستهداف‪ .‬تم تصميم شهادات ‪ SSL/TLS‬لوضع الثقة يف عملية نقل البيانات ي‬ ‫الشهادات الرقمية‬
‫الرقم للكيان الذي تحقق من صحة محتويات الشهادة‪ .‬ن يف حال كانت الشهادة صحيحة وكان‬ ‫ي‬ ‫المفاتيح المستخدمة ومعلومات تخص التوقيع‬ ‫‪Digital /‬‬
‫ن‬ ‫‪.‬‬
‫الشخص يثق بالنطاق الذي يحمل تلك الشهادة فعندئذ يقوم بالتواصل مع النطاق المالك للشهادة يف كثب من األحيان تفقد تلك الشهادات‬ ‫‪Certificates‬‬
‫الموقعة ثقتها بسبب كونها موقعة ً‬
‫ذاتيا‪.‬‬
‫والت من الممكن استخدامها أثناء عملية االستهداف‪.‬‬ ‫ر‬ ‫ر‬ ‫ر‬ ‫ر‬
‫االخباق ‪/‬‬
‫قبل عمليات االستهداف‪ ،‬قد يقوم المهاجم بشاء أو شقة أو تحميل أدوات اخباق متعددة ي‬ ‫‪.005 T1588‬‬
‫ر‬
‫المهاجمي باستغالل تلك الثغرات من خالل تعديل أدوات متوفرة أو شاءها جاهزة لالستخدام‪.‬‬ ‫ن‬ ‫حيث يقوم‬ ‫‪Exploits‬‬
‫والت من الممكن استخدامها أثناء عملية‬ ‫ر‬ ‫ات‬
‫ر‬ ‫الثغ‬ ‫عن‬ ‫والشاملة‬ ‫الكاملة‬ ‫المعلومات‬ ‫ن‬
‫المهاجمي‬ ‫لدى‬ ‫يكون‬ ‫قد‬ ‫االستهداف‪،‬‬ ‫عمليات‬ ‫قبل‬ ‫‪.006 T1588‬‬
‫ي‬ ‫ن‬ ‫الثغرات ‪/‬‬
‫ر‬ ‫‪.‬‬
‫ه نقاط ضعف يف أنظمة وبرمجيات وأجهزة الكمبيوتر وقد يقوم المهاجمون باستغاللها بطرق مباشة أو غب‬ ‫‪.‬‬
‫االستهداف ً نقصد بالثغرة األمنية ي‬ ‫‪Vulnerabilities‬‬
‫اإلنبنت من خالل مصادر مفتوحة أو مغلقة‪.‬‬ ‫المهاجمي المعلومات عن بعض الثغرات متوفرة عل ر‬ ‫ن‬ ‫ر‬
‫مباشة‪ .‬عادة ما يجد‬
‫‪14‬‬
‫االوىل ‪Initial Access /‬‬ ‫اق‬ ‫ر‬
‫االخب‬
‫ي‬
‫الت تستخدم للحصول عل صالحيات أولية للوصول للنظام او الشبكة‬ ‫ر‬
‫االخباق االوىل‪ :‬يتكون الوصول االوىل من مجموعة من التقنيات ر‬
‫ي‬ ‫ي‬ ‫ي‬
‫ر‬
‫باإلنبنت‪ .‬وقد يسمح‬ ‫بي رسائل تصيدية او استغالل نقاط الضعف عل الخدمات المتصلة‬ ‫المستهدفة‪ .‬وتشتمل األساليب المستخدمة ما ن‬
‫االوىل للمهاجم باستمرارية وانتشاره داخل الشبكة بل قد يستطيع المهاجم الحصول عل احد الحسابات الفعالة واستخدامه ن يف‬‫ي‬ ‫الوصول‬
‫ر‬
‫احد الخدمات المتصلة باإلنبنت او تغب كلمات المرور الخاصة بها‪.‬‬
‫‪15‬‬
‫الفرع‬
‫للمهاجمي من الوصول للنظام من خالل قيام المستخدم بزيارة موقع من خالل عمليات التصفح‪ .‬وقد يقوم المهاجم ر‬
‫باخباق‬ ‫ن‬ ‫يمكن‬ ‫‪T1189‬‬
‫ر‬
‫االخباق من خالل الوصول‬
‫ر‬
‫الموقع وحقنه باكواد تمكن من سحب بعض المعلومات الهامة من المتصفح دون عملية اخباقه المعتادة‪ .‬ان بعض تقنيات الهجوم‬
‫‪Compromise Drive-by‬‬
‫تقوم عل استهداف المتصفحات المصابة بثغرات‬
‫ر‬
‫قد يحاول المهاجمون االستفادة من نقاط الضعف عل االنظمة واالجهزة المتصلة باإلنبنت بشكل مقصود او غب مقصود‪ .‬ويمكن‬ ‫‪T1190‬‬
‫ً‬ ‫ر‬
‫اخباق تطبيقات المتصلة‬
‫البمجيات وامانها‪ .‬وغالبا ما تكون هذه التطبيقات‬ ‫ن‬ ‫ن‬
‫ان تكون نقاط الضعف اما ثغرة برمجية او خطا يف االعدادات او خطا يف تصميم ر‬ ‫ر‬
‫باألنبنت ‪Public- Exploit /‬‬
‫تطبيقات الويب‪ ،‬لكن من الممكن ان تتضمن خدمات مثل قواعد البيانات ‪ SQL‬وخدمات ‪ .SMB,SSH‬او ادارة اجهزة الشبكات‬
‫‪ .SNMP‬او اي تطبيق اخرى يمكن الوصول له من خالل ر‬ ‫‪Facing Application‬‬
‫االنبنت‪.‬‬
‫مباش ألجهزة وانظمة الشبكة‪ .‬وتتيح‬ ‫باإلنبنت وال رت تودي الوصول بشكل ر‬ ‫ر‬ ‫المهاجمي من الخدمات الخارجية المتصلة‬ ‫ن‬ ‫قد يستفيد‬ ‫‪T1133‬‬
‫ي‬ ‫خدمات االتصال عن بعد ‪/‬‬
‫ن‬
‫ه تسمح للمستخدمي بالوصول عن بعد ألجهزة وموارد‬ ‫والخدمات‬ ‫االجهزة‬ ‫ان‬ ‫‪.‬‬ ‫‪Citrix‬‬ ‫و‬ ‫‪VPN‬‬ ‫مثل‬ ‫بعد‬ ‫عن‬ ‫الوصول‬ ‫الخدمات‬
‫ي‬ ‫‪External Remote‬‬
‫النظام‪ .‬وكما توجد بعض خدمات االتصال عن بعد لها بوابات تحقق ومصادقة ومن امثلتها خدمة " ‪Windows Remote‬‬
‫‪Services‬‬
‫‪"Management‬‬
‫االوىل‪ .‬لم يتم رصد مجموعات هجوم تقوم بمثل هذه‬ ‫ي‬ ‫الوصول‬ ‫لضمان‬ ‫والشبكات‬ ‫الكمبيوتر‬ ‫ملحقات‬ ‫بعض‬ ‫المهاجمون‬ ‫قد يستخدم‬ ‫‪T1200‬‬
‫االوىل لشبكة‪ .‬ومثل هذه الملحقات متوفرة‬ ‫للوصول‬ ‫اق‬ ‫ر‬
‫االخب‬ ‫ي‬‫مختب‬ ‫قبل‬ ‫من‬ ‫االحيان‬ ‫بعض‬ ‫ف‬ ‫الهجمات‪ .‬وقد يتم استخدامها ن‬ ‫ن‬
‫االضاف ‪Hardware /‬‬ ‫العتاد‬
‫ي‬ ‫ر‬ ‫ي‬ ‫ي‬
‫بكبه ومنها ما هو متوفر بشكل مفتوح ومغلق المصدر وتجاري‪ .‬مثل اجهزة تسجيل نضبات المفاتيح وهجمات ر‬
‫اعباض البيانات‬ ‫ر‬ ‫‪Additions‬‬
‫الالسلك‪.‬‬
‫ي‬ ‫وحقن النواة واستخراج الذاكرة العشوائية او من خالل استغالل بعض ملحقات االتصال‬
‫المهاجمي من رسائل التصيد للوصول ألنظمة المستهدف‪ .‬ويتم ارسال رسائل التصيد باستخدام الهندسة االجتماعية‪.‬‬ ‫ن‬ ‫قد يستفيد‬ ‫‪T1566‬‬
‫ر‬
‫والت قد تستهدف االفراد والشكات والقطاعات والصناعات‪ .‬وقد يتم ارسال‬ ‫ر‬ ‫‪.‬‬ ‫الموجهة‬ ‫المستهدف‬ ‫التصيد‬ ‫كذلك‬ ‫استخدام‬ ‫ويمكن‬ ‫التصيد ‪Phishing /‬‬
‫ي‬
‫بالبامج الضارة‪.‬‬ ‫ر‬ ‫محمله‬ ‫بها‬ ‫غوبة‬ ‫مر‬ ‫الغب‬ ‫التصيد‬ ‫رسائل‬ ‫من‬ ‫ضخم‬ ‫عدد‬
‫الت تحتوي عل مرفقات ضارة بهدف الوصول لألنظمة المستهدفة‪ .‬ويتم ارسال رسائل‬ ‫ر‬ ‫ن‬
‫قد يستفيد المهاجمي من رسائل التصيد ي‬ ‫التصيد بواسطة المرفقات ‪/‬‬
‫‪.001 T1566‬‬
‫والت قد تستهدف االفراد ر‬
‫والشكات‬ ‫التصيد باستخدام الهندسة االجتماعية‪ .‬ويمكن استخدام كذلك التصيد المستهدف الموجهة‪ .‬ر‬
‫ي‬ ‫‪Spearphishing‬‬
‫والقطاعات والصناعات‪ .‬ومن السيناريوهات المستخدمة ارسال بريد ضار محمل رببمجيات ضارة وحيث يعتمدون عل المستخدم‬
‫‪Attachment‬‬
‫او المستهدف ن يف تفعيل برمجياتهم الضارة من خالل الهندسة االجتماعية مثل ظهوره كمصدر موثوق‪.‬‬
‫الت تحتوي عل روابط ضارة بهدف الوصول لألنظمة المستهدفة‪ .‬ويتم ارسال رسائل‬ ‫ر‬ ‫ن‬
‫قد يستفيد المهاجمي من رسائل التصيد ي‬ ‫‪.002 T1566‬‬
‫ر‬ ‫ر‬
‫والت قد تستهدف االفراد والشكات‬ ‫التصيد باستخدام الهندسة االجتماعية‪ .‬ويمكن استخدام كذلك التصيد المستهدف الموجهة‪ .‬ي‬ ‫التصيد من خالل الروابط ‪/‬‬
‫والقطاعات والصناعات‪ .‬وقد يستخدم المهاجمون االستهداف من خالل روابط ضارة بدل من المرفقات وذلك لتهرب من انظمة‬ ‫‪Link Spearphishing‬‬
‫الكشف والرصد ومن الممكن اقناع المستهدف من خالل استخدام الهندسة االجتماعية وظهور ان الرابط امن وموثوق‪.‬‬
‫قد يقوم المهاجمون باالستفادة من خدمات الطرف الثالث إلرسال رسائل تصيديه مستهدفة‪ .‬حيث ان التصيد المستهدف من‬ ‫التصيد بواسطة الخدمات ‪/‬‬ ‫‪.003 T1566‬‬
‫االحتياىل‪ .‬ويختلف عن البقية حيث يكون قائم عل االطراف الثالثة بدل من استخدام‬ ‫ي‬ ‫خالل الخدمات هو أحد عمليات التصيد‬ ‫‪Spearphishing via‬‬
‫البيد الخاص بالمهاجم او انتحال صفة بريد اخر‪.‬‬ ‫ر‬ ‫‪Service‬‬
‫‪16‬‬
‫ر‬ ‫النسخ المطابق بواسطة االجهزة‬ ‫‪T1091‬‬
‫باألنبنت او المعزولة‪ .‬حيث يتم حقنها‬ ‫قد يستفيد المهاجمون من االجهزة القابلة لإلزالة الستهداف االنظمة والشبكات الغب متصلة‬
‫ر‬ ‫القابلة لإلزالة ‪Replication /‬‬
‫البمجية من لحظة ادخال‬
‫والت تسمح بتشغيل ر‬ ‫رببمجية ضارة ويتم االستفادة من الخدمة المدمجة مع انظمة ويندوز "‪ ."Autoran‬ي‬ ‫‪Through Removable‬‬
‫البمجيات المراد استهدافها‬
‫البنامج الضار بنسخ نفسة او تعديل ر‬ ‫القرص القابل لإلزالة‪ .‬وقد يقوم ر‬
‫‪Media‬‬
‫المهاجمي بالتالعب بالمنتجات او آليات او طرق تسليم المنتجات قبل وجهتها النهائية‪ .‬وذلك لغرض ر‬
‫اعباض او التالعب‬ ‫ن‬ ‫قد يقوم‬ ‫اخباق الموردين ‪Supply /‬‬ ‫ر‬ ‫‪T1195‬‬
‫بالبيانات او ر‬
‫اخباق النظام‪.‬‬ ‫‪Chain Compromise‬‬
‫اخباق المتطلبات الخاصة‬‫ر‬ ‫‪.001 T1195‬‬
‫النهان‪.‬‬ ‫البمجيات قبل وصولها اىل المستهلك‬ ‫البمجيات او ادوات تطوير ر‬ ‫المهاجمي بالتالعب بالمتطلبات الخاصة ببعض ر‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫بالبمجيات ‪Compromise /‬‬ ‫ر‬
‫لك تعمل بشكل سليم‪ .‬وتختلف تلك االضافات والمتطلبات‬ ‫البمجيات عل الملحقات الخارجية واالضافات ي‬ ‫وقد تعتمد بعض ر‬
‫ر‬ ‫‪Software‬‬ ‫‪Dependencies‬‬
‫والت قد تكون مفتوحة المصدر او مغلقة المصدر‪.‬‬ ‫ي‬ ‫‪and Development Tools‬‬
‫ر‬
‫االخباق للنظام او‬ ‫النهان وذلك بهدف‪.‬‬ ‫للمستهلك‬ ‫تسليمها‬ ‫قبل‬ ‫بالموردين‬ ‫الخاص‬ ‫التطبيق‬ ‫بمكونات‬ ‫ن‬
‫المهاجمي‬ ‫يتالعب‬ ‫قد‬ ‫اخباق تطبيقات الموردين ‪/‬‬ ‫ر‬ ‫‪.002 T1195‬‬
‫ي‬
‫‪ Software Compromise‬التالعب بالبيانات وحيث يتم استهداف تطبيقات الموردين بالعديد من الطرق عل سبيل المثال التالعب بالشفرة المصدرية‬
‫ن‬
‫للمستهدفي‪.‬‬ ‫الت يتم ارسالها مع التحديثات‬ ‫ر‬
‫للتطبيق او تعديله او التغبات ي‬ ‫‪Supply Chain‬‬
‫ر‬
‫النهان وذلك بهدف ‪.‬االخباق للنظام او‬ ‫للمستهلك‬ ‫تسليمها‬ ‫قبل‬ ‫بالموردين‬ ‫الخاص‬ ‫بالعتاد‬ ‫بمكونات‬ ‫ن‬
‫المهاجمي‬ ‫يتالعب‬ ‫قد‬ ‫بالموردين‬ ‫اخباق العتاد الخاص‬ ‫ر‬ ‫‪.003 T1195‬‬
‫ي‬
‫‪ Hardware Compromise /‬التالعب بالبيانات وحيث يتم استهداف العتاد الخاص بالموردين بالعديد من الطرق عل سبيل المثال تركيب اجهزة وبرمجيات‬
‫والت قد يتم تركيبها اما عل الخوادم او اجهزة الشبكة او النهايات الطرفية‪.‬‬ ‫ر‬
‫التجسس‪ .‬ي‬ ‫‪Supply Chain‬‬
‫ن‬ ‫‪.‬‬ ‫ن‬
‫قد يستفيد المهاجمون من العالقات الثقة بي المنظمات حيث صالحيات الوصول المبنية عل الثقة بي االطراف قد يستفيد منها‬ ‫‪/‬‬ ‫بي المنظمات‬‫عالقة الثقة ن‬ ‫‪T1199‬‬
‫المهاجمون بسبب قلة آليات التدقيق والتحقق للوصول للشبكات‬ ‫‪Relationship Trusted‬‬
‫والتخف ورفع الصالحيات داخل‬ ‫ن‬ ‫والتمكن‬ ‫االوىل‬ ‫الوصول‬ ‫لتحقيق‬ ‫وذلك‬ ‫الدخول‬ ‫بيانات‬ ‫استغالل‬ ‫من‬ ‫المهاجمون‬ ‫يستفيد‬ ‫قد‬ ‫‪T1078‬‬
‫ي‬ ‫ي‬
‫المخبقة لتجاوز بعض آليات الحماية والتحكم الموضوعة سواء عل مستوى‬ ‫ر‬ ‫الشبكة‪ .‬حيث يمكن استخدام بيانات الدخول‬
‫االنظمة او الشبكات‪ .‬ومن الممكن استخدام بيانات الدخول للوصول لألنظمة البعيدة مثل خدمات االتصال الظاهري ‪VPN‬‬ ‫حساب فعال ‪Valid /‬‬
‫ر‬ ‫‪.‬‬
‫ون وخدمات االتصال بسطح المكتب عن بعد وقد يستخدم المخبقون تلك البيانات للوصول لمناطق‬ ‫ن‬ ‫ر‬
‫البيد االلكب‬ ‫وخدمات ر‬ ‫‪Accounts‬‬
‫المخبق فقد يتجنب المستخدمون استخدام‬ ‫ر‬ ‫وف حال كانت الصالحيات عالية لدى الحساب‬ ‫حساسة وحرجة داخل يالشبكة‪ .‬ن‬
‫ي‬
‫برمجيات اضافية لتصعيد الصالحيات وذلك يساعدهم ن يف التهرب من انظمة الحماية داخل الشبكة‪.‬‬
‫التخف او رفع وتصعيد‬ ‫ن‬ ‫االفباضية واستخدامها لعمليات الوصول االولية او التمكن او‬ ‫قد يستفيد المهاجمون من الحسابات ر‬ ‫‪.001 T1078‬‬
‫ي‬ ‫ر‬ ‫ر‬
‫تأن مضمنة مع االنظمة والتطبيقات‪ .‬مثل حساب الضيف‬ ‫نالصالحيات او التهرب من انظمة الحماية‪ .‬ان الحسابات االفباضية قد ي‬ ‫ر ن‬
‫االفباضية قد ر‬ ‫ف انظمة الويندوز‪ .‬وكذلك بعض الحسابات ر‬ ‫اض ‪Default /‬‬ ‫حساب افب ي‬
‫تأن عل شكل حسابات خاصة بالجهات المصنعة للمنتج او موفري تلك‬ ‫ي‬ ‫ي‬ ‫‪Accounts‬‬
‫االفباضية بصالحيات مدير للنظام مثل حساب مدير النظام ن يف ‪ AWS‬وحساب‬ ‫الخدمات‪ .‬نف بعض االحيان تكون الحسابات ر‬
‫ي‬
‫اض ن يف ‪Kubernetes‬‬ ‫ر ن‬
‫الخدمات االفب ي‬
‫ن‬
‫التخف او رفع‬ ‫قد يستفيد المهاجمون من الحسابات الخاصة بمدراء النظام واستخدامها لعمليات الوصول االولية او التمكن او‬ ‫‪.002 T1078‬‬
‫ي‬ ‫حساب مدير النظام ‪/‬‬
‫والت ن يف العادة وجدت إلدارة األذونات لألنظمة‬ ‫ر‬
‫الصالحيات او التهرب من انظمة الحماية‪ .‬ان حسابات مدراء النظام ي‬ ‫وتصعيد‬
‫‪Domain Accounts‬‬
‫ن‬
‫والمسؤولي والخدمات‪.‬‬ ‫ن‬
‫المستخدمي‬ ‫والخدمات ن يف ‪ .Active directory‬ويمكن لحسابات مدراء النظام ادارة حسابات‬
‫‪17‬‬
‫ن‬
‫التخف او رفع وتصعيد‬ ‫قد يستفيد المهاجمون من الحسابات المحلية للنظام واستخدامها لعمليات الوصول االولية او التمكن او‬ ‫‪.003 T1078‬‬
‫ي‬ ‫حسابات محلية ‪Local /‬‬
‫ر‬
‫الت تم انشاءها من قبل المنظمة بهدف تقديم الدعم او‬ ‫ه ي‬ ‫الصالحيات او التهرب من انظمة الحماية‪ .‬ان حسابات المحلية ي‬ ‫‪Accounts‬‬
‫الخدمات‪.‬‬
‫ن‬
‫التخف او رفع‬ ‫او‬ ‫التمكن‬ ‫او‬ ‫االولية‬ ‫الوصول‬ ‫لعمليات‬ ‫واستخدامها‬ ‫الحسابية‬ ‫للخدمات‬ ‫الحسابات‬ ‫من‬ ‫المهاجمون‬ ‫يستفيد‬ ‫قد‬ ‫‪.004 T1078‬‬
‫ي‬
‫ر‬
‫الت تم انشاءها من قبل المنظمة بهدف تقديم الدعم‬ ‫ه ي‬ ‫من انظمة الحماية‪ .‬ان حسابات المحلية ي‬ ‫وتصعيد الصالحيات او التهرب‬
‫او الخدمات او تطبيقات ‪ SaaS‬ن‬
‫حسابات عل الخدمات‬
‫بي االنظمة السحابية وخدمات ادارة الصالحيات‬ ‫وف بعض الحاالت قم يتم توحيد الحسابات ما ن‬ ‫السحابية ‪Accounts Cloud /‬‬
‫ي‬
‫والهويات التقليدية ‪.Active Directory‬‬
‫‪18‬‬
‫التنفيذ او التشغيل ‪Execution/‬‬
‫تعط المهاجم افضلية‬ ‫ر‬

‫والت‬ ‫التنفيذ‪ :‬يتكون التنفيذ او التفعيل اىل‬
‫ي‬ ‫محل او عن بعد ي‬‫ي‬ ‫البمجية الضارة عل نظام‬
‫تشغيل بعض االكواد ر‬
‫ً‬
‫التحكم والسيطرة عل المستهدف‪ .‬وغالبا ر‬
‫تقبن جميع العمليات والتقنيات واألساليب المتقدمة بعد القيام بعملية (التنفيذ او‬
‫التشغيل‪ .) Execution‬ومن األمثلة عمليات قيام المهاجم باستخدام أدوات عن بعد بهدف التحكم والسيطرة باألنظمة من خالل سكربت‬
‫‪.PowerShell‬‬
‫‪19‬‬
‫الفرع‬
‫التفاعل ‪/‬‬
‫ي‬ ‫سطر االوامر‬
‫وه‬
‫سطر االوامر لتنفيذ تعليمات وسكربتات وواجهة سطر االوامر تستخدم عادة لتعامل مع النظام ي‬ ‫قد يس المهاجمون استخدام واجهة‬
‫وتأن مدمجة ن‬
‫ر‬ ‫ن‬ ‫‪Command and‬‬
‫وتعط بعض القدرات المتقدمة لتحكم بالنظام ومن امثلتها ‪ Unix Shell‬و ‪CMD‬‬
‫ي‬ ‫االنظمة‬ ‫معظم‬ ‫ف‬‫ي‬ ‫متوفرة يف مختلف االنظمة‪ .‬ي‬ ‫‪Scripting‬‬
‫‪T1059‬‬
‫و ‪.PowerShell‬‬
‫‪Interpreter‬‬
‫ه واجهة سطر اوامر تفاعلية قوية وبيئية نصية‬ ‫قد يقوم المهاجمون باستخدام اوامر ‪ PowerShell‬لتنفيذ تعليمات ضارة‪ .‬و‪ PowerShell‬ي‬
‫‪ PowerShell‬لتنفيذ العديد من العمليات بما فن‬ ‫ن‬
‫للمهاجمي من استخدام‬ ‫وه تستخدم لنظام ويندوز‪ .‬ويمكن‬
‫ي‬ ‫تمكنك من التحكم بالنظام ي‬
‫واىل تسمح بتشغيل االوامر‬ ‫ي‬ ‫‪cmdlet‬‬ ‫‪Start-Process‬‬ ‫تعليمة‬ ‫المثال‬ ‫سبيل‬ ‫عل‬ ‫‪.‬‬‫ها‬‫وغب‬ ‫الملفات‬ ‫واستكشاف‬ ‫التنفيذية‬ ‫ذلك تشغيل الملفات‬ ‫سكربت ‪PowerShell‬‬ ‫‪.001 T1059‬‬
‫والت تسمح بتفعيل وتشغيل االوامر عن االنظمة المحلية او عن بعد‪ .‬والجدير بالذكر ان‬ ‫ر‬
‫وتنفيذها وامر ‪ Invoke-Command cmdlet‬ي‬
‫لالتصال بالنظام عن بعد قد تحتاج اىل صالحيات مدير النظام‪.‬‬
‫وه‬
‫ه لغة برمجة نصية ألنظمة ‪ MacOS‬ي‬ ‫المهاجمون باستخدام ‪ AppleScript‬لتنفيذ تعليمات برمجية ضارة و ‪ AppleScript‬ي‬ ‫قد يقوم‬
‫بي التطبيقات وتسم ‪ .AppleEvent‬ويمكن ارسال رسائل‬ ‫عب استخدام الرسائل ن‬ ‫ن‬
‫مصممة للتحكم يف التطبيقات وبعض اجزاء من النظام ر‬
‫سكربت ‪AppleScript‬‬ ‫‪.002 T1059‬‬
‫‪ AppleEvent‬هذه بشكل مستقل او كتابتها بسهولة من خالل ‪ .AppleScript‬ويمكن لهذه التعليمات من تحديد عدد النوافذ المفتوحة عل‬
‫ً‬
‫الت تعمل محليا او عن بعد‪.‬‬‫ر‬
‫البمجيات ي‬ ‫سطح المكتب وتسجيل نضبات المفاتيح والتواصل مع معظم ر‬
‫التفاعل‬
‫الرسم ن يف ويندوز‪.‬‬
‫ي‬ ‫قد يقوم المهاجمون باستخدام سطر االوامر ويندوز ‪ CMD‬لتنفيذ تعليمات ضارة‪ .‬وسطر االوامر ‪ CMD‬هو سطر االوامر‬ ‫الخاص بالويندوز ‪/‬‬
‫‪.003 T1059‬‬
‫وقد يتم استخدام سطر االوامر لتحكم ن يف معظم خصائص النظام وكذلك التحكم ن يف بعض الصالحيات واالدوار‪.‬‬ ‫‪Windows‬‬
‫‪Command Shell‬‬
‫االساس ألنظمة ‪Linux‬‬
‫ي‬ ‫قد يقوم المهاجمون باستخدام سطر االوامر ‪ UNIX‬لتنفيذ تعليمات برمجية ضارة‪ .‬وهو موجه االوامر‬ ‫التفاعل‬
‫و‪.MacOS‬وعل الرغم توجد بعض االختالفات البسيطة ن يف سطر االوامر مثل (‪ )zsh ,sh, bash‬واعتمادية نظام التشغيل وكذلك اصدارات‬ ‫الخاص بالينكس ‪/‬‬ ‫‪.004 T1059‬‬
‫النسخ‪ .‬وحيث يمكنك التحكم ن يف معظم خصائص النظام من خالل سطر االوامر وبعض الخصائص تحتاج اىل صالحيات مدير نظام‪.‬‬ ‫‪Shell Unix‬‬
‫قد يقوم المهاجمون باستخدام لغة ‪Basic VB-Visual‬لتنفيذ تعليمات برمجية ضارة‪ .‬ولغة ‪ VB‬تم انشاؤها من قبل مايكروسوفت وتسمح‬
‫تعتب من اللغات‬‫أكب التقنيات الخاصة بالويندوز مثل استخدام ‪ Object Model‬و‪ .Windows API‬حيث ان لغة ‪ VB‬ر‬ ‫اللغة بتفاعل مع ر‬ ‫سكربت ‪Visual Basic‬‬ ‫‪.005 T1059‬‬
‫الت تدعم منصات متعددة‪.‬‬ ‫ر‬ ‫ً‬
‫القديمة قليل وحيث من المخطط للغة انه يتم دمجه مع ‪ NET Framework.‬و‪ NET Core‬ي‬
‫وه اللغة ي‬
‫ر‬
‫والت‬
‫ه أحد اللغات العالية المستوى والمشهورة ي‬ ‫باستخدام لغة بايثون لتنفيذ تعليمات برمجية ضار‪ .‬ان لغة بايثون ي‬
‫ً‬
‫قد يقوم المهاجمون‬
‫تتمتع بقدرات قوية جدا‪ .‬تستطيع لغة البايثون من تنفيذ تعليمات برمجية تفاعلية من سطر االوامر من خالل استخدام ‪ python.exe‬او من‬
‫ر‬ ‫ر‬ ‫لغة ‪Python‬‬ ‫‪.006 T1059‬‬
‫الت تدعم لغة البايثون ويمكن كذلك للغة من جمع االكواد وتنفيذها‬
‫والت يمكن تشغيلها عل معظم االنظمة ي‬ ‫خالل أحد ملفاتها ‪ .py.‬ي‬
‫وتشغيلها‪.‬‬
‫االساس ويتم تشغيلها والتفاعل‬
‫ي‬ ‫ه لغة نصية مستقلة عن النظام‬ ‫قد يقوم المهاجمون باستخدام ‪ JavaScript‬ألغراض ضارة ان ‪ JavaScript‬ي‬
‫مباش وه عادة مرتبطة مع المتصفحات ومن الممكن تشغيل ‪ JavaScript‬عل النظام بشكل ر‬ ‫معها بشكل ر‬ ‫سكربت‬
‫مباش دون الحاجة اىل وجود‬ ‫ي‬ ‫‪.007 T1059‬‬
‫‪JavaScript/JScript‬‬
‫متصفح‪.‬‬
‫ن‬ ‫ن‬
‫قد يقوم المهاجمي باستغالل السكربتات او سطر االوامر المدمج ‪ CLI‬يف الشبكة لتنفيذ أوامر او تعليمات برمجية ضارة‪ .‬ان سطر األوامر‬ ‫التفاعل‬ ‫سطر االوامر‬
‫ي‬ ‫‪.008 T1059‬‬
‫ن‬
‫والمستخدمي لعرض معلومات النظام او تعديل بعض العمليات المرتبطة‬ ‫وسيلة لتفاعل مع النظام ويتم استخدامها من قبل مدراء الشبكة‬ ‫الخاص بالشبكات ‪/‬‬
‫‪20‬‬
‫بالنظام والقيام ببعض الوظائف الخاصة بمدراء الشبكة‪ .‬وتحتوي ‪ CLIs‬عل مستويات مختلفة من الصالحيات واالذونات باختالف االوامر‬ ‫‪Network Device‬‬
‫المنفذة‪.‬‬ ‫‪CLI‬‬
‫ادارة والتحكم‬
‫ر‬ ‫بالمستودعات ‪/‬‬
‫قد يستخدم المهاجمون خدمة ادارة المستودعات لتنفيذ اوامر ضارة نبها‪ .‬ي‬
‫والت قد تسمح خدمة ادارة المستودعات ب ‪ Docker deamon‬او‬
‫‪Container‬‬ ‫‪T1609‬‬
‫خادم ‪ Kubernetes API‬او ‪ Kubelet‬بإدارة المستودعات عن بعد يف البيئة المستهدفة‪.‬‬
‫‪Administration‬‬
‫‪Command‬‬
‫ن‬
‫وف بعض‬ ‫قد يقوم المهاجمون بتثبيت المستودعات داخل المنظمة المستهدفة بهدف تنفيذ بعض االوامر الضارة او لتفادي االكتشاف‪ .‬ني‬
‫تبيل او تفعيل‬ ‫البمجية المرتبطة ببعض العمليات الضارة مثل ن‬ ‫االحيان يقوم المهاجم بتثبيت أحد المستودعات بهدف تنفيذ بعض التعليمات ر‬ ‫تثبيت المستودعات ‪/‬‬
‫‪T1610‬‬
‫البمجية الضارة‪ .‬وقد يقوم المهاجمون بتثبيت مستودع جديد من غب اعدادات او قواعد او صالحيات وذلك لتفادي بعض اجهزة وانظمة‬ ‫ر‬ ‫‪Deploy Container‬‬
‫الحماية المتوفرة ن يف المنظمة‪.‬‬
‫ر‬ ‫ن‬ ‫ن‬ ‫ر‬
‫البمجيات الخاصة بالمستخدمي من اجل تنفيذ تعليمات برمجية ضارة‪ .‬حيث ان الثغرات ي‬
‫والت‬ ‫قد يستغل المهاجمون نقاط الضعف يف ر‬ ‫االخباق بواسطة‬
‫والت من الممكن استغاللها من قبل‬ ‫ر‬
‫البمجية بشكل امن ي‬
‫ن‬
‫المستخدمي لمختلف االسباب ومنها عدم كتابة االكواد ر‬ ‫تتواجد ن يف تطبيقات‬ ‫المستهدف ‪/‬‬
‫ر‬ ‫ن‬ ‫ً‬ ‫ن‬ ‫‪T1203‬‬
‫والت تمكنه من‬ ‫المهاجمي‪ .‬وغالبا يقوم المهاجمون باستهداف برمجيات المستخدمي وذلك من اجل تنفيذ تعليمات برمجية ضارة عن بعد ي‬ ‫‪for Exploitation‬‬
‫الوصول والسيطرة عل النظام المصاب‪.‬‬ ‫‪Client Execution‬‬
‫مباش او عن بعد‪.‬‬ ‫بي العمليات ‪ IPC‬من اجل تنفيذ تعليمات برمجية ضارة عل النظام بشكل ر‬ ‫قد يقوم المهاجمون باستخدام آليات االتصال ن‬
‫‪Inter-Process‬‬
‫حيث يتم عادة استخدام ‪ IPC‬ألغراض مشاركة المعلومات او التواصل مع بعضها البعض من خالل تنفيذ بعض اوامر المزامنة‪ .‬ويتم استخدام‬ ‫‪T1559‬‬
‫ً‬ ‫‪Communication‬‬
‫‪ IPC‬ايضا بشكل شائع لتجنب ما يسم (‪.)deadlocks‬‬
‫ً‬
‫قد يقوم المهاجمون باستخدام ‪ COM‬او ‪ Component Object Model Windows‬وذلك لتنفيذ تعليمات برمجية محليا عل النظام‬
‫البمجية‬ ‫تمكي العمليات ر‬ ‫ن‬ ‫بي العمليات ‪ .IPC‬وكذلك يتيح التفاعل مع واجهة التطبيقات الويندوز ‪ .API‬او‬ ‫المصاب‪ .‬و‪ COM‬هو مكون اتصال ن‬ ‫‪Component‬‬
‫ر‬ ‫ر‬ ‫‪.001 T1559‬‬
‫والت عادة تكون عبارة عن‬ ‫الت لدى العميل االتصال بالكائنات الخاصة بالخوادم ي‬ ‫القابلة للتنفيذ‪ .‬حيث من خالل ‪ COM‬تستطيع الكائنات ي‬ ‫‪Object Model‬‬
‫ملفات تنفيذية او ملفات ‪.DLL‬‬
‫قد يقوم المهاجمون باستخدام ‪ )Data Exchange (DDE Windows Dynamic‬لتنفيذ تعليمات واوامر عشوائية‪ .‬و‪ DEE‬هو بروتوكول من‬ ‫تبادل المحتوى‬
‫العميل للخدام لالتصال للمرة واحدة او من خالل استخدام ‪.IPC‬بمجرد استخدام ‪ DEE‬يمكن للتطبيقات من تبادل العمليات بشكل متسلسل‪.‬‬ ‫الديناميك ‪/‬‬
‫ي‬ ‫‪.002 T1559‬‬
‫وتنقسم التنبيهات اىل اشعارات عند تغب البيانات وعناضها وتسم (‪ .)Warm‬واشعارات عن تكرار او تغب عناض البيانات وتسم (‪ .)Hot‬او‬ ‫‪Dynamic Data‬‬
‫من خالل طلبات تنفيذ األوامر‬ ‫‪Exchange‬‬
‫قد يقوم المهاجمون من التواصل واستخدام واجهة برمجة التطبيقات (‪ )native APIs‬لتنفيذ تعليمات برمجية ضارة‪ .‬حيث تسمح ‪ API‬من‬
‫والبمجيات‬ ‫ر‬ ‫ن‬
‫والت قد تصل اىل مستوى التعديل عل مستوى النواة واألجهزة ر‬ ‫االتصال والتحكم يف بعض الخصائص باألنظمة والخدمات ي‬ ‫‪Native API‬‬ ‫‪T1106‬‬
‫والتطبيقات والذاكرة العشوائية‪ .‬ويتم استغالل (‪ )native APIs‬عادة عند بدء اإلقالع او عند تنفيذ االعمال المجدولة والروتينية‪.‬‬
‫والتخف داخل الشبكة)‪ .‬حيث توجد عمليات‬ ‫ن‬ ‫(االوىل او اإلضار‬ ‫ر‬
‫االخباق‬ ‫ن‬
‫المهاجمي من استخدام جدولة المهام لتسهيل عمليات‬ ‫قد يقوم‬
‫ي‬ ‫ي‬ ‫ن‬ ‫جدولة المهام واالعمال‬
‫البمجية او النصية بتاري خ ووقت محددين‪.‬‬ ‫ر‬
‫جدولة االعمال والمهام يف أكب أنظمة التشغيل ألغراض تسهيل االعمال بتنفيذ بعض التعليمات ر‬
‫‪Scheduled /‬‬ ‫‪T1053‬‬
‫بشط استيفاء عمليات التحقق عل سبيل المثال (‪ RPC‬و الوصول للملفات او الطابعات ن يف‬ ‫ويمكن كذلك جدولة االعمال لألنظمة عن بعد ر‬
‫بيئة الويندوز)‪ .‬عادة ما تتطلب جدولة االعمال نف بعض األنظمة ر‬ ‫‪Task/Job‬‬
‫الت تعمل عن بعد امتيازات او صالحيات إدارية عل النظام المستهدف‪.‬‬ ‫ي‬ ‫ي‬
‫‪21‬‬
‫قد يستخدم المهاجمون جدولة المهام واالعمال لتنفيذ إجراءات ضارة عل النظام بهدف الوصول األوىل او تنفيذ تعليمات برمجية ضارة‪ .‬يتيح‬ ‫بيئة لينكس ‪At /‬‬
‫‪.001 T1053‬‬
‫امر (‪ )at‬لمدراء النظام من جدولة المهام‪.‬‬ ‫‪)(Linux‬‬
‫قد يستخدم المهاجمون جدولة المهام واالعمال لتنفيذ إجراءات ضارة عل النظام بهدف الوصول األوىل او تنفيذ تعليمات برمجية ضارة‪ .‬يتيح‬ ‫بيئة ويندوز ‪At /‬‬
‫‪.002 T1053‬‬
‫بشط إضافة المستخدم كعضو ن يف مجموعة ‪. Administrates‬‬ ‫امر (‪ )at.exe‬ر‬ ‫‪)(Windows‬‬
‫قد يستخدم المهاجمون األداة المساعدة لجدولة المهام واالعمال (‪ )Corn‬لتنفيذ إجراءات ضارة عل النظام بهدف الوصول األوىل او تنفيذ‬
‫تعليمات برمجية ضارة‪ .‬أداة ‪ Corn‬عبارة عن برنامج جدولة وظائف واعمال بناء عل األوقات المطلوبة من قبل المستخدم او المهاجم‪.‬‬
‫ر‬ ‫‪Cron‬‬ ‫‪.003 T1053‬‬
‫الت تم جدولتها والمراد تشغيلها واالوقات المحددة لتنفيذ‪ .‬يتم عادة حفظ ملف ( ‪)Corntab‬‬ ‫نيحتوي ملف (‪ )Corntab‬عل بيانات االعمال ي‬
‫يف مسارات النظام المعتادة‪.‬‬
‫االوىل او اإلضار والبقاء داخل الشبكة‪.‬‬
‫ي‬ ‫الوصول‬ ‫بهدف‬ ‫لألعمال‬ ‫جدولة‬ ‫اء‬
‫ر‬ ‫اج‬ ‫بهدف‬ ‫ضار‬ ‫بشكل‬ ‫)‬ ‫‪Launchd‬‬ ‫(‬ ‫نامج‬‫قد يستخدم المهاجمون بر‬
‫الت تعمل عل أنظمة التشغيل وبشكل‬ ‫ر‬ ‫ر‬
‫تأن مع أنظمة ‪ macOS‬وهو مسؤول عن تحميل وصيانة الخدمات ي‬ ‫ه برمجية ي‬ ‫برمجية (‪ )Launchd‬ي‬
‫البنامج ( ‪ )Launchd‬من تحميل التعليمات لكل برنامج عند طلبة من قائمة مخصصة تسم (‪ .)plist‬وتستطيع‬ ‫خف‪ .‬حيث يتم االستفادة من ر‬ ‫ن‬ ‫تشغيل ‪Launchd/‬‬ ‫‪.004 T1053‬‬
‫ن‬ ‫ي‬
‫التاىل (‪ )System/Library/LaunchDaemons/‬و (‪ )Library/LaunchDaemons/‬حيث تحتوي هذه القائمة عل‬ ‫إيجادها يف المسار ي‬
‫الت سيتم تشغيلها عل النظام‬ ‫ر‬
‫الملفات التنفيذية ي‬
‫االوىل او اإلضار‬
‫ي‬ ‫قد يستخدم المهاجمون أداة (‪ )Scheduler Windows Task‬بشكل ضار بهدف اجراء جدولة لألعمال بهدف الوصول‬
‫ر‬
‫والبقاء داخل الشبكة‪ .‬هناك عدة طرق للوصول رلبنامج جدولة المهام (‪ )Scheduler Windows Task‬ويمكن تشغيل بشكل مباش من‬
‫كبنامج له واجهة رسومية ر‬ ‫خالل سطر األوامر‪ .‬او يمكن فتحة بشكل ر‬ ‫جدولة االعمال ‪/‬‬
‫بشط ان يكون لديك صالحيات مدير لنظام‪ .‬وقد‬ ‫مباش من لوحة التحكم ر‬ ‫‪.005 T1053‬‬
‫ن‬ ‫‪Scheduled Task‬‬
‫للبنامج من خالل استدعاه باستخدام (‪ Windows netapi32‬او تضمينه من خالل ‪ )NET.‬ألنشاء‬ ‫المهاجمي طرق أخرى للوصول ر‬ ‫يستخدم‬
‫جدولة لألعمال والمهام‪.‬‬
‫االوىل او اإلضار والبقاء داخل الشبكة‪ .‬أداة‬
‫ي‬ ‫الوصول‬ ‫بهدف‬ ‫لألعمال‬ ‫جدولة‬ ‫اء‬
‫ر‬ ‫اج‬ ‫بهدف‬ ‫ضار‬ ‫بشكل‬ ‫)‬ ‫‪systemd‬‬ ‫(‬ ‫أداة‬ ‫قد يستخدم المهاجمون‬
‫ه ملفات تستطيع التحكم بشكل مؤقت ببعض الخدمات ويمكن من خاللها القيام بجدولة االعمال من خالل وضع ( حدث)‬ ‫(‪ )systemd‬ي‬ ‫‪Systemd Timers‬‬ ‫‪.006 T1053‬‬
‫عل (التقويم) وهو مشابه ألداة (‪ )Corn‬ن يف بيئة لينكس‪.‬‬
‫ر‬ ‫وظائف تنظيم‬
‫الت توفرها أدوات التنسيق والدعم للمستودعات مثل (‪)Kubernetes‬‬‫قد يقوم المهاجمون باستخدام وظائف جدولة االعمال والمهام ي‬ ‫المستودعات ‪/‬‬
‫نش مستودعات ُمهيئة لتنفيذ تعليمات برمجية ضارة‪ .‬وتقوم هذه المهام بتشغيل المستودعات بوقت وتاري خ محددين مماثلة لما‬
‫لجدولة او ر‬ ‫‪.007 T1053‬‬
‫ً‬ ‫‪Container‬‬
‫ن يف (‪ )Corn‬يمكن ايضا أتمتة عمليات الجدولة وخالفة للمحافظة واستمرارية صالحية الوصول‪.‬‬
‫‪Orchestration Job‬‬
‫قد يقوم المهاجمون باستخدام (‪ )modules shared‬لتنفيذ تعليمات برمجية ضارة‪ .‬حيث يمكن ل (‪ )Windows module loader‬من‬
‫تحميل ملفات ‪ DLL‬من مسارات عشوائية عل النظام او من خالل ‪ .)UNC( Naming Convention‬وحيث ان هذه الوظيفة من وظائف‬
‫ر‬ ‫ر‬ ‫‪Shared Modules‬‬ ‫‪T1129‬‬
‫والت يمكن استدعاؤها من وظائف مثل انشاء عمليات او تحميل العمليات‪ ..‬وما اىل‬
‫ه جزء من ‪ API Windows Native‬ي‬
‫الت ي‬
‫‪ NTDLL.dll‬ي‬
‫ذلك اىل ‪.Win32 API‬‬
‫نش وتثبيت‬‫ادوات ر‬
‫البامج الخاصة بالطرف الثالث المثبتة عل الجهة المستهدفة‪ .‬مثل أنظمة اإلدارة‬
‫قد يقوم المهاجمون بالوصول والتحكم اىل مجموعة من ر‬ ‫البمجيات ‪/‬‬
‫ر‬
‫‪.‬‬
‫والمراقبة وتثبيت األنظمة وذلك ألهداف ضارة ومن أشهرها التنقل داخل الشبكة وقد تكون مثل هذه األدوات مستخدمه ألغراض إدارة‬ ‫‪T1072‬‬
‫‪Software‬‬
‫الشبكة وليست ضارة مثل (‪).e.g., SCCM, HBSS, Altiris, etc‬‬
‫‪Deployment Tools‬‬
‫‪22‬‬
‫قد يقوم المهاجمون باستغالل الخدمات الخاصة بالنظام لتنفيذ تعليمات برمجية ضارة‪ .‬حيث يستطيع المهاجم من تنفيذ تعليمات برمجية‬
‫ر‬ ‫خدمات النظام ‪/‬‬
‫ضارة من خالل التفاعل مع الخدمات الخاصة بالنظام‪ .‬حيث يوجد العديد من الخدمات يتم تنفيذها مع عمليات بدا التشغيل‪ .‬ي‬
‫والت من‬
‫‪System Services‬‬
‫‪T1569‬‬
‫اكب قدر ممكن من الوقت‪.‬‬ ‫لتمكي المهاجم من البقاء داخل الشبكة ر‬ ‫ن‬ ‫الممكن استغاللها‬
‫قد يقوم المهاجمون باستغالل (‪ )launchctl‬الخاصة بنظام ‪ macOS‬لتنفيذ تعليمات برمجية ضارة‪ .‬حيث يتحكم ‪ Launchctl‬ويتعامل مع‬
‫خدمات وأدوات أخرى مثل ‪ Launch Agents‬و ‪ .Launch Daemons‬ولكن يمكنك تنفيذ تعليمات برمجية أخرى كذلك‪ .‬ويدعم كذلك‬ ‫‪Launchctl‬‬ ‫‪.001 T1569‬‬
‫تفاعل او إعادة إخراجها بطرق أخرى حسب المدخالت‪.‬‬ ‫تلف األوامر بشكل‬ ‫ر‬
‫ن‬
‫ي‬ ‫‪ Launchctl‬ي‬
‫قد يقوم المهاجمون بالتحكم بإدارة التحكم يف خدمات الويندوز (‪ )Windows service control manager‬لتنفيذ تعليمات برمجية ضارة‪.‬‬
‫تشغيل الخدمات ‪/‬‬
‫للمستخدمي من الوصول اىل مدير التحكم ن يف الخدمة من خالل‬
‫ن‬ ‫ه واجهة تفاعلية إلدارة الخدمات ومعالجتها‪ .‬ويمكن‬ ‫ان (‪ )services.exe‬ي‬ ‫‪.002 T1569‬‬
‫‪Service Execution‬‬
‫واجهة المستخدم الرسومية وكذلك بعض أدوات النظام مثل ‪.ec.exe,.NET‬‬
‫البمجية الضارة‪ .‬قد يقع‬ ‫ن‬
‫بالمستخدمي وذلك لتفعيل األوامر والتعليمات ر‬ ‫قد يقوم المهاجمون باالعتماد عل بعض ردود األفعال الخاصة‬ ‫التفعيل بواسطة‬
‫ن‬
‫المستخدم ضحية للهندسة االجتماعية وذلك بهدف ان يقوم بتفعيل وتنفيذ تعليمات برمجية قد تض بالنظام الخاص به‪ .‬عل سبيل المثال‬ ‫المستخدم ‪User /‬‬ ‫‪T1204‬‬
‫تأن من عمليات تصيد‪.‬‬ ‫ر‬ ‫ر‬
‫والت قد ي‬ ‫(فتح ملف او رابط او مستند ضار) ي‬ ‫‪Execution‬‬
‫المستخدمي بالنقر عل الرابط الضار من اجل تنفيذ او تحميل تعليمات برمجية ضارة وتنفيذها‪ .‬وعادة تأنر‬ ‫ن‬ ‫قد يعتمد المهاجمون عل قيام‬
‫ي‬
‫المستخدمي عل الضغط عل الروابط‪ .‬ويسم بالتصيد من خالل الروابط‬‫ن‬ ‫مثل هذه األساليب من خالل استخدام الهندسة االجتماعية ألغراء‬ ‫رابط ضار ‪/‬‬
‫‪.001 T1204‬‬
‫(‪ .)Link Spearphishing‬وقد يؤدي الضغط عل الروابط ن يف بعض األحيان اىل استغالل ثغرات امنية ن يف تطبيق او متصفح‪ ،‬وقد يقوم‬ ‫‪Malicious Link‬‬
‫لتبيل ملفات ضارة ومن ثم تفعيلها وتنفيذها‪.‬‬ ‫المستخدمي ن ن‬
‫ن‬ ‫المهاجم بتوجيه‬
‫تأن مثل هذه األساليب من‬ ‫ر‬ ‫‪.‬‬ ‫ن‬
‫قد يعتمد المهاجمون عل قيام المستخدمي بفتح ملفات ضارة من اجل تنفيذ تعليمات برمجية ضارة وعادة ي‬
‫والت ن يف العادة تودي اىل تفعيل اكواد ضارة‪ .‬ويسم بالتصيد من‬ ‫ر‬ ‫ن‬
‫خالل استخدام الهندسة االجتماعية ألغراء المستخدمي عل فتح الملفات ي‬ ‫ملف ضار ‪/‬‬
‫‪.002 T1204‬‬
‫خالل الروابط (‪ .)Spearphishing‬وقد يستخدم المهاجمون أنواع وصيغ متعددة من الملفات مثل ‪pdf, .xls, .rtf, .scr, .exe, . ,doc.‬‬ ‫‪Malicious File‬‬
‫‪..cpl ،.lnk, .pif,‬‬
‫فف تفعيل وتنفيذ بعض النسخ الضارة او ان تكون بعض هذه المستودعات مدمج بها برمجيات‬ ‫المستخدمي ن‬
‫ن‬ ‫عل‬ ‫المهاجمون‬ ‫قد يعتمد‬
‫ي‬
‫ر‬
‫الت من الممكن استغاللها ‪AWS) Amazon Machine Images (AMIs), ( Amazon Web Services‬‬ ‫ضارة‪ .‬ومن امثلة النسخ الصورية ي‬ ‫نسخ صورية ضارة ‪/‬‬
‫‪ .)Google Cloud Platform (GCP‬حيث يقوم المهاجم بعد عملية حقن احد المستودعات بخداع المستخدم وتثبيت هذه المستودعات‬ ‫‪.003 T1204‬‬
‫ن‬ ‫‪Malicious File‬‬
‫للمستخدمي بعدم تحميل النسخ‬ ‫الواع الالزم‬
‫ي‬ ‫تخط وسائل الحماية‪ .‬لذلك البد من‬ ‫وبالتاىل يستطيع المهاجم من‬ ‫ي‬ ‫داخل البيئة الخاصة به‬
‫تأن رببمجيات تعدين‪.‬‬ ‫الصورية الغب معروفة‪ .‬ومن امثلة النسخ المشبوهة نسخ ي ر‬
‫ي‬
‫ادارة االجهزة الخاصة‬
‫ه احدى‬ ‫قد يقوم المهاجمون باستخدام ‪ )Management Instrumentation (WMI Windows‬للتنفيذ تعليمات ضارة‪ .‬و ‪ WMI‬ي‬ ‫بالويندوز ‪Windows /‬‬
‫ر‬
‫الت تستطيع من خاللها اإلدارة والوصول لألجهزة المحلية والبعيدة‪ .‬تعتمد خدمة ‪ WMI‬للوصول لألنظمة المتصلة‬ ‫ن‬
‫ممبات ًإدارة انظم ويندوز ي‬ ‫‪Management‬‬
‫‪T1047‬‬
‫بها محليا وعن بعد بروتوكول ‪ SMB‬وخدمة ‪ PRCS‬للوصول عن بعد‪ .‬حيث تعمل ‪ PRCS‬عل منفذ ‪.135‬‬
‫‪Instrumentation‬‬
‫‪23‬‬
‫ر‬
‫المخبق‪Persistence /‬‬ ‫البقاء قدر المستطاع داخل النظام‬
‫المهاجمي بهدف البقاء داخل النظام ر‬
‫حت ولو تم إعادة تشغيل األنظمة او‬ ‫ن‬ ‫ه تقنية او أسلوب يستخدمه‬ ‫ر‬
‫المخبقة‬ ‫البقاء داخل الشبكة‬
‫ي‬
‫المخبق‪ .‬وقد تتغب األساليب‬‫ر‬ ‫الت قد تحدث وتفقد المهاجم صالحيات الوصول للنظام‬ ‫تغب بيانات االعتماد او أي من االنقطاعات ر‬
‫ني‬
‫أكب قدر ممكن قد تكون عل شكل صالحيات وصول او‬ ‫المستخدمة باستمرار‪ .‬ان األساليب المستخدمة ف عملية البقاء داخل الشبكة ر‬
‫ي‬
‫ر‬
‫والت تمكن وتسمح للمهاجم من االستمرار بصالحياته عل النظام المخبق‪ .‬مثل استبدال بعض‬ ‫ر‬
‫بعض اإلجراءات او تغب بعض االعدادات ي‬
‫البمجية الضارة عن بدء تشغيل النظام‪.‬‬
‫البمجية الغب ضارة بتعليمات برمجية ضارة او إضافة بعض التعليمات ر‬ ‫التعليمات ر‬
‫‪24‬‬
‫الفرع‬
‫قد يقوم المهاجم بالتالعب بالحسابات للحفاظ عل صالحيات الوصول لألنظمة المستهدفة‪ .‬قد يكون التالعب بالحسابات أي اجراء‬
‫المخبقة ن يف النظام المستهدف‪ .‬مثل تعديل بيانات كلمات المرور واذونات‬
‫ر‬ ‫يقوم به المهاجم من شانه الحفاظ عل الحسابات‬
‫المستخدمي‪ .‬او التالعب بالسياسات الموضوعة ن‬
‫ن‬ ‫التالعب بالحسابات ‪/‬‬
‫لك‬
‫ي‬ ‫متكرر‬ ‫بشكل‬ ‫المرور‬ ‫كلمات‬ ‫بتغب‬ ‫المهاجم‬ ‫يقوم‬ ‫وقد‬ ‫الحسابات‬ ‫عل‬ ‫الحفاظ‬ ‫ف‬‫ي‬ ‫‪T1098‬‬
‫ر‬ ‫‪Account Manipulation‬‬
‫يقوم بتفادي (سياسة تغب كلمات المرور كل فبة من الزمن)‪ .‬ي‬
‫ولك تتم عملية تغب او التالعب بالحسابات يجب ان تتوفر لدى المهاجم‬
‫لك يقوم بمثل هذه العمليات‪.‬‬ ‫الصالحيات المناسبة واألذونات ي‬
‫بيانات االعتماد السحابية ‪/‬‬
‫قد يقوم المهاجم بإضافة بعض الحسابات الخاصة به لتحكم بالخدمات السحابية وذلك بهدف البقاء داخل المنظمة المستهدفة‪.‬‬ ‫‪Cloud Additional‬‬ ‫‪.001 T1098‬‬
‫قد يقوم المهاجم بالحصول عل مستوى محدد من الصالحيات اإلضافية مثل الحصول عل صالحيات (قراءة‪ ،‬صالحيات كامله) عل‬
‫ر‬ ‫ر ن‬ ‫تفويض الصالحيات عل‬
‫المخبق‪ .‬وقد يقوم المهاجم‬ ‫البيد‬
‫ون وقد يقوم المهاجم بإضافة بعض الحسابات الخاصة به للبقاء داخل ر‬
‫البيد االلكب ي‬
‫مستوى ر‬
‫ن‬ ‫البيد ‪/‬‬
‫مستوى ر‬
‫البيد‬
‫وه متوفرة يف خوادم ر‬
‫ي‬ ‫)‬‫‪Add-MailboxPermission‬‬ ‫‪PowerShell‬‬ ‫‪cmdle‬‬ ‫(‬ ‫مثل‬ ‫والصالحيات‬ ‫اإلضافات‬ ‫بعض‬ ‫باستخدام‬ ‫‪.002 T1098‬‬
‫االلكبونن‬
‫ر‬ ‫ن‬ ‫ً‬ ‫ر ن‬ ‫‪Exchange Email‬‬
‫ي‬ ‫للبيد‬ ‫‪.‬‬
‫ون المستضافه داخليا او يقوم باستخدام صالحيات واذونات التحكم يف حال استخدام الخدمات السحابية ر‬ ‫االلكب ي‬ ‫‪Delegate Permissions‬‬
‫مثل ‪.Office 365‬‬
‫اضافة صالحيات مدير‬
‫المهاجمي باستغالل إضافة صالحيات (‪ )Global Administrator‬وذلك بهدف البقاء داخل خدمات ‪ Office 365‬أطول‬ ‫ن‬ ‫قد يقوم‬ ‫النظام لخدمات ‪ 356‬اوفيس‬
‫ر‬
‫فبة ممكنة‪ .‬باستخدام األذونات الكافية‪ ،‬يمكن للحساب المخبق الحصول عل صالحيات الوصول اىل االعدادات والبيانات بشكل‬ ‫ر‬ ‫‪Add Office 365 /‬‬ ‫‪.003 T1098‬‬
‫ن‬
‫للمسؤولي االخرين‪ .‬باستخدام دور المسؤول العام‪.‬‬ ‫ن‬
‫غب محدود‪ .‬بما يف ذلك إمكانية تغب كلمات المرور‬ ‫‪Global Administrator‬‬
‫‪Role‬‬
‫فبة ممكنة‪ .‬حيث‬‫المهاجمي بتعديل(‪ )authorized_keys SSH‬للحفاظ عل صالحيات الوصول للبيئة المستهدفة أطول ر‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫ن‬
‫ان أنظمة لينكس وماك اوس يستخدمونها بشكل كبب (‪ )key-based authentication‬وذلك لتأمي عمليات جلسات ‪ SSH‬عن بعد‬
‫ر‬ ‫ن‬
‫الت يمكن استخدامها لعملية تسجيل الدخول اىل حساب المستخدم‬
‫ن‬ ‫وادارتها‪ .‬يقوم ملف ‪ Author_keys‬يف ‪ SSH‬بتحديد المفاتيح ن ي‬ ‫مفاتيح التصاري ح لخدمات‬
‫ن‬
‫للمستخدمي يف (<‪user-‬‬ ‫ئيس‬
‫الذي تم تكوين هذه الملف من اجله‪ ،‬ويوجد هذه الملف عادة يف الدليل الر ي‬ ‫‪SSH/ SSH Authorized‬‬ ‫‪.004 T1098‬‬
‫ن‬
‫للمستخدمي من اجراء تعديالت عل ملف تكوين ‪ SSH‬للنظام من‬ ‫‪ .)ssh/authorized_keys./>home‬ويمكن‬ ‫‪Keys‬‬
‫ن‬
‫‪ PubkeyAuthentication‬و ‪ RSAAuthentication‬اىل (‪ )Yes‬لضمان تمكي مصادقة المفتاح العام و ‪ .RSA‬ويوجد ملف التكوين‬
‫الخاص ب (‪ )SSH‬ن يف (‪)etc/ssh/sshd_config/‬‬
‫ر‬
‫الت يخلفها المهاجم‪ .‬ان‬ ‫ن‬
‫قد يقوم المهاجمي باستخدام وظائف (‪ )BITS‬لتنفيذ تعليمات برمجية ضارة او استخدامها لمسح االثار ي‬
‫ر‬
‫خدمة ( ‪ )Windows Background Intelligent Transfer Service (BITS‬ه عبارة عن آلية لنقل الملفات بشكل غب ن‬
‫مبامنة‬ ‫ي‬
‫وذات نطاق ترددي منخفض ويتم استعراضها من خالل (‪ .)COM‬ويتم استخدام (‪ ) BITS‬بشكل شائع من قبل المر ن‬
‫اسلي‬ ‫وظائف ‪BITS Jobs‬‬ ‫‪T1197‬‬
‫(‪ )messengers‬او أي تطبيق يفضل العمل ن يف الخلفية ويستخدم (‪ )idle bandwidth‬من غب مقاطع أي بروتوكول أخرى يعمل‬
‫اكب من ملف‪.‬‬‫والت تحتوي عل قائمة انتظار لملف واحد او ر‬
‫ر‬
‫بالشبكة‪ .‬ويتم تنفيذ مهام نقل الملفات من خالل وظائف (‪ ،)BITS‬ي‬
‫‪25‬‬
‫تلقان من‬ ‫ي‬ ‫قد يقوم المهاجم باستخدام اعدادات النظام تنفيذ تعليمات برمجية ضارة من خالل اعدادات لجعل التنفيذ يتم بشكل‬
‫فبة ممكنة‪ .‬قد يحتوي نظام التشغيل‬ ‫خالل عملية اإلقالع او تسجيل الدخول وذلك بهدف االستمرار والبقاء داخل الشبكة أطول ر‬ ‫التلقان ‪/‬‬ ‫تسجيل الدخول‬
‫ً‬ ‫ً‬ ‫ي‬
‫الت يتم‬ ‫ر‬ ‫البامج تلقائيا عند اإلقالع او تسجيل الدخول اىل الحساب‪ .‬وقد تتضمن هذه االليات تنفيذ ر‬
‫البامج تلقائيا ي‬ ‫عل آليات لتشغيل ر‬ ‫‪Boot or Logon‬‬ ‫‪T1547‬‬
‫وضعها ن يف قائمة مخصصة عل سبيل أمثال وضع بعض (‪ )Registry Windows‬وقد يقوم المهاجم بتحقيق نفس هذه العملية‬ ‫‪Autostart Execution‬‬
‫واالهداف عند التعديل عل نوات النظام‪.‬‬
‫البمجيات او المفاتيح(‪ )run keys‬الضارة الخاصة به‪ .‬وستودي‬ ‫قد يقوم المهاجم باستخدام مجلد بدء التشغيل (‪ )Startup‬إلضافة ر‬ ‫مفاتيح التسجيل والتشغيل‬
‫البنامج يعمل عند قيام المستخدم بعملية تسجيل الدخول‪ .‬سيتم تنفيذ‬ ‫ن‬ ‫التلقان‪Run Registry /‬‬
‫ادخال (‪ )run keys‬يف (‪ )Registry‬او (‪ )Startup‬اىل جعل ر‬ ‫ي‬ ‫‪.001 T1547‬‬
‫والت قد تحتاج اىل أذونات خاصة مرتبطة بالحساب المستخدم‪.‬‬ ‫ر‬ ‫ن‬
‫البامج يف حساب المستخدم الذي تم تفعيلها به ي‬ ‫هذه ر‬ ‫‪Keys / Startup Folder‬‬
‫المهاجمي باستخدام تصاري ح الحزم لتنفيذ وتشغيل (‪ )DLLs‬عند اقالع النظام‪ .‬حيث يتم تحميل ملفات ‪ DLL‬لحزم‬ ‫ن‬ ‫قد يقوم‬ ‫تصاري ح الحزم ‪/‬‬
‫المصادقة لنظام ويندوز بواسطة (‪ ))Local Security Authority (LSA‬عند بدء عملية التشغيل للنظام‪ .‬حيث توفر عمليات الدعم‬ ‫‪Authentication‬‬ ‫‪.002 T1547‬‬
‫لتسجيل الدخول المتعددة وكذلك إضافة بروتوكوالت األمان لنظام التشغيل‪.‬‬ ‫‪Package‬‬
‫‪.‬‬
‫المهاجمي من استغالل ( ‪ )providers time‬لتنفيذ او تشغيل (‪ )DLLs‬عند اقالع النظام ان (‪ )W32Time‬يتيح مزامنة‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫عب النطاقات‪ .‬ويقوم (‪ )W32Time‬بمسؤولية اسبداد الوقت ( ‪ )time stamps‬من العتاد والشبكة وإخراج القيام اىل‬ ‫الوقت ر‬ ‫‪Time Providers‬‬ ‫‪.003 T1547‬‬
‫المستخدمي ن يف الشبكة‪.‬‬ ‫ن‬
‫قد يقوم المهاجمي باستخدام (‪ )Winlogon‬للتنفيذ تعليمات ضارة من خالل تشغيل (‪ )DLLs‬او برامج تنفيذية عند تسجيل‬ ‫ن‬
‫وه مسؤولة عن اإلجراءات عند تسجيل الدخول او الخروج باإلضافة اىل‬ ‫ه احد مكونات نظام ويندوز ي‬ ‫الدخول‪ .‬ان (‪ )Winlogon‬ي‬
‫والت تكون عند الضغط عل (‪ )Ctrl-Alt-Delete‬ويتم تسجيل المدخالت ن يف‬ ‫ر‬
‫خدمة (‪ )SAS‬ي‬ ‫‪Winlogon Helper DLL‬‬ ‫‪.004 T1547‬‬
‫(‪ )\HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon‬و‬
‫ر‬
‫البامج والوظائف‬ ‫(‪ )\HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon‬ي‬
‫والت تستخدم إلدارة ر‬
‫الت تدعم عملية(‪)Winlogon‬‬ ‫ر‬
‫المساعدة اإلضافية ي‬
‫المهاجمي باستخدام (‪ ))support providers (SSPs security‬للتنفيذ تعليمات ضارة من خالل تشغيل (‪ )DLLs‬او برامج‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫تنفيذية عند اقالع النظام‪ .‬يتم تحميل (‪ ))security support providers (SSPs‬يف (‪))Local Security Authority (LSA‬‬ ‫‪Security Support‬‬
‫ر‬ ‫‪.005 T1547‬‬
‫كعملية عند نبدء النظام‪ .‬بعد عملية التحميل ل ‪ LSA,SSP‬ك ‪ DLLs‬يقوم بتشفب األرقام الشية من صيغة نصية اىل صيغة مشفرة ي‬
‫والت‬ ‫‪Provider‬‬
‫تكون مخزنة يف نظام ويندوز‪ ،‬مثل أي كلمة مرور يتم استخدامها عند عمليات تسجيل الدول او استخدام ‪ PIN‬كذلك‪.‬‬
‫المهاجمي بتعديل النواة وذلك لتنفيذ تعليمات تلقائية ضارة بالنظام عند اإلقالع‪ .‬ان وحدات التحميل (‪ )LKMs‬داخل النواه‬ ‫ن‬ ‫قد يقوم‬
‫وه تعمل عل زيادة قدرات النواه دون الحاجة اىل‬ ‫‪.‬‬ ‫الطلب‬ ‫عند‬ ‫النواه‬ ‫ف‬ ‫ن‬ ‫محيها‬ ‫او‬ ‫عليها‬ ‫الكتابة‬ ‫يمكن‬ ‫برمجية‬ ‫تعليمات‬ ‫من‬ ‫اء‬
‫ه أجز‬ ‫‪Kernel Modules and‬‬
‫ي‬ ‫ي‬ ‫ي‬ ‫‪.006 T1547‬‬
‫والت تسمح للنواة بالوصول اىل العتاد والتعاريف المتصلة‬ ‫إعادة تشغيل النظام‪ .‬عل سبيل المثال(التعاريف الخاصة باألجهزة) ر‬ ‫‪Extensions‬‬
‫ي‬
‫بالنظام‪.‬‬
‫تلقان عندما يقوم المستخدم بتسجيل الدخول او‬ ‫قد يقوم المهاجمي بتعديل ملفات (‪ )plist‬للقيام بتشغيل برمجيات ضارة بشكل‬ ‫ن‬
‫ي‬
‫تلقان‬
‫ي‬ ‫بشكل‬ ‫فتحها‬ ‫لإلعادة‬ ‫تطبيقات‬ ‫او‬ ‫امج‬ ‫ر‬ ‫ب‬ ‫تحديد‬ ‫بدء تشغيل النظام ن يف (‪ .))Mac OS X 10.7 (Lion‬يستطيع المستخدمون‬
‫البامج كل برنامج عل‬ ‫عب فتح ر‬‫عندما يقوم المستخدم بتسجيل الدخول لألجهزة الخاصة بهم بعد إعادة التشغيل‪ .‬بدل ان يتم ذلك ر‬ ‫‪Re-opened‬‬
‫‪.007 T1547‬‬
‫الت تعمل عند بدء التشغيل (‪ .)plist‬وتستطيع ايجادها ن يف‬ ‫ر‬
‫حدة‪ .‬وهناك قائمة للمفالت ي‬ ‫‪Applications‬‬
‫(~‪ )Library/Preferences/com.apple.loginwindow.plist/‬و‬
‫(~‪).Library/Preferences/ByHost/com.apple.loginwindow.* .plist/‬‬
‫‪26‬‬
‫المخبق‪ .‬ان‬‫ر‬ ‫فبة ممكنة ن يف النظام‬ ‫المهاجمي بإضافة او تعديل (‪ )drivers LSASS‬وذلك لضمان البقاء داخل الشبكة أطول ر‬ ‫ن‬ ‫قد يقوم‬
‫الفرع يف الويندوز (‪ )Windows security subsystem‬هو عبادة عن مجموع من المكونات تدير وتنفيذ سياسات األمان‬ ‫ن‬ ‫النظام‬
‫ي‬
‫ئيس والمسؤول عن سياسة األمان المحلية و التحقق من صالحيات المستخدم‪ .‬ان‬ ‫ي‬ ‫ر‬ ‫ال‬ ‫المكون‬ ‫هو‬ ‫)‬ ‫‪LSA‬‬ ‫(‬ ‫ان‬ ‫‪.‬‬ ‫النطاق‬ ‫او‬ ‫النظام‬ ‫عل‬ ‫‪LSASS Driver‬‬ ‫‪.008 T1547‬‬
‫والت تعمل جميعها ن يف عملية‬ ‫ي‬
‫(‪ )LSA‬تحتوى عل العديد من المكتبات الديناميكية ( ‪ )DLL‬وه كالعادة مرتبطة بوظائف امان أخرى‪ .‬ر‬
‫ي‬
‫‪ LAS‬او (‪)lsass.exe‬‬
‫قد يقوم المهاجم بإضافة او تعديل االختصارات لتشغيل او تنفيذ تعليمات برمجية ضارة عند اإلقالع او عند عملية تسجيل الدخول‬
‫ر‬
‫الت سيتم فتحها أو تنفيذها عند النقر فوق االختصار‬ ‫البامج األخرى ي‬ ‫ه طرق لإلشارة إىل الملفات أو ر‬ ‫للنظام‪ .‬ان االختصارات أو الرموز ي‬ ‫‪Shortcut Modification‬‬ ‫‪.009 T1547‬‬
‫أو تنفيذه عند بدء تشغيل النظام‪.‬‬
‫الت تعمل عند اقالع النظام وذلك‬ ‫المهاجمي باستغالل (‪ )port monitors‬لتشغيل ملفات ضارة من خالل ملفات (‪ )DLL‬و ر‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫فبة ممكنه‪ .‬ان (‪ )port monitors‬تستطيع استخدامه من خالل االتصال ب (‪ )AddMonitor API‬والتر‬ ‫للبقاء داخل الشبكة أطول ر‬
‫ي‬
‫تسمح بتحميل ملفات ‪ DLL‬عند بدء التشغيل‪ .‬تستطيع اجادة ملفات ‪ DLL‬ن يف " ‪ "C:\Windows\System32‬وسيتم تحميله‬ ‫مراقبة الشاشات ‪Port /‬‬
‫‪.010 T1547‬‬
‫ه عمليات تعمل كذلك تحت‬
‫ن‬ ‫بواسطة خدمة التخزين الموقت للطباعة(‪ )spoolsv.exe‬عند اقالع النظام‪ .‬ان (‪ )spoolsv.exe‬ي‬ ‫‪Monitors‬‬
‫والت يقصد بها صالحيات النظام‪ .‬ويمكن تحميل ملفات ‪ DLL‬اذا كانت هناك االذونات المناسبة للكتابة يف المسار‬ ‫ر‬
‫(‪ SYSTEM‬ن) ي‬
‫المخصص يف (‪).HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors‬‬
‫‪.‬‬
‫البامج اثناء اقالع النظام او عند عمليات تسجيل الدخول وتحتوي قائمة (‪ )plist‬عل‬ ‫المهاجمي باستخدام (‪ )plist‬لتشغيل ر‬ ‫ن‬ ‫قد يقوم‬
‫)وه تحتوي عل اإلعدادات الخاصة بالتطبيقات والخدمات‪ .‬الملف تمت كتابته‬ ‫‪OS‬‬ ‫‪X‬‬ ‫و‬ ‫‪macOS‬‬ ‫(‬ ‫نظام‬ ‫ف‬ ‫ن‬ ‫استخدامها‬ ‫يتم‬ ‫ملفات‬
‫وتستطيع استعراضه من خالل قارئ يملفات ‪ .XML‬ر‬ ‫ي‬
‫مت يجب‬ ‫بي (<>)‪ .‬وه توضح التفاصيل ر‬ ‫وتأن اإلعدادات ما ن‬ ‫)‬ ‫‪UTF-8‬‬ ‫(‬ ‫ب رب ن‬
‫مب‬
‫ً‬ ‫ن ي‬ ‫‪Plist Modification‬‬ ‫‪.011 T1547‬‬
‫البامج‪ .‬ومسار الملفات التنفيذية‪ .‬واالذونات المطلوبة لتشغيلها‪ ..‬وغبها الكثب‪ .‬تتواجد (‪ )plists‬يف مواقع معينة اعتمادا عل العرض‬ ‫ر‬
‫والت يتم استخدامها عند رفع الصالحيات‪ .‬و (~ ‪ )Library/Preferences/‬عند استخدام‬ ‫منها مثل (‪ )Library/Preferences/‬ر‬
‫ي‬
‫تلك الصالحيات‪.‬‬
‫قد يقوم المهاجمي باستخدام (‪ )processors print‬لتشغيل مكتبات ‪ DLL‬ضارة اثناء اقالع النظام‪ .‬وذلك ألغراض ضارة مثل البقاء‬ ‫ن‬
‫ر‬ ‫ر‬ ‫طباعة العمليات ‪Print /‬‬
‫الت يتم تحميلها بواسطة ( ‪print‬‬ ‫ه مكتبات ‪ DLL‬ي‬ ‫داخل النظام المخبقة او تصعيد الصالحيات‪ .‬ان (‪ )print processors‬ي‬ ‫‪Processors‬‬
‫‪.012 T1547‬‬
‫‪ )spooler service, spoolsv.exe‬اثناء عمليات اإلقالع‪.‬‬
‫البمجيات او األوامر اثناء اقالع النظام‪ .‬ان‬ ‫للمهاجمي من اجراء تعديالت عل (‪ )autostart entries XDG‬لتنفيذ وتشغيل ر‬ ‫ن‬ ‫يمكن‬
‫تلقان اثناء بدء‬ ‫بشكل‬ ‫بالعمل‬ ‫للتطبيقات‬ ‫ستسمح‬ ‫)‬ ‫‪XDG‬‬ ‫‪autostart‬‬ ‫‪entries‬‬ ‫(‬ ‫مع‬ ‫تعمل‬ ‫بيئة لينكس و المتوافقة مع (‪ )XDG‬ر‬
‫والت‬
‫ي‬ ‫ي‬ ‫‪XDG Autostart Entries‬‬ ‫‪.013 T1547‬‬
‫اض‪ .‬ويتم تخزين االدخاالت ن يف (‪ )XDG autostart entries‬ن يف‬ ‫ي‬
‫افب ن‬ ‫تسجيل الدخول بشكل ر‬ ‫التشغيل لبيئة سطح المكتب او عند‬
‫الت تحمل صيغة (‪.)desktop.‬‬ ‫(‪ )etc/xdg/autostart/‬او (~ ‪ )/config./‬او نف االمتدادات ر‬
‫ي‬ ‫ي‬
‫المهاجمي بإضافة مفاتيح التسجيل (‪ )Registry key‬اىل اإلعدادات النشطة (‪ )Active Setup‬بهدف البقاء داخل الشبكة‬ ‫ن‬ ‫قد يقوم‬
‫البمجيات عندما يقوم‬ ‫الت يتم استخدامها لتنفيذ وتشغيل ر‬ ‫ر‬ ‫ويندوز‬ ‫نظام‬ ‫آليات‬ ‫أحد‬ ‫هو‬ ‫)‬ ‫‪Active‬‬ ‫‪Setup‬‬ ‫(‬ ‫ان‬ ‫‪.‬‬ ‫ممكنة‬ ‫ة‬ ‫اطول ر‬
‫فب‬
‫ي‬ ‫ن‬ ‫‪Active Setup‬‬ ‫‪.014 T1547‬‬
‫المستخدم بتسجيل الدخول‪ .‬حيث يتم تنفيذ القيمة المخزنة يف (‪ )Registry key‬بعد عملية تسجيل الدخول من المستخدم اىل‬
‫الكمبيوتر‪ .‬سيتم تنفيذ هذه األوامر والقيم ن يف حساب وصالحيات المستخدم ولها مستوى وأذونات مرتبطة بالحساب المستخدم‪.‬‬
‫ن‬ ‫التلقان ‪/‬‬
‫ي‬ ‫االقالع او الدخول‬
‫تلقان عن اقالع النظام بهدف البقاء داخل‬ ‫ي‬ ‫جمي باستخدام بعض السكربتات لتنفيذ تعليمات برمجية ضارة بشكل‬ ‫قد يقوم المها‬
‫ر‬ ‫ن‬ ‫ر‬ ‫ر‬ ‫‪Boot or Logon‬‬ ‫‪T1037‬‬
‫والت قد ينطوي عليها‬ ‫ي‬ ‫‪.‬‬ ‫األنظمة‬ ‫ف‬‫ي‬ ‫ية‬ ‫ر‬ ‫اإلدا‬ ‫المهام‬ ‫بعض‬ ‫تنفيذ‬ ‫السكربت‬ ‫استخدام‬ ‫يمكن‬ ‫حيث‬ ‫‪.‬‬ ‫ممكنة‬ ‫ة‬ ‫فب‬ ‫أطول‬ ‫ق‬ ‫المخب‬ ‫النظام‬
‫‪Initialization Scripts‬‬
‫‪27‬‬
‫داخل‪ .‬يمكن ان تختلف السكربت من نظام اىل اخر وطرق تطبيقها هل‬ ‫ي‬ ‫البمجيات او ارسال المعلومات اىل خادم‬ ‫تنفيذ وتشغيل ر‬
‫ً‬
‫سيكون محليا او عن بعد‪.‬‬
‫تلقان عند بداية عملية تسجيل‬ ‫والت يتم تنفيذها بشكل‬ ‫ر‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ويندوز ي‬ ‫سكربت الدخول بيئة ويندوز‬
‫ر‬ ‫ر‬
‫الدخول‪ .‬والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة‪ .‬يسمح نظام ويندوز بتشغيل سكربتات تسجيل الدخول‬
‫ن‬ ‫‪Logon Script /‬‬ ‫‪.001 T1037‬‬
‫المستخدمي او المجموعات‪ .‬ويتم ذلك عن طريق إضافة المسار المطلوب‬ ‫عل مستوى‬
‫ن‬ ‫(‪)Windows‬‬
‫اىل(‪ )HKCU\Environment\UserInitMprLogonScript‬يف (‪.)Registry key‬‬
‫تلقان عند بداية عملية تسجيل‬ ‫ر‬
‫والت يتم تنفيذها بشكل‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ماك اوس ي‬
‫ر‬ ‫ر‬
‫الدخول‪ .‬والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة‪ .‬يسمح نظام ماك بتشغيل وتنفيذ سكربتات او ما يسم‬
‫سكربت الدخول بيئة ماك ‪/‬‬
‫(‪ )known as login hooks‬تسجيل الدخول كلما قام المستخدم بالدخول للنظام‪ .‬حيث يقوم (‪ )known as login hooks‬بتنفيذ‬ ‫‪.002 T1037‬‬
‫‪)Logon Script (Mac‬‬
‫البمجيات عند استخدام‬ ‫السكربت عند تسجيل الدخول وهو عل عكس (‪ )Startup Items‬يقوم (‪ )login hooks‬بتنفيذ ر‬
‫صالحيات مدير النظام(‪.)root‬‬
‫‪.‬‬
‫تلقان عند بداية عملية الدخول والهدف منها هو البقاء‬ ‫والت يتم تنفيذها بشكل‬ ‫ر‬ ‫ن‬
‫ن‬ ‫ي‬ ‫قد يقوم المهاجمي باستخدام سكربت الشبكة ي‬
‫ر‬ ‫ر‬ ‫ر‬
‫الت تعمل عل مستوى بدء التشغيل يف الشبكة من خالل‬ ‫داخل النظام المخبق أطول فبة ممكنة‪ .‬يمكن استخدام سكربتات ي‬ ‫سكربت الدخول لشبكات ‪/‬‬
‫لك يتم تعينها او‬ ‫(‪ Active Directory‬او ‪ .)Group Policy Objects‬تحتاج هذه السكربتات اىل صالحيات وأذونات محددة ي‬ ‫‪Network Logon Script‬‬
‫‪.003 T1037‬‬
‫استخدامها‪ .‬بحسب اختالف األنظمة قد يستطيع المهاجم تنفيذ هذه السكربتات عل نظام محدد او عدد من األنظمة داخل الشبكة‬
‫المستهدفة‪.‬‬
‫المهاجمي بتعديل سكربت (‪ )RC‬والذي يتم تنفيذه خالل اإلقالع لنظام (‪ .)Unix‬ان هذه الملف يسمح لمدراء النظام بربط‬ ‫ن‬ ‫قد يقوم‬
‫‪Rc Scripts‬‬ ‫‪.004 T1037‬‬
‫وبدء الخدمات المخصصة اىل قائمة بدء التشغيل النظام‪ .‬وعادة تتطلب ( ‪ )RC‬امتيازات مدير النظام إلجراء التعديالت (‪.)root‬‬
‫قد يقوم المهاجمون باستغالل (‪ )Startup Items‬لتنفيذ تعليمات برمجية ضارة عند اقالع النظام بهدف البقاء نف النظام أطول ر‬
‫فبة‬ ‫ي‬ ‫ادوات بدء التشغيل ‪/‬‬
‫ممكنة‪ .‬ان (‪ )Startup Items‬تعمل عادة ن يف المرحلة األخبة من اإلقالع‪ .‬وتحتوي عل برامجه او سكربتات قابلة للتنفيذ او التشغيل‬ ‫‪.005 T1037‬‬
‫‪Startup Items‬‬
‫البتيب المتوقع لتشغيل وتنفيد العناض المتوفرة ن يف (‪.)Items Startup‬‬ ‫الت يستخدمها النظام لتحديد ر‬ ‫ر‬
‫بجانب االعدادات ي‬
‫ر‬ ‫ن‬
‫قد يقوم المهاجمون باستغالل المتصفحات لتنفيذ تعليمات برمجية ضارة بهدف البقاء يف النظام أطول فبة ممكنة‪ .‬ان اإلضافات‬
‫المتوفرة نف المتصفحات ه برمجيات صغبه تعمل مع المتصفح‪ .‬وتستطيع تثبيتها ر‬ ‫اضافات المتصفح ‪/‬‬
‫مباشة من خالل المتصفح او من خالل المتجر‬ ‫ي‬ ‫ي‬ ‫‪T1176‬‬
‫‪Browser Extensions‬‬
‫المخصص ولديها من الصالحيات ما لدى المتصفح‪.‬‬
‫للمستخدمي بهدف البقاء ن يف النظام‬
‫ن‬ ‫بالبمجيات الموجهة‬ ‫البمجية الخاصة ر‬ ‫المهاجمي بتعديل والتالعب ببعض االكواد ر‬ ‫ن‬ ‫قد يقوم‬ ‫ر‬
‫اخباق برمجيات المستخدم‬
‫ن‬ ‫ن‬
‫البمجيات الخاصة بالمستخدمي تمكنهم من االستفادة من الخدمات‪ .‬ومن اشهرها ‪ SSH‬للمستخدمي و ‪FTP‬‬ ‫فبة ممكنة‪ .‬ان ر‬ ‫أطول ر‬ ‫‪Client Compromise /‬‬ ‫‪T1554‬‬
‫ون و المتصفحات‪.‬‬ ‫ن‬ ‫ر‬
‫البيد االلكب ي‬ ‫و برامج ر‬ ‫‪Software Binary‬‬
‫ر‬ ‫ن‬
‫قد يقوم المهاجمي بإنشاء حسابات بهدف البقاء يف النظام أطول فبة ممكنة‪ .‬حيث يقوم المهاجم بإنشاء حسابات مع صالحيات‬ ‫ن‬
‫انشاء حساب ‪Create /‬‬
‫كافية‪ .‬او قد يقوم المهاجم بإنشاء حساب اخر ال يتطلب بيانات دخول او تحقق لتسهيل عمليات الدخول والوصول عن بعد وذلك‬ ‫‪T1136‬‬
‫‪Account‬‬
‫لتحميل األدوات الضارة وتثبيتها عل النظام‪.‬‬
‫ر‬ ‫ن‬
‫المهاجمي بإنشاء حسابات محلية عل النظام المستهدف بهدف البقاء يف النظام أطول فبة ممكنة‪ .‬ان الحسابات المحلية‬ ‫ن‬ ‫قد يقوم‬
‫محل ‪Local /‬‬
‫ي‬ ‫حساب‬
‫يتم انشاءها من قبل المنظمات لعدة أغراض وعل سبيل المثال ( الدعم‪ ،‬وحسابات الخدمات) وتتمتع هذه الحسابات بصالحيات‬ ‫‪.001 T1136‬‬
‫‪Account‬‬
‫التاىل(‪.)net user /add‬‬ ‫محل عل النظام من خالل االمر ي‬ ‫ي‬ ‫عالية وتستطيع انشاء حساب‬
‫‪28‬‬
‫فبة ممكنة‪ .‬وحسابات مدراء‬ ‫قد يقوم المهاجم بإنشاء حساب مدير النظام ( ‪ )Domain account‬بهدف البقاء نف النظام أطول ر‬
‫ي‬
‫النظام عادة يتم ادارتها بواسطة (‪ )Active Directory Domain Services‬حيث تم انشاءها وتحديد الصالحيات واالذونات‬ ‫حساب مدير نظام ‪/‬‬
‫‪.002 T1136‬‬
‫للحسابات عل األنظمة والخدمات‪ .‬وقد تشتمل حسابات مدراء النظام عل حسابات الخدمات وكذلك الحسابات اإلدارية األقل‬ ‫‪Domain Account‬‬
‫التاىل (‪.)net user /add /domain‬‬ ‫مدير نظام بواسطة االمر ي‬ ‫صالحية منها‪ .‬ومع توفر الصالحيات المناسبة تستطيع انشاء حساب‬
‫ر‬ ‫ن‬
‫قد يقوم المهاجم بإنشاء حساب عل الخدمات السحابية بهدف البقاء يف النظام أطول فبة ممكنة‪ .‬مع وجود صالحية مناسبة قد‬ ‫حساب الخدمات السحابية‬
‫يقوم المهاجم بإنشاء حساب اخر الستخدامه نف الوصول عن بعد وبشكل ر‬ ‫‪.003 T1136‬‬
‫مباش من دون استخدام أي أدوات أخرى عل النظام‪.‬‬ ‫ي‬ ‫‪Cloud Account /‬‬
‫ن‬
‫المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة بهدف البقاء يف النظام أطول‬ ‫ن‬ ‫قد يقوم‬ ‫انشاء او تعديل العمليات‬
‫ن‬ ‫ر‬
‫فبة ممكنة‪ .‬فعندما يقوم النظام باإلقالع ستعمل العمليات بشكل مباش يف الخلفية‪ .‬سواء كان النظام ويندوز او لينكس‪ .‬حيث ان هذه‬ ‫ر‬ ‫عل االنظمة ‪Create or /‬‬
‫ن‬ ‫‪T1543‬‬
‫العمليات يتم تصنيفها كخدمات‪ .‬اما يف نظام ماك اوس يتم تشغيل العمليات بواسطة (‪ )Launch Daemon‬و (‪)Launch Agent‬‬ ‫‪Modify System‬‬
‫إلنهاء تهيئة عمليات النظام و البدء بتنفيذ وتحميل عمليات المستخدم‪.‬‬ ‫‪Process‬‬
‫المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة باستخدام ( ‪launch‬‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ً‬ ‫ر‬ ‫ن‬
‫‪.‬‬
‫‪ )agents‬وذلك بهدف البقاء يف النظام أطول فبة ممكنة وفقا لمطوري شكة آبل‪ ،‬عندما يقوم المستخدم بتسجيل الدخول يتم بدء‬
‫ر‬ ‫ن‬ ‫البمجية ‪Launch /‬‬
‫تفعيل ر‬
‫والت تستطيع الوصول‬ ‫عملية تشغيل العمليات الخاصة بكل مستخدم من خالل (‪ )launch-on-demand‬والموجودة يف (‪ )plist‬ي‬ ‫‪.001 T1543‬‬
‫‪Agent‬‬
‫لها من خالل (‪ ,System/Library/LaunchAgents, /Library/LaunchAgents/‬و ‪ )HOME/Library/LaunchAgents$‬ان‬
‫(‪ )launch agents‬لديهم قائمة من الملفات المرتبطة بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل‪.‬‬
‫المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات (‪ ،)systemd‬وذلك بهدف البقاء ن يف النظام أطول فبة ممكنة‪ .‬ومن‬
‫ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫المتعارف عل ان (‪ )systemd‬يقوم بإدارة العمليات يف الخلفية او الخدمات وموارد النظام األخرى‪ .‬ان (‪ )systemd‬هو النظام التهيئة‬
‫اض نف (‪ )init‬نف ر‬ ‫ر ن‬ ‫خدمات النظام ‪/‬‬
‫أكب توزيعات لينكس مثل (‪ .)Debian 8, Ubuntu 15.04, CentOS 7, RHEL 7, Fedora 15‬حيث تم‬ ‫ي‬ ‫االفب ي ي‬ ‫‪.002 T1543‬‬
‫ر‬ ‫ر‬ ‫‪Systemd Service‬‬
‫والت تشتمل عل (‪ SysVinit‬و ‪ .)Upstart‬وحيث ان (‪ )systemd‬يتعامل‬ ‫الت تعمل ب (‪ )init‬ي‬
‫إيجاده الستبدال األنظمة القديمة ي‬
‫كذلك مع األنظمة السابقة والقديمة‪.‬‬
‫المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات الخاصة بنظام (‪ ،)Windows‬وذلك بهدف البقاء ن يف النظام أطول‬ ‫ن‬ ‫قد يقوم‬
‫البمجيات والتطبيقات من خالل استدعاء‬ ‫ر‬ ‫بتشغيل‬ ‫يقوم‬ ‫ذلك‬ ‫بعد‬ ‫بالنظام‬ ‫الخاصة‬ ‫اإلقالع‬ ‫بعمليات‬ ‫الويندوز‬ ‫يقوم‬ ‫عندما‬ ‫‪.‬‬ ‫ممكنة‬ ‫فبة‬ ‫ر‬
‫ن‬ ‫ر‬ ‫خدمات الويندوز ‪/‬‬
‫الت تعمل يف الخلفية الخاصة بالنظام‪ .‬ان نظام الخدمات واإلعدادات تشتمل عل مسارات الملفات للخدمات واالوامر‬ ‫الخدمات ي‬ ‫‪.003 T1543‬‬
‫ن‬ ‫‪Windows Service‬‬
‫القابلة للتنفيذ‪ .‬ويتم تخزينها يف (‪ .)Windows Registry‬ومن الممكن ان يتم تعديل اعدادات الخدمات من خالل أداة (‪ sc.exe‬او‬
‫‪.)Reg‬‬
‫ر‬ ‫ن‬
‫قد يقوم المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات (‪ )launch daemons‬وذلك بهدف البقاء يف النظام أطول فبة‬ ‫ن‬
‫ً‬
‫ممكنة‪ .‬وفقا لمطوري رشكة آبل‪ ،‬عندما يقوم المستخدم بتسجيل الدخول يتم بدء عملية تشغيل العمليات الخاصة بكل مستخدم من‬
‫والت تستطيع الوصول لها من خالل‬ ‫ر‬ ‫ن‬
‫خالل (‪ )launch-on-demand‬والموجودة يف (‪ )plist‬ي‬ ‫‪Launch Daemon‬‬ ‫‪.004 T1543‬‬
‫(‪ ,Library/LaunchAgents/ ,System/Library/LaunchAgents/‬و ‪ )HOME/Library/LaunchAgents$‬ان ( ‪launch‬‬
‫‪ )agents‬لديهم قائمة من الملفات المرتبطة بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل‪.‬‬
‫ر‬
‫المخبق أطول فبة ممكن او رفع الصالحيات‪ .‬تمتلك‬ ‫ر‬ ‫قد يقوم المهاجم باستغالل بعض االحداث المعينة بهدف البقاء داخل النظام‬ ‫تنفيذ االحداث حسب‬
‫أنظمة التشغيل وسائل لمراقبة تلك االحداث ومتابعتها مثل عمليات تسجيل الدخول او أنشطة أخرى مثل تشغيل تطبيقات او اكواد‬ ‫المعطيات ‪Event /‬‬ ‫‪T1546‬‬
‫برمجية‬ ‫‪Triggered Execution‬‬
‫‪29‬‬
‫بي الملفات للتنفيذ تعليمات برمجية ضارة عل سبيل المثال(عند تحديد ملف ر ن‬
‫يي‬ ‫االقبان واالرتباط ن‬ ‫قد يقوم المهاجمون باستغالل ر‬
‫ن‬ ‫ر‬
‫اض)‪ .‬يتم تخزين تحديد اقبان الملفات يف سجل الويندوز ( ‪Windows‬‬ ‫ن‬ ‫ر‬ ‫ر ن‬ ‫اض ‪/‬‬ ‫ر ن‬
‫(البنامج االفب ي‬ ‫اض لتشغيله) ويسم ر‬ ‫البنامج االفب ي‬ ‫تحديد ر‬ ‫تعديل الملف االفب ي‬
‫‪ )Registry‬ويستطيع المستخدم ومدراء النظام تعديلها او أي برنامج يملك صالحيات الوصول وتعديل عل (‪)Windows Registry‬‬ ‫‪File Change Default‬‬ ‫‪.001 T1546‬‬
‫ر ن‬
‫اض المرتبط من‬ ‫وتستطيع تعديلها من خالل أداة (‪ )assoc‬بصالحيات مدير النظام‪ .‬يستطيع كما ذكرنا التطبيق تعديل التطبيق االفب ي‬ ‫‪Association‬‬
‫معي ثم إجباره بفتح من خالل برنامج اخر‪.‬‬ ‫ن‬ ‫خالل استدعاء ملف‬
‫قد يقوم المهاجمون باستغالل شاشة التوقف (عدم نشاط المستخدم) لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل النظام‬
‫ه برمجيات يتم تنفيذها بعد عدم نشاط المستخدم عل الكمبيوتر بواسطة وقت تم‬ ‫فبة ممكن‪ .‬وشاشات التوقف‬ ‫المخبق أطول ر‬
‫ر‬
‫ي‬ ‫ً‬ ‫شاشة التوقف‪/‬‬
‫وتأن امتداداتها بصيغة (‪ .)scr.‬تستطيع إيجاد ملفات شاشات التوقف ن يف هذا‬ ‫ر‬
‫تحديده مسبقا من االعدادات‪ .‬ي‬ ‫‪.002 T1546‬‬
‫ر‬ ‫ن‬ ‫‪Screensaver‬‬
‫يأن مع حافظات الشاشة او‬ ‫وف نظام من نوع (‪ )bit-64‬ي‬ ‫المسار(‪ ,\C:\Windows\System32‬او ‪ )\C:\Windows\sysWOW64‬ي‬
‫شاشات التوقف المثبتة بشكل تلقا ين مع الويندوز‪.‬‬
‫قد يقوم المهاجمون بتصعيد الصالحيات او تشغيل ملفات ضارة باستخدام ( ‪Windows Management Instrumentation‬‬ ‫‪Windows‬‬
‫فبة ممكنة او تصعيد الصالحيات‪ .‬ويمكن‬ ‫المخبقة أطول ر‬ ‫ر‬ ‫‪ )subscription (WMI) event‬وذلك بهدف البقاء داخل الشبكة‬ ‫‪Management‬‬
‫‪.003 T1546‬‬
‫استخدام االحداث (‪ )Event‬مع (‪ )WMI‬بغرض تنفيذ االكواد عند تحديد وقت حدوث الحدث‪ .‬عل سبيل المثال(تفعيل االحداث‬ ‫‪Instrumentation‬‬
‫عندما يقوم المستخدم بتسجيل الدخول ‪..‬الخ)‬ ‫‪Event Subscription‬‬
‫أكب‬
‫الت تتم بواسطة المستخدم لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل المنظمة ر‬ ‫ر‬
‫قد يقوم المهاجمون باستغالل األوامر ي‬
‫قدر ممكن‪ .‬يقوم نظام (‪ )Unix Shells‬بتنفيذ وجدولة العديد من االعمال واالعدادات والسكربتات واالحداث‪ .‬عل سبيل المثال‬
‫(عندما يقوم المستخدم بالتفاعل مع واجهة سطر األوامر او استخدام (‪ .))SSH‬فمن خالل المثال السابق يتم التواصل باستخدام‬ ‫‪Unix Shell‬‬
‫ئيس الخاص بالمستخدم (~ ‪)/‬‬ ‫ن‬
‫(‪ .)Shell‬ويقوم (‪ )Shell‬حينها بتفعيل السكربتات الخاصة بالنظام والمتواجدة يف(‪ )etc/‬والمجلد الر ي‬ ‫‪Configuration‬‬ ‫‪.004 T1546‬‬
‫تسج الدخول للنظام من خالل (‪ .)etc/profile/‬يتم‬ ‫ن‬
‫مستخدمي عند ر‬ ‫من اجل تهيئة البيئة الخاصة به‪ .‬وعادة يتم تهيئة البيئة لل‬ ‫‪Modification‬‬
‫ي ً‬
‫تفعيل هذه السكربتات واالوامر من خالل مستويات من االذونات تم اعدادها مسبقا‪ .‬ان هذه السكربتات ومع وجود الصالحية‬
‫واالذونات المناسبة كما ذكرنا يستطيع المستخدم تعديل البيئة الخاصة به‬
‫المهاجمي بتشغيل التعليمات الضارة بواسطة (‪ .)interrupt signal‬يقوم االمر(‪ )Trap‬بالسماح ر‬
‫بالبامج و(‪)Shells‬‬ ‫ن‬ ‫قد يقوم‬
‫الت سيتم تفعيلها عند استقبال (‪ ،)interrupt signal‬واالستخدام الشائع لهذه الطريقة هو سكربت يسمح‬ ‫ر‬
‫بتخصيص األوامر ي‬ ‫‪Trap‬‬ ‫‪.005 T1546‬‬
‫للبامج بالتفاعل عند حصول (‪ )interrupt signal‬مثل عند عملية (القص‪/‬الصق) ن يف لوحة المفاتيح‪.‬‬ ‫ر‬
‫وه تحتوي عل تعليمات‬ ‫)‬‫‪Mach-O‬‬ ‫‪binaries‬‬ ‫(‬ ‫او‬ ‫)‬‫‪tainted‬‬ ‫‪binaries‬‬ ‫(‬ ‫بواسطة‬ ‫الضارة‬ ‫التعليمات‬ ‫بتشغيل‬ ‫ن‬
‫المهاجمي‬ ‫يقوم‬ ‫قد‬
‫ي‬
‫برمجية تستخدم إلجراء عمليات معينة عند تحميل (‪ .)binary‬تقوم التعليمات ن يف (‪ )LC_LOAD_DYLIB‬ن يف (‪)Mach-O binaries‬‬
‫ر‬ ‫‪LC_LOAD_DYLIB‬‬
‫الت يتم تحميلها اثناء ووقت تنفيذ تلك‬ ‫لنظام (‪ ) MacOS, OS X‬بالتواصل مع المكتبات الديناميكية او ما تسم ب (‪ )dylibs‬ي‬ ‫ي‬ ‫‪.006 T1546‬‬
‫العمليات‪ .‬وتستطيع استخدام هذه (‪ )complied binary‬بشكل خاص ر‬ ‫‪Addition‬‬
‫باشباط وجود االعدادات والتوافقية الصحيحة‪ .‬وهناك‬
‫أدوات كثب تستطيع القيام بهذا العمل من التغبات‪.‬‬
‫فبة ممكنه من خالل تشغيل مكتبات واالعتماد عل‬ ‫المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل الشبكة أطول ر‬ ‫ن‬ ‫يقوم‬
‫ه عبارة عن سطر أوامر تقوم بالتفاعل مع‬ ‫(‪ )Netsh Helper DLLs‬لتنفيذها‪ .‬برمجية (‪ )Netsh.exe‬او ما تعرف ر ين(‪ .)Netshell‬ي‬
‫وه تحتوي عل وظائف و أدوات إلضافة (‪ )helper DLLs‬وتستطيع اضافة المزيد من القدرات‬ ‫اعدادات الشبكة واألنظمة‪ .‬ي‬ ‫‪Netsh Helper DLL‬‬ ‫‪.007 T1546‬‬
‫والوظائف لها‪ .‬وتستطيع إيجاد المسار الخاص بها ن يف الويندوز (‪ )Windows Registry‬ن يف‬
‫(‪.)HKLM\SOFTWARE\Microsoft\Netsh‬‬
‫‪30‬‬
‫ممبات وامكانيات الوصول المتاحة بواسطة مايكروسوفت او ما يسم‬ ‫قد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تفعيلها بواسطة ن‬
‫ر‬
‫(‪ )accessibility features‬وذلك بهدف البقاء داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات‪ .‬ويحتوي نظام ويندوز عل‬
‫والت يمكن تشغيلها باستخدام مجموعة من المفاتيح قبل عملية تسجيل الدخول للمستخدم عل سبيل‬ ‫ر‬ ‫ن‬
‫ممبان إمكانية الوصول ي‬ ‫‪Accessibility Features‬‬ ‫‪.008 T1546‬‬
‫ر‬
‫والت‬ ‫المثال(عندما يكون المستخدم عل شاشة تسجيل الدخول)‪ .‬قد يقوم المهاجم بتعديل هذه ر‬
‫البمجيات واضافة سطر األوامر ي‬
‫فعل‪.‬‬‫تسمح له بالتحكم والسيطرة من دون الحاجة اىل تسجيل الدخول للنظام بشكل ي‬
‫والت يتم تفعيلها من ضمن العمليات‬‫قد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تشغيله بواسطة (‪ )AppCert DLLs‬ر‬
‫ي‬
‫))ه احد مكونات ( ‪)AppCertDLLs‬‬ ‫‪ .)processes‬وذلك بهدف رفع الصالحيات‪ .‬ان (‪ Dynamic-link libraries (DLLs‬ي‬ ‫(‬
‫والت يتم‬‫والمتواجدة نف (‪ )\Manager HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session‬ر‬ ‫‪AppCert DLLs‬‬ ‫‪.009 T1546‬‬
‫ي‬ ‫ي‬
‫مستخدمي و ( ‪reateProcess,‬‬ ‫ن‬ ‫استدعائها ن يف كل وظائف واجهة برمجة التطبيقات (‪ )API‬بهدف انشاء العمليات‪ ،‬انشاء العمليات‬
‫‪).CreateProcessWithLoginW, CreateProcessWithTokenW, or WinExec ,CreateProcessAsUser‬‬
‫المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف رفع الصالحيات وتحدث العملية إثناء تحميل العمليات الخاصة ب (‪AppInit‬‬ ‫ن‬ ‫قد يقوم‬
‫‪ .)DLLs‬ان (‪))Dynamic-link libraries (DLLs‬ه احد مكونات (‪ )AppInit_DLLs‬والمتواجدة فن‬
‫ي‬ ‫ي‬
‫(‪or HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows‬‬
‫‪AppInit DLLs‬‬ ‫‪.010 T1546‬‬
‫‪NT\CurrentVersion\Windows HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows‬‬
‫الت يتم تحميلها اىل (‪ .)user32.dll‬وعل االغلب ان‬ ‫ر‬ ‫ن‬ ‫ر‬
‫والت يتم استدعائها يف كل وظائف والعمليات ي‬
‫‪ )are loaded by user32.dll‬ي‬
‫ر‬
‫البامج تستخدم هذه العمليات حيث ان مكتبة (‪ )user32.dll‬مكتبة شائعة ومستخدمة بكبة‪.‬‬ ‫جميع ر‬
‫المهاجمي بتشغيل تعليمات برمجية ضارة بهدف رفع الصالحيات وذلك من خالل االستفادة من ما يسم ب (‪application‬‬ ‫ن‬ ‫قد يقوم‬
‫‪ )shims‬او (‪.))Infrastructure/Framework (Application Shim Microsoft Windows Application Compatibility‬‬
‫حت مع اصدار احدث‪ .‬عل سبيل المثال ( ان هذه‬ ‫البمجيات تعمل ر‬ ‫وتم عمله للسماح بالتوافق مع إصدارات ويندوز القديمة وجعل ر‬ ‫‪Application Shimming‬‬ ‫‪.011 T1546‬‬
‫ن‬
‫البامج من جديد) والمثال السابق يف حل تم كتابة‬ ‫كتابة‬ ‫إعادة‬ ‫اىل‬ ‫الحاجة‬ ‫التقنية تسمح للمطورين بتطبيق اإلصالحات والتطوير دون‬
‫ر‬
‫برنامج لويندوز ‪ XP‬وجعلة قابل للعمل عل ويندوز ‪١٠‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل ( ‪ )Image File Execution Options (IFEO) debuggers‬وذلك‬
‫بتمكي المطورين من ارفاق مصحح األخطاء مع‬ ‫ن‬ ‫فبة ممكنه او تصعيد الصالحيات‪ .‬تقوم (‪)IFEO‬‬ ‫بهدف البقاء داخل الشبكة أطول ر‬ ‫‪Image File Execution‬‬
‫ر‬ ‫‪.012 T1546‬‬
‫والت تودي اىل انشاء عملية‬‫البمجية‪ .‬فعند القيام باي عملية سيكون مصحح األخطاء موجود من ضمن (‪ )IFEO‬للتطبيق‪ .‬ي‬ ‫التطبيق او ر‬ ‫‪Options Injection‬‬
‫جديدة من ضمن مصحح األخطاء‪ .‬عل سبيل المثال (‪.)C:\dbg\ntsd.exe -g notepad.exe‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل استغالل التفاعل مع (‪ )PowerShell profiles‬وذلك بهدف البقاء داخل‬
‫فبة ممكنه او تصعيد الصالحيات‪ .‬ان (‪ )profile.ps1‬هو سكربت يعمل حينما يقوم ( ‪ )PowerShell‬بالعمل‪.‬‬ ‫الشبكة أطول ر‬ ‫‪PowerShell Profile‬‬ ‫‪.013 T1546‬‬
‫وتستطيع من خالله تخصيص البيئة الخاصة بالمستخدم‪.‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة باستخدام (‪ ))Event Monitor Daemon (emond‬وذلك بهدف البقاء داخل‬
‫فبة ممكنه او تصعيد الصالحيات‪ .‬يقوم (‪ )emond‬بتنفيذ االحداث (‪ ) event‬من مختلف الخدمات ويقوم بإداراتها‬ ‫الشبكة أطول ر‬
‫ن‬ ‫‪Emond‬‬ ‫‪.014 T1546‬‬
‫من خالل محرك بسيط يقوم من خالله باتخاذ اإلجراءات المناسبة‪ .‬ويقوم (‪ )emond binary‬يف مجلد (‪ )sbin/emond/‬بتحميل‬
‫جميع القواعد من مستودع (‪ )/etc/emond.d/rules/‬ويقوم بعد ذلك باتخاذ اإلجراءات حسب االحداث المحددة له‪.‬‬
‫‪31‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل اختطاف وشقة (‪ ))Component Object Model (COM‬عند تشغيله‪.‬‬
‫بتمكي التفاعل ما ن‬ ‫ن‬ ‫‪Component Object‬‬
‫البمجيات ونظام التشغيل‪ .‬ويتم تخزين مختلف‬ ‫بي ر‬ ‫ان (‪ )COM‬هو احد مكونات نظام الويندوز حيث يقوم‬ ‫‪.015 T1546‬‬
‫‪Model Hijacking‬‬
‫(‪ )COM‬ن يف (‪.)Registry‬‬
‫ر‬
‫االوىل او البقاء داخل الشبكة أكب قدر ممكن‪ .‬تتيح الخدمات عن‬ ‫قد يستغل المهاجمون خدمات االتصال عن بعد ألغراض الوصول‬
‫ً‬ ‫ي‬ ‫خدامات االتصال عن بعد‬
‫للمستخدمي الوصول عن بعد لموارد الشبكة الداخلية‪ .‬وغالبا ما توجد ما تسم‬ ‫ن‬ ‫بعد مثل (‪ Citrix‬و‪ )VPN‬وبعض الطرق األخرى‬
‫‪External Remote‬‬ ‫‪T1133‬‬
‫ب (‪ )gateways‬إلدارة االتصاالت والتحقق من صحة الحسابات لهذه الخدمات‪ .‬وكما ان خدمة ( ‪Windows Remote‬‬
‫‪Services‬‬
‫‪ )Management‬تستخدم لالتصال عن بعد‪.‬‬
‫ر‬
‫البمجية الضارة‪ ،‬وذلك بهدف البقاء داخل الشبكة أطول فبة ممكنه او‬ ‫البامج لتنفيذ تعليماتهم ر‬ ‫باعباض تشغيل ر‬ ‫المهاجمي ر‬‫ن‬ ‫قد يقوم‬
‫ن‬ ‫انتحال مجال التنفيذ ‪/‬‬
‫تخط القيود عل التنفيذ او التحكم بطريقة عمل التطبيقات داخل‬ ‫ي‬ ‫ف‬‫ي‬ ‫الهجمات‬ ‫هذه‬ ‫مثل‬ ‫المهاجم‬ ‫يستغل‬ ‫وقد‬ ‫الصالحيات‬ ‫تصعيد‬ ‫‪T1574‬‬
‫‪Flow Hijack Execution‬‬
‫النظام‪.‬‬
‫البمجية الضارة ‪ ،DLLs‬وذلك بهدف البقاء داخل‬ ‫باعباض طلبات البحث (‪ )search order‬لتنفيذ تعليماتهم ر‬ ‫المهاجمي ر‬ ‫ن‬ ‫قد يقوم‬
‫‪DLL Search Order‬‬
‫فبة ممكنه او تصعيد الصالحيات‪ .‬ان نظام ويندوز يستخدم طريقة شائعة ن يف عملية البحث عن مكتبات ‪DLL‬‬ ‫الشبكة أطول ر‬ ‫‪.001 T1574‬‬
‫المهاجمي هذه ن‬
‫ن‬ ‫ن‬ ‫‪Hijacking‬‬
‫المبة لتنفيذ اغراضهم الخبيثة‪.‬‬ ‫البامج او التطبيقات‪ .‬وقد يستخدم‬ ‫المطلوب تحميلها يف احد ر‬
‫المهاجمي بتحميل مكتباتهم (‪ )DLL‬الضارة للنظام‪ .‬وتتشابه هذه الهجمة مع الهجمة السابقة (‪DLL Search Order‬‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫‪ .)Hijacking‬ويختلف (‪ )side-loading‬عنه انه يقوم بتحميل تلك ‪ DLL‬بدل من زرعها ضمن البتيب الخاص بالبحث عن ‪ DLL‬ثم‬
‫‪DLL Side-Loading‬‬ ‫‪.002 T1574‬‬
‫انتظار النظام او الضحية من استدعائها‪ .‬وقد يقوم المهاجمون بهذه الطريقة من خالل زرعها ثم يقوم المهاجم باستدعائها من خالل‬
‫برمجيات معتمدة وغب ضارة‪.‬‬
‫البمجية الضارة من خالل وضعها داخل (‪ ))dynamic library (dylib‬مع اسم متوقع من التطبيق‬ ‫قد يقوم المهاجم بتنفيذ تعليماته ر‬
‫البتيب‬ ‫المراد استهدفه ان يقوم بتشغيلها‪ .‬ان (‪ ))dynamic library (dylib‬ستقوم بالبحث ومحاولة إيجاد (‪ )dylib‬بناء عل ر‬
‫الت تؤدي اىل(‪ )dylib‬مسبوقة ب (@‪.)rpath‬‬ ‫ر‬
‫التسلسل للمسارات‪/‬االمتدادات الخاصة بعمليات البحث‪ .‬وقد تكون المسارات ي‬ ‫ي‬
‫الت تسمح للمطورين بتحديد مجموعة المسارات الخاصة بالبحث وقت التنفيذ‪ .‬وباإلضافة اىل ذلك اذا لم يتم‬ ‫و(@‪ )rpath‬ه ر‬ ‫‪Dylib Hijacking‬‬ ‫‪.004 T1574‬‬
‫ي ي‬
‫حت ن يف حال عدم‬ ‫البنامج بتنفيذ التعليمات ر‬ ‫ربطها بالشكل المناسب مثل استخدام ( ‪ .)LC_LOAD_WEAK_DYLIB‬سيستمر ر‬
‫وجود(‪ )dylib‬المتوقع‪ .‬مما يتيح للمطورين من تشغيل تطبيقاتهم عل إصدارات متعددة من (‪ )macOS‬مع إضافة واجهات برمجة‬
‫تطبيقات جديدة (‪.)API‬‬
‫‪.‬‬ ‫ن‬ ‫ر‬
‫البمجية الضارة من خالل اعباض او شقة (‪ )binaries‬المستخدم يف عملية التثبيت وقد تتم‬ ‫ن‬
‫المهاجمي بتنفيذ تعليماتهم ر‬ ‫قد يقوم‬
‫ن‬
‫تلقان من خالل تنفيذ بعض (‪ )binaries‬من اثناء عملية التثبيت‪ .‬يف حال كانت الصالحيات ‪/‬االذونات الخاصة‬ ‫بشكل‬ ‫العملية‬ ‫هذه‬ ‫‪Executable Installer‬‬
‫ي‬
‫الت تحتوي عل (‪ )binaries‬المستهدف ن يف العملية‪ .‬او الصالحيات‪/‬االذونات الخاصة بنفس (‪ )binaries‬تم‬ ‫ي‬
‫بمجلدات النظام ر‬ ‫‪File Permissions‬‬ ‫‪.005 T1574‬‬
‫اعدادها بشكل غب صحيح‪ .‬فقد يقوم (‪ )binaries‬بإعادة كتابة نفسه فوق (‪ )binaries‬اخر باستخدام االذونات والصالحيات‬ ‫‪Weakness‬‬
‫والت قد تتضمن صالحيات (‪.)SYSTEM‬‬ ‫ر‬ ‫ن‬ ‫ن‬
‫ن‬ ‫وف بعض األحيان قد يعمل يف اعل صالحيات ي‬ ‫الممنوحة له‪ .‬ي‬
‫البمجية الضارة من خالل اختطاف‪/‬شقة المتغبات(‪ )Variables‬يف البيئة من خالل‬ ‫المهاجمي بتشغيل وتنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫استخدام (‪ )dynamic linker‬إلضافتها للمكتبات المشبكة او ما يسم ب (‪ .)libaraies Shared‬من خالل عمليات التحضب لتنفيذ‬
‫ر‬ ‫‪Dynamic Linker‬‬
‫المشبكة من خالل المتغبات البيئية‬ ‫البنامج‪ .‬ويقوم (‪ )linker dynamic‬بتحميل مسارات الخصائص البيئية للمكتبات‬ ‫او تشغيل ر‬ ‫‪.006 T1574‬‬
‫(‪ )environment variables‬والملفات مثل (‪ )LD_PRELOAD‬يف نظام لينكس او (‪ )DYLD_INSERT_LIBRARIES‬يف نظام‬
‫ر‬ ‫ً ر‬ ‫ر‬
‫الت لها نفس االسم‬ ‫الت تم تحديدها اوال‪ ،‬حت يتم أعطاها أولوية عل مكتبات النظام ي‬ ‫‪ .MacOs‬يتم إعطاء أولوية تحميل المكتبات ي‬
‫‪32‬‬
‫الوظيف‪ .‬وعادة ما يتم استخدام هذه المتغبات من قبل المطورين لتصحيح األخطاء دون الحاجة اىل عمل (‪ .)recompile‬ويتم‬ ‫ن‬
‫ي‬
‫تنفيذ وظائف مخصصة دون الحاجة اىل تغب أي من المكتبات االصلية‪.‬‬
‫ر‬ ‫ن‬
‫الت يتم تحميلها‬ ‫اختطاف‪/‬شقة المتغبات (‪ )variables‬ي‬ ‫البمجية الضارة من خالل‬ ‫المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬ ‫قد يقوم‬
‫‪Path Interception by‬‬
‫ن يف المكتبات‪ .‬قد يقوم المهاجم بوضع برنامجه من المقدمة يف القائمة المخزنة يف مسارات البيئة ( ‪PATH environment‬‬
‫ن‬ ‫ن‬
‫ر‬ ‫ر‬ ‫‪PATH Environment‬‬ ‫‪.007 T1574‬‬
‫والت يتم‬
‫تسلسل باستخدام قائمة (‪ )PATH‬ي‬ ‫ي‬ ‫والت سيقوم نظام التشغيل ويندوز بتشغيله عند عملية البحث بشكل‬ ‫‪ .)variable‬ي‬ ‫‪Variable‬‬
‫استدعائها من خالل سكربت او سطر األوامر‪.‬‬
‫يستدع‬ ‫ر‬
‫البمجية الضارة من خالل اختطاف ترتيب البحث والذي من المفبض انه‬ ‫المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬ ‫‪Path Interception by‬‬
‫ي‬ ‫ً‬
‫البامج ال تستدع برامج أخرى باستخدام قائمة (‪ ،)PATH‬قد يقوم المهاجم بوضع ملفاته نف القائمة التر‬ ‫ر‬ ‫بعض‬ ‫ان‬ ‫ا‬
‫ر‬ ‫ونظ‬ ‫‪.‬‬‫اخر‬ ‫برنامج‬ ‫‪Search Order‬‬ ‫‪.008 T1574‬‬
‫ي‬ ‫ي‬ ‫ي‬
‫والت سيتسبب بجعل النظام بتشغيل برنامجه الضار بسبب استدعاء برنامج اخر له‪.‬‬ ‫البمجيات منها‪ .‬ر‬ ‫ر‬ ‫استدعاء‬ ‫سيتم‬ ‫‪Hijacking‬‬
‫ي‬
‫البمجية الضارة من خالل اختطاف المراجع الخاصة بالملفات‪ .‬قد يستغل المهاجم‬ ‫ن‬
‫قد يقوم المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬
‫البمجية التنفيذية ن يف اعل القائمة ن يف (‪.)PATH‬‬ ‫والت من خاللها يقوم بوضع تعليماته ر‬ ‫ي‬
‫المسارات الغب محدده بعالمات االقتباس ("") ر‬ ‫‪.009 T1574‬‬
‫ر‬ ‫‪Unquoted Path‬‬
‫والت عندما يقوم نظام التشغيل الويندوز باالختيار من القائمة سيقوم بتشغيله‪.‬‬ ‫ي‬
‫الت يتم استخدامها من قبل الخدمات‪.‬‬ ‫ر‬ ‫ن‬
‫البمجية الضارة من خالل اختطاف ‪/‬شقة (‪ )binaries‬ي‬ ‫قد يقوم المهاجمي بتشغيل تعليماتهم ر‬
‫الت يتم تنفيذها‬ ‫المهاجمي سب العمل (‪ )Flaws‬الخاصة بالصالحيات لنظام الخدمات نف الويندوز الستبدال (‪ )binaries‬ر‬ ‫ن‬ ‫يستغل‬
‫ي‬ ‫ي‬ ‫‪Services File‬‬
‫تلقان بواسطة (‪ )binaries‬مخصص لتنفيذ وظيفة محددة‪ .‬اذا تم‬ ‫ي‬ ‫عند تنفيذ الخدمات‪ .‬وبعض الخدمات قد يتم تفعيلها بشكل‬
‫‪Permissions‬‬ ‫‪.010 T1574‬‬
‫تحديد الصالحيات المجلد الذي يحتوي عل (‪ )binaries‬المستهدف او الصالحيات عل (‪ )binaries‬بذاته‪ ،‬فقد يقوم المهاجم‬
‫ر‬ ‫ن‬ ‫‪Weakness‬‬
‫والت قد تكون صالحيات عالية او صالحيات النظام (‬ ‫بالكتابة فوقة بالصالحيات الممنوحة له يف المجلد او (‪ )binaries‬بذاته ي‬
‫الت تسمح له بهذا العمل والتنفيذ‪.‬‬ ‫ر‬
‫‪ )SYSTEM‬ي‬
‫البمجية الضارة من خالل اختطاف ‪/‬شقة مدخالت (‪ )Registry‬المستخدمة من قبل‬ ‫المهاجمي بتشغيل تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫ن‬
‫الخدمات يف النظام يستغل المهاجمي سب العمل (‪ )Flaws‬الخاصة بالصالحيات لنظام لل (‪ )Registry‬يف الويندوز العادة تنفيذ‬ ‫‪.‬‬ ‫ن‬
‫والت يستخدمها لتشغيل االكواد الضارة من خالل الخدمات‪ .‬ويقوم نظام‬ ‫ر‬ ‫ر‬
‫الت يتحكم بها‪ .‬ن ي‬ ‫للبمجيات ي‬ ‫البمجية األصلية ر‬ ‫التعليمات ر‬ ‫‪Services Registry‬‬
‫ويندوز بحفظ الخدمات المحلية واالعدادات الخاصة بها يف (‪ )HKLM\SYSTEM\CurrentControlSet\Services‬والخدمات‬ ‫‪Permissions‬‬ ‫‪.011 T1574‬‬
‫والت من شأنها ات تقوم‬ ‫ر‬ ‫ن‬ ‫ر‬
‫الت يتم تخزينها يف (‪ )Registry keys‬قد يتم التالعب بها او تعديلها لجعلها تقوم بتنفيذ نالخدمات الضارة ي‬ ‫ي‬ ‫‪Weakness‬‬
‫بتشغيل أدوات او تنفيذ تعليمات برمجية او تشغيل ‪ PowerShell‬او ‪ .Reg‬ويتم التحكم يف الوصول اىل (‪ )Registry keys‬من خالل‬
‫قوائم التحكم ن يف الوصول واالذونات (‪.)Access Control Lists and permissions‬‬
‫ر‬ ‫ر‬ ‫ن‬ ‫ن‬
‫والت تقوم‬
‫البنامج ي‬ ‫والت قد تؤدي اىل اختطاف‪/‬شقة آلية عمل ر‬ ‫قد يستغل المهاجمي المتغبات يف البيئة ل (‪ )COR_PROFILER‬ي‬
‫ر‬ ‫ن‬
‫ه احد الممبات الطار (‪NET.‬‬
‫والت تسمح للمطورين بتحديد‬ ‫‪ )Framework‬ي‬ ‫ن‬ ‫بتحميلها اىل ‪ NET CLR.‬ان (‪ )COR_PROFILER‬ي‬ ‫‪COR_PROFILER‬‬ ‫‪.012 T1574‬‬
‫‪.‬‬ ‫‪.‬‬
‫ملفات التعاريف ‪ DLL/External .NET‬الغب مدارة (‪ )unmanaged‬ليتم تحميلها يف كل عملية من عمليات ‪ NET CLR‬وتم إيجاد‬
‫الت يتم تنفيذها بواسطة ‪.NET CRL.‬‬ ‫ر‬
‫البمجية ي‬ ‫وتصميم ملفات التعريف لمراقبة وتصحيح األخطاء ر‬
‫المهاجمي بزراع نسخة صورية (‪ )Image‬او مستودع (‪ )container‬يحتوي عل تعليمات برمجية ضارة وذلك بهدف البقاء‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫تفعيل نسخة صورية ‪/‬‬
‫االوىل‪ .‬من األمثلة المشهورة ( ‪Amazon Web‬‬ ‫ي‬ ‫داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات بعد عمليات الدخول‬
‫‪Implant Container‬‬ ‫‪T1525‬‬
‫‪ )Google Cloud Platform (GCP) Images, Azure ,)Services (AWS) Amazon Machine Images (AMIs‬وكذلك‬
‫ر‬ ‫ن‬ ‫‪Image‬‬
‫البمجية الضارة‬ ‫البمجيات او التعليمات ر‬ ‫والت قد تستخدم كأبواب خلفية‪ .‬بخالف آلية رفع ر‬ ‫بعض النسخ المستخدمة يف (‪ )Docker‬ي‬
‫‪33‬‬
‫يقوم هنا المهاجم باستخدام أسلوب زراعة النسخة الضارة ن يف البيئة الخاصة بالمستهدف‪ .‬باختالف طريقة عمل البيئة لدى الجهة‬
‫لفبة طويلة من الوقت‪.‬‬ ‫المستهدفة فقد يوفر للمهاجم آلية وصول ر‬
‫للمستخدمي او السماح للوصول لبعض الحسابات بطريقة غب مرغوبة‪ .‬ان‬ ‫ن‬ ‫المهاجمي بتعديل آلية وطريقة عمل المصادقة‬ ‫ن‬ ‫قد يقوم‬
‫عملية المصادقة تتم من خالل آليات متعددة مثل ( ‪Server (LSASS) process and the Local Security Authentication‬‬ ‫تعدي العمليات المضح بها‬
‫‪ ))Security Accounts Manager (SAM‬ن يف نظام الويندوز و (‪ ))pluggable authentication modules (PAM‬ن يف نظام‬ ‫‪Modify /‬‬
‫ً‬ ‫ر‬ ‫ن‬ ‫‪T1556‬‬
‫ه المسؤولة عن تخزين وحفظ بيانات‬ ‫الت ذكرت سابقا ي‬ ‫لينكس و (‪ )authorization plugins‬يف ن نظام ‪ .MacOs‬وجميع التقنيات ي‬ ‫‪Authentication‬‬
‫ن‬ ‫ر‬
‫للمهاجمي من المصادقة عل خدمة او نظام دون الحاجة اىل استخدام‬ ‫والت قد تسمح يف بعض األحوال‬ ‫المصادقة والتحقق منها‪ .‬ي‬ ‫‪Process‬‬
‫حسابات فعالة وصحيحة‪.‬‬
‫تخط وسائل التحقق المتبعة وتمكينه‬ ‫ي‬ ‫بهدف‬ ‫وذلك‬ ‫)‬ ‫‪Domain‬‬ ‫‪Controller‬‬ ‫(‬ ‫عل‬ ‫المصادقة‬ ‫عمليات‬ ‫‪.‬‬‫بتصحيح‬ ‫قد يقوم المهاجم‬ ‫‪Domain Controller‬‬
‫‪.001 T1556‬‬
‫من الوصول اىل الحسابات‪.‬‬ ‫‪Authentication‬‬
‫المهاجمي باستخدام (‪ )Filter DLL Password‬ن يف عمليات المصادقة لتحقق من صحة بيانات االعتماد‬ ‫ن‬ ‫قد يقوم‬ ‫‪Password Filter DLL‬‬ ‫‪.002 T1556‬‬
‫قد يقوم المهاجمي بتعديل (‪ ))authentication modules (PAM pluggable‬للوصول اىل بيانات االعتماد او تفعيل حسابات‬ ‫ن‬
‫‪Pluggable‬‬
‫غب مرغوب فيها‪ .‬ان (‪ ))pluggable authentication modules (PAM‬هو نظام معياري لإلعدادات الخاصة للملفات و‬
‫ر‬ ‫ر‬ ‫‪Authentication‬‬ ‫‪.003 T1556‬‬
‫والت تقوم‬ ‫ه (‪ )pam_unix‬ي‬ ‫والت تقوم بتوجيه آلية المصادقة للعديد نمن الخدمات‪ .‬ومن اشهرها ي‬ ‫المكتبات والملفات التنفيذية ي‬ ‫‪Modules‬‬
‫باسبداد المعلومات الخاصة بمصادقة الحساب وتعينها والتحقق منها يف (‪ )etc/passwd/‬و (‪)etc/shadow/‬‬ ‫ر‬
‫وبالتاىل‬ ‫ن‬
‫قد يقوم المهاجم باالستفادة من التشفب الخاص بكلمات المرور يف أنظمة التشغيل او ما يسم (‪.)Patch System Image‬‬ ‫‪Network Device‬‬
‫ي‬ ‫‪.004 T1556‬‬
‫المهاجمي ن يف تجاوز آليات المصادقة للحسابات المحلية عل أجهزة الشبكة‪.‬‬ ‫ن‬ ‫يستفيد منها‬ ‫‪Authentication‬‬
‫ر‬ ‫ر‬
‫المهاجمي من التطبيقات المساندة مع (‪ )Microsoft Office‬وذلك بهدف البقاء داخل الشبكة المخبقة أطول فبة‬ ‫ن‬ ‫قد يستفيد‬
‫ر‬ ‫ً‬ ‫خدمات االوفيس مع بدء‬
‫ممكنة وخصوصا عند بدء تسجيل الدخول‪ .‬وكما هو معروف ان (‪ )Microsoft Office‬هو برنامج تابع لشكة مايكروسوفت ويعمل‬
‫التشغيل ‪Office /‬‬ ‫‪T1137‬‬
‫أكب الشبكات الخاصة بالمنظمات‪ .‬وهناك طرق متعددة لعملية البقاء داخل الشبكة ن يف ( ‪Microsoft‬‬ ‫عل نظام ويندوز ويعمل عل ر‬
‫ر‬ ‫ر‬ ‫‪Application Startup‬‬
‫والت تشمل مثل وحدات المايكرو ( ‪ )Macros‬او القوالب او بعد اإلضافات اإلضافية‪.‬‬ ‫والت تعمل مع بدء تشعيل التطبيق‪ .‬ي‬ ‫‪ )Office‬ي‬
‫ر‬ ‫ر‬
‫قد يقوم المهاجمي باستغالل القوالب الخاصة ب (‪ )Microsoft Office‬الخباق النظام والبقاء أطول فبة ممكنة‪ .‬ان (‪Microsoft‬‬ ‫ن‬
‫ملفات المايكرو ‪Office /‬‬
‫‪ )Office‬يحتوي عل قوالب متعددة ويتم استخدامها لتخصيص بعض طرق العرض واالنماط‪ .‬ويتم تشغيل القوالب األساسية‬ ‫‪.001 T1137‬‬
‫‪Template Macros‬‬
‫للتطبيق ن يف كل مره تقوم باستخدامه‪.‬‬
‫الخباق النظام والبقاء أطول ر‬
‫فبة‬ ‫المهاجمي باستغالل (‪ )Office Test‬وهو عبارة عن (‪ )Registry key‬وذلك بهدف ر‬ ‫ن‬ ‫قد يقوم‬
‫‪.‬‬ ‫ر‬
‫الت سيتم تنفيذها كل مره عند تشغيل النظام يعتقد ان‬ ‫ممكنة‪ .‬ان (‪ )Office Test‬يسمح للمستخدم بتحديد مكتبة (‪ )DLL‬ي‬ ‫‪Office Test‬‬ ‫‪.002 T1137‬‬
‫(‪ )Registry key‬يستخدم من قبل النظام لتحميل مكتبات ‪ DLL‬لالختبارات وتصحيح األخطاء اثناء تطوير تطبيقات ‪ .Office‬وال يتم‬
‫انشاء (‪ )Registry key‬بشكل تلقا ين اثناء التثبيت‪.‬‬
‫ر‬ ‫ر‬
‫المهاجمي القوالب الخاصة ب (‪ )Microsoft Outlook‬وذلك بهدف الخباق النظام والبقاء أطول فبة ممكنة‪ .‬والمعروف‬ ‫ن‬ ‫قد يستغل‬
‫المهاجمي بعض القوالب بشكل ضار‪ .‬والتر‬ ‫ن‬ ‫يستخدم‬ ‫وقد‬ ‫ون‬ ‫ن‬ ‫ر‬
‫االلكب‬ ‫يد‬‫الب‬ ‫ألرسال‬ ‫يستخدم‬ ‫)‬ ‫‪Microsoft‬‬ ‫‪Outlook‬‬ ‫(‬ ‫ان تطبيق‬ ‫‪Outlook Forms‬‬ ‫‪.003 T1137‬‬
‫ي‬ ‫ي‬ ‫ر‬
‫ون عل سبيل المثال‪.‬‬ ‫االلكب ن‬
‫ر‬ ‫بريد‬ ‫ارسال‬ ‫اثناء‬ ‫وتفعيلها‬ ‫استخدامها‬ ‫يمكن‬
‫ي‬
‫ون (‪)Microsoft Outlook's Home Page‬‬ ‫ن‬ ‫ر‬ ‫ن‬ ‫ر‬ ‫ن‬ ‫ن‬
‫للبيد االلكب ي‬ ‫الت يف الصفحة الرئيسية ر‬ ‫قد يستغل المهاجمي باستغالل الممبات ي‬ ‫الصفحة الرئيسية رلبنامج‬
‫الممبات القديمة‬ ‫ن‬ ‫وه من‬ ‫االعدادات‬ ‫بعض‬ ‫لتخصيص‬ ‫الصفحة‬ ‫هذه‬ ‫وتوجد‬ ‫‪.‬‬ ‫ممكنة‬ ‫ة‬‫فب‬ ‫الخباق النظام والبقاء أطول ر‬ ‫وذلك بهدف ر‬ ‫البيد ‪Outlook /‬‬‫استخدام ر‬ ‫‪.004 T1137‬‬
‫ي‬
‫المتوفرة ن يف برنامج (‪ .)outlook‬ومن امثلتها تخصيص عرض المجلدات وغبها‪ .‬وتسمح هذه المبة بتحميل وعرض عنوان (‪)URL‬‬ ‫‪Home Page‬‬
‫‪34‬‬
‫خارج كلما تم فتح المجلد‪ .‬ويمكن انشاء صفحة ‪ HTML‬ضارة من شأنها تنفيذ تعليمات برمجية عند فتحها بواسطة‬ ‫داخل او ر ي‬ ‫ي‬
‫ون‪.‬‬ ‫االلكب ن‬
‫ر‬ ‫للبيد‬
‫ي‬ ‫الصفحة الرئيسية ر‬
‫فبة‬‫الخباق النظام والبقاء أطول ر‬ ‫ون (‪ )Outlook rules‬وذلك بهدف ر‬ ‫ر ن‬ ‫ن‬
‫بالبيد االلكب ي‬ ‫المهاجمي باستغالل القواعد الخاصة ر‬ ‫قد يستغل‬
‫ون‪ .‬ومن امثلتها نقل بعض‬ ‫ن‬ ‫ر‬
‫االلكب‬ ‫يد‬ ‫بالب‬ ‫التحكم‬ ‫عمليات‬ ‫وأتمته‬ ‫بتخصيص‬ ‫ن‬
‫للمستخدمي‬ ‫تسمح‬ ‫)‬ ‫‪Outlook‬‬ ‫‪rules‬‬ ‫(‬ ‫ممكنة‪ .‬ان‬
‫ر‬
‫ي‬ ‫ن‬ ‫ن‬ ‫ر‬ ‫القواعد ن يف رنامج استخدام‬
‫وه تستخدم يف حال كان هناك بعض الكلمات‬ ‫ون اخر ي‬ ‫تلقان اىل مجلد مخصص او تمريره اىل بريد االلكب ي‬ ‫ي‬ ‫البيدة بشكل‬ ‫العناوين ر‬ ‫‪.005 T1137‬‬
‫ن‬ ‫ن‬ ‫البيد ‪Rules Outlook /‬‬ ‫ر‬
‫للمهاجمي من انشاء قواعد ضارة من خاللها يتم تنفيذ تعليمات‬ ‫البيد المرسل وغبها ‪ ...‬ويمكن‬ ‫البيد او تحديد من ر‬ ‫المحددة يف ر‬
‫ون للمستهدف‪.‬‬ ‫ن‬ ‫ر‬
‫برمجية ضارة عندما يقوم المهاجم بإرسال بريد اإللكب ي‬
‫ر‬
‫المهاجمي باستغالل بعض الوظائف اإلضافية الخاصة ب (‪ )Microsoft Office‬وذلك بهدف الخباق النظام والبقاء أطول‬ ‫ن‬ ‫قد يقوم‬
‫الت من الممكن استخدامها عل منتجات مايكروسوفت مثل (‪ )Word/Excel‬ومكتباتها‬ ‫فبة ممكنة‪ .‬وهناك العديد من اإلضافات ر‬ ‫ر‬
‫ي‬ ‫االضافات ‪Add-ins‬‬ ‫‪.006 T1137‬‬
‫الت تسم (‪ ،)WLL/XLL‬و إضافات (‪ )VBA‬و إضافة (‪ )Office Component Object Model (COM‬وبعض اإلضافات الخاصة‬ ‫ر‬
‫ي‬
‫ون كذلك‪.‬‬ ‫ن‬ ‫ر‬
‫البيد االلكب ي‬ ‫باالتمته‪ ،‬ومحرر الخاص ب (‪ .)VBE‬و (‪ ))Visual Studio Tools for Office (VSTO‬واضافات ر‬
‫فبة ممكنة ن يف النظام وتعرف هذه األنظمة‬
‫‪.‬‬ ‫المهاجمي باستغالل آليات اإلقالع الخاصة بالنظام كطريقة للبقاء أطول ر‬ ‫ن‬ ‫قد يقوم‬ ‫نظام اقالع جاهز ‪Pre-OS /‬‬
‫‪T1542‬‬
‫باألنظمة األساسية قبل عملية اقالع نظام التشغيل‪.‬‬ ‫‪Boot‬‬
‫فبة ممكنة‪ .‬ان ( ‪BIOS‬‬ ‫الخباق النظام والبقاء أطول ر‬ ‫المهاجمي بتعديل ما يسم ب (‪ )firmware system‬وذلك بهدف ر‬ ‫ن‬ ‫قد يقوم‬
‫‪ )Input/Output System Basic‬و ( ‪ ))Unified Extensible Firmware Interface (UEFI‬او ( ‪Extensible Firmware‬‬ ‫‪System Firmware‬‬ ‫‪.001 T1542‬‬
‫بي نظام التشغيل والعتاد الخاص بالجهاز‪.‬‬ ‫‪ ))Interface (EFI‬جميعهم ه أنظمة تشغيله ثابته من نوع (‪ )firmware‬وه تعمل ما ن‬
‫ي‬ ‫ي‬
‫ر‬
‫الخباق النظام والبقاء أطول فبة ممكنة‪ .‬وقد‬ ‫المهاجمي بتعديل ما يسم ب (‪ )component firmware‬وذلك بهدف ر‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ر‬ ‫ن‬ ‫ً‬ ‫ن‬
‫والت تؤدي اىل تثبيت‬ ‫ي‬ ‫اق‬
‫االخب‬ ‫ف‬ ‫ي‬ ‫المتقدمة‬ ‫العمليات‬ ‫هذه‬ ‫مثل‬ ‫لتنفيذ‬ ‫جدا‬ ‫ومتقدمة‬ ‫معقده‬ ‫طرق‬ ‫المهاجمي‬ ‫بعض‬ ‫يستخدم‬
‫البمجية الضارة عل نظام التشغيل او النظام الخاص ب (‪ .)BISO‬ان هذه‬ ‫(‪ )component firmware‬ضار يقوم يتنفيذ تعليمات ر‬ ‫‪Component Firmware‬‬ ‫‪.002 T1542‬‬
‫الت ال تمتلك مستوى قدرات فن‬ ‫يي تنفيذها عل بعض المكونات واالجهزة ر‬ ‫األساليب تتشابه مع (‪ )System Firmware‬ولكن ر ن‬
‫ي‬ ‫ي‬
‫فحص مستوى سالمتها‬
‫‪.‬‬ ‫ر‬
‫المهاجمي باستغالل ما يسم ب (‪ )bootkits‬وذلك بهدف البقاء أطول فبة ممكنة ويتم استخدام (‪ )bootkits‬كطبقة أسفل‬ ‫ن‬ ‫قد يقوم‬ ‫برمجية ضارة مع اقالع‬
‫‪.003 T1542‬‬
‫نظام التشغيل‪ .‬ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه‪.‬‬ ‫النظام ‪Bootkit /‬‬
‫المهاجمي باستغالل ما يسم ب (‪ ))Monitor (ROMMON ROM‬وذلك من خالل تحميل أنظمة (‪ )firmware‬ضار وذلك‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫‪ROMMONkit‬‬ ‫‪.004 T1542‬‬
‫بهدف البقاء أطول فبة ممكنة‪ .‬ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه‪.‬‬
‫المهاجمي باستغالل (‪ )netbooting‬لتحميل نظام تشغيل غب مضح به من خادم نقل الملفات بواسطة بروتوكول‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫(‪ )TFTP‬يتم استخدام (‪ ))TFTP boot (netbooting‬بشكل شائع بي مدراء الشبكات لتحميل االعدادات الخاصة بأجهزة الشبكات‬ ‫‪.‬‬
‫‪TFTP Boot‬‬ ‫‪.005 T1542‬‬
‫والنسخ الصورية (‪ )Image‬من خادم مركزي او مستودع‪ .‬ان (‪ )netbooting‬هو واحد من الخيارات المسموح بها لإلقالع الخاص‬
‫بالنظام ويمكن استخدامه لتحكم واإلدارة وكذلك مركز لحفظ النسخ الصورية (‪.)Images‬‬
‫المهاجمي باستغالل وظائف الجدولة او ما يسم ب (‪ )Scheduled Task/Job‬وذلك بهدف تنفيذ تعليمات برمجية ضارة‬ ‫ن‬ ‫قد يقوم‬
‫المخبق‪ .‬ان (‪ )Scheduled Task/Job‬ه أداة متوفرة فن‬ ‫ر‬ ‫النظام‬ ‫داخل‬ ‫ممكنه‬ ‫ة‬‫فب‬‫ر‬ ‫أطول‬ ‫البقاء‬ ‫او‬ ‫االوىل‬ ‫الوصول‬ ‫ن‬
‫تأمي‬ ‫شأنها‬ ‫من‬
‫ي‬ ‫ي‬ ‫ي‬ ‫‪Scheduled Task/Job‬‬ ‫‪T1053‬‬
‫البمجيات السكربتات عند تاري خ او وقت محدد‪ .‬وتستطيع كذلك الجدولة عن بعد‬ ‫ر‬ ‫تشغيل‬ ‫جدولة‬ ‫بهدف‬ ‫وذلك‬ ‫التشغيل‬ ‫أنظمة‬ ‫اكب‬‫ر‬
‫ن يف حال توفرت لديك الصالحيات المناسبة عل سبيل المثال للجدولة عن بعد ((‪and file and printer sharing in ex: RPC‬‬
‫‪35‬‬
‫‪ .))Windows environments‬وعل االغلب ان جدولة االعمال عن بعد تستلزم وجود المستخدم ن يف مجموعة مدراء النظام او ان‬
‫يكون لدى المستخدم بعض الصالحيات العالية عل النظام البعيد‪.‬‬
‫المهاجمي باستغالل أداة جدولة االعمال ن يف نظام لينكس وتسم (‪ )at‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ان االمر (‪ )at‬يتم استخدامه فقط من قبل مدراء النظام‬ ‫ر‬ ‫الوصول‬ ‫ن‬
‫تأمي‬ ‫بيئة لينكس ‪)At (Linux /‬‬ ‫‪.001 T1053‬‬
‫ي‬
‫لجدولة االعمال كما تم ذكره‪.‬‬
‫المهاجمي باستغالل أداة جدولة االعمال ن يف نظام ويندوز وتسم (‪ )at.exe‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من‬ ‫ن‬ ‫قد يقوم‬
‫كبمجية تنفيذية هدفها‬ ‫‪.‬‬ ‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق ان االمر (‪ )at.exe‬متوفر ر‬‫ر‬ ‫شأنها تأمي الوصول‬ ‫ن‬ ‫بيئة ويندوز ‪At /‬‬
‫ي‬ ‫‪.002 T1053‬‬
‫لك تعمل ن يف وقت او تاري خ محدد‪ .‬ويتطلب استخدام (‪ )at.exe‬تفعيل خدمة (‪.)Scheduler Task‬‬ ‫ي‬ ‫ويندوز‬ ‫لنظام‬ ‫جدولة االعمال‬ ‫‪)(Windows‬‬
‫الت ن يف مجموعة مدراء النظام‪.‬‬ ‫ي‬
‫وان يتم استخدام احد الحسابات ر‬
‫ن‬
‫تأمي‬ ‫المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )cron‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬ ‫قد يقوم‬
‫وه موجهه لنظام‬ ‫لها‬ ‫المحدد‬ ‫الوقت‬ ‫حسب‬ ‫تعمل‬ ‫)‬ ‫‪cron‬‬ ‫(‬ ‫االمر‬ ‫ان‬ ‫‪.‬‬ ‫ق‬ ‫ر‬
‫المخب‬ ‫النظام‬ ‫داخل‬ ‫ممكنه‬ ‫ة‬ ‫ر‬
‫فب‬ ‫أطول‬ ‫البقاء‬ ‫او‬ ‫االوىل‬ ‫الوصول‬
‫ي‬ ‫ي‬ ‫‪Cron‬‬ ‫‪.003 T1053‬‬
‫(‪ .)Unix‬وتحتوي (‪ )crontab‬عل جدول االدخاالت الخاصة ب (‪ )cron‬واالوقات المراد تشغيلها به والمسارات المطلوب تفعيلها او‬
‫الملفات التنفيذية‪.‬‬
‫المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )Launchd daemon‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ر‬ ‫ن‬
‫وه‬‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ان االمر (‪ )Launchd‬موجهه لنظام (‪ .)macOS‬ي‬ ‫ي‬ ‫شأنها تأمي الوصول‬
‫مسؤولة عن تحميل واداة الخدمات الخاصة بنظام التشغيل‪ .‬ان عملية تحميل (‪ )parameters‬لكل عملية تشغيل لل (‪)Launchd‬‬
‫‪Launchd‬‬ ‫‪.004 T1053‬‬
‫خف ويتم قراءتها من قائمة مخصصة او ما تسم ب (‪ )plist‬و المتواجدة ن يف (‪System/Library/LaunchDaemons /‬‬ ‫ن‬
‫تتم بشكل ي‬
‫‪ .)and /Library/LaunchDaemons‬وتحتوي (‪ )LaunchDaemons‬عل قائمة يتم اإلشارة لكل ملف تنفيذي والمسار الخاص‬
‫به الذي سيتم تنفيذ ا رلبمجية منه‪.‬‬
‫المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )Windows Task Scheduler‬وذلك بهدف تنفيذ تعليمات برمجية‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬توجد طرق متعددة للوصول اىل ( ‪Windows‬‬ ‫ر‬ ‫الوصول‬ ‫ن‬
‫تأمي‬ ‫شأنها‬ ‫من‬ ‫ضارة‬
‫ي‬ ‫جدولة المهام ‪Scheduled‬‬
‫مباش من سطر االوامر او من خالل الواجهة الرسومية الخاصة‬ ‫‪ )Task Scheduler‬نف نظام ويندوز‪ .‬تستطيع الوصول لها بشكل ر‬ ‫‪.005 T1053‬‬
‫المهاجمي بتفعيلها من خالل (‪ )NET wrapper.‬وقد يتم‬ ‫ن‬ ‫وف بعض األحيان قد يقوم‬ ‫بأدوات مدراء النظام يمن لوحة التحكم‪ .‬ن‬ ‫‪Task‬‬
‫ي‬
‫استخدام (‪ )netapi32‬ن يف المكتبات الخاصة بنظام ويندوز‪.‬‬
‫المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )systemd timers‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬ ‫قد يقوم‬
‫ه عبارة عن ملفات بامتدادات‬ ‫)‬ ‫‪systemd‬‬ ‫‪timers‬‬ ‫(‬ ‫أداة‬ ‫‪.‬‬ ‫ق‬ ‫ر‬
‫فب‬ ‫أطول‬ ‫البقاء‬ ‫او‬ ‫االوىل‬ ‫الوصول‬ ‫ن‬
‫تأمي‬
‫ي‬ ‫ي‬ ‫‪Systemd Timers‬‬ ‫‪.006 T1053‬‬
‫ر‬
‫والت يتم التحكم بالخدمات من خاللها و (‪ )systemd timers‬قد يتم استخدامه لتنفيذ االحداث الخاصة‬ ‫يرمز لها ب (‪ )timer.‬ي‬
‫بالتقويم‪ .‬ويمكن استخدامها كبديل ل (‪ )Cron‬ن يف نظام لينكس‪.‬‬
‫الت توفرها المستودعات مثل (‪)Kubernetes‬‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )task scheduling‬ي‬
‫ر‬ ‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬وتقوم‬ ‫تأمي الوصول‬ ‫ن‬ ‫وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬
‫ي‬ ‫‪Container‬‬
‫وه تشبه اىل حد كبب (‪ )cron‬لنظام‬ ‫تلقان لتنفيذه بوقت وتاري خ محدد‪ ،‬ي‬ ‫ي‬ ‫تلك المستودعات بتنفيذ وجدولة االعمال والمهام بشكل‬ ‫‪.007‬‬
‫‪Orchestration Job‬‬
‫البمجية‬‫لينكس‪ .‬وقد يتم استخدام هذا األسلوب لالستيالء عل المستودعات المتصلة مع المستودع الذي تم تنفيذ التعليمات ر‬
‫الضارة مع مرور الوقت‪.‬‬
‫‪36‬‬
‫ن‬
‫تأمي‬ ‫الممبات القابلة للتطوير ن يف الخوادم وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬ ‫ن‬
‫المهاجمي باستخدام‬ ‫قد يقوم‬
‫‪.‬‬ ‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق وقد تتضمن التطبيقات من نوع ( ‪Enterprise server‬‬ ‫ر‬ ‫الوصول‬ ‫‪Server Software‬‬
‫ي‬ ‫‪T1505‬‬
‫لتحسي قدرات التطبيق الحالية‪ .‬مما قد‬ ‫ن‬ ‫البمجيات او السكربتات‬ ‫ممبات تمكن المطورين من كتابة وتثبيت ر‬ ‫‪ )applications‬عل ن‬ ‫‪Component‬‬
‫البمجيات الضارة من خالل استغالل التحسينات المستخدمة ن يف تطبيقات الخوادم‪.‬‬ ‫المهاجمي من تثبيت وتنفيذ التعليمات او ر‬ ‫ن‬ ‫نمكن‬
‫االوىل او‬ ‫ن‬
‫قد يقوم المهاجمي باستغالل إجراءات تخزين (‪ )SQL‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي الوصول‬ ‫ن‬
‫ي‬ ‫ر‬ ‫ر‬
‫ه تعليمة برمجية يمكن حفظها وإعادة‬ ‫البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ان (‪ )SQL Stored Procedures‬ي‬ ‫‪SQL Stored‬‬
‫المستخدمي لقاعدة البيانات من إعادة كتابة استعالمات (‪ .)SQL‬وحيث تم تفعيل (‪SQL Stored‬‬ ‫ن‬ ‫استخدامها لكيال يقوم‬ ‫‪.001 T1505‬‬
‫‪Procedures‬‬
‫‪ )Procedures‬من خالل استعالم (‪ )SQL‬اىل قاعدة البيانات باستخدام التعاريف الخاصة بها عل سبيل المثال (تشغيل او إعادة‬
‫تشغيل خادم ‪)SQL‬‬
‫ن‬
‫المهاجمي باستغالل (‪ )transport agents Microsoft‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء‬ ‫ن‬ ‫قد يقوم‬
‫ون حيث يتم تمريره‬ ‫ن‬ ‫ر‬
‫االلكب‬ ‫يد‬‫الب‬ ‫بواسطة‬ ‫العمل‬ ‫)‬ ‫‪Microsoft‬‬ ‫‪transport‬‬ ‫‪agents‬‬ ‫(‬ ‫ان‬ ‫‪.‬‬ ‫ق‬ ‫ر‬
‫المخب‬ ‫النظام‬ ‫داخل‬ ‫ممكنه‬ ‫ة‬‫فب‬ ‫أطول ر‬
‫ي‬ ‫ر‬
‫البيد الضارة او إضافة التواقيع الرقمية اىل نهاية جميع الرسائل الخاصة‬ ‫البيد المزعج‪ ،‬تصفية ر‬ ‫بواسطة بعض المهام مثل تصفية ر‬
‫ر ن‬ ‫‪Transport Agent‬‬ ‫‪.002 T1505‬‬
‫ون الصادرة‪ .‬ويمكن كتابة (‪ )Microsoft transport agents‬بواسطة المطورين ومن ثم عمل (‪ )complied‬بواسطة‬ ‫بالبيد االلكب ي‬ ‫ر‬
‫ون والتم‬ ‫ن‬ ‫ر‬
‫االلكب‬ ‫يد‬
‫الب‬ ‫ارسال‬ ‫عملية‬ ‫ف‬ ‫ن‬ ‫المحددة‬ ‫احل‬ ‫ر‬ ‫الم‬ ‫احد‬ ‫خالل‬ ‫)‬ ‫‪transport‬‬ ‫‪agents‬‬ ‫‪Microsoft‬‬ ‫(‬ ‫استدعاء‬ ‫وسيتم‬ ‫‪.‬‬ ‫)‬‫‪NET‬‬ ‫(‪.‬‬
‫ي‬ ‫ر‬ ‫ي‬
‫تم تحديدها من قبل المطورين‪.‬‬
‫ن‬
‫تأمي‬ ‫المهاجمي بإعداد األبواب الخلفية (‪ )WebShells‬ن يف خوادم الويب بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬ ‫قد يقوم‬
‫ه سكربتات يتم رفعها عل خوادم الويب حيث تسمح للمهاجم‬ ‫)‬ ‫‪WebShells‬‬ ‫(‬ ‫ان‬ ‫‪.‬‬ ‫ق‬ ‫ر‬
‫المخب‬ ‫النظام‬ ‫داخل‬ ‫ممكنه‬ ‫ة‬ ‫فب‬ ‫البقاء أطول ر‬
‫ي‬ ‫ابواب خلفية ‪Web Shell‬‬ ‫‪.003 T1505‬‬
‫بالوصول لخوادم الويب‪ .‬وقد يتم إضافة بعض الخواص المتقدمة لل (‪ )WebShells‬لتنفيذ سطر األوامر (‪ )Command line‬داخل‬
‫النظام‪.‬‬
‫والت تستخدم‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي باستخدام ( ‪ )signaling traffic‬بهدف إخفاء المنافذ المفتوحة او إخفاء بعض الوظائف الضارة ي‬
‫المخبق‪ .‬وتستخدم ن يف بعض األحيان من‬ ‫ر‬ ‫فبة ممكنه داخل النظام‬ ‫تأمي البقاء أطول ر‬‫ن‬ ‫بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬
‫والت تستخدم ما يسم ب (‪ magic value‬او تسلسل محدد) والذي يتم ارساله لتحفبن‬ ‫ر‬
‫خالل سطر األوامر (‪ )line Command‬ي‬
‫استجابة معينة‪ .‬مثل فتح او اغالق أحد المنافذ او تنفيذ بعض المهام الضارة وقد يقوم المهاجم بإرسال مجموعة من الحزم قبل‬
‫‪.‬‬
‫ر‬ ‫‪Traffic Signaling‬‬ ‫‪T1205‬‬
‫والت ستمكنه من التحكم والسيطرة عل النظام المصاب‪ .‬وعادة ما تكون هذه السلسلة من‬ ‫اجراء أي عملية من فتح ًاو اغالق المنافذ ي‬
‫تضمي بعض التعليمات الفريدة من نوعها بعد اكمال عملية ارسال‬ ‫ن‬ ‫الحرم يتم تحديدها مسبقا مثل (‪ .)Port Knocking‬ولكن قم يتم‬
‫الحزم مما يقوم بفتح المنفذ او أغالقه ن يف جدار الحماية الخاص بالمستضيف او ما يسم ب (‪ )host-based firewall‬او من خالل‬
‫تشغيل برمجية مخصصة لذلك‪.‬‬
‫والت تستخدم‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي باستخدام (‪ )port knocking‬بهدف إخفاء المنافذ المفتوحة او إخفاء بعض الوظائف الضارة ي‬
‫ولك يتم تفعيل‪/‬اغالق المنافذ‬ ‫ر‬ ‫ر‬ ‫ن‬
‫بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء أطول ًفبة ممكنه داخل النظام المخبق‪ .‬ي‬ ‫‪Port Knocking‬‬ ‫‪.001 T1205‬‬
‫والت من شأنها‬ ‫البمجيات ر‬ ‫بعض‬ ‫الت تم تعريفها سابقا‪ .‬او يستطيع المهاجم استخدام‬ ‫ر‬
‫ي‬ ‫ر‬ ‫يقوم المهاجم بإرسال سلسلة نمن المحاوالت ي‬
‫القيام بفتح المنافذ او اغالقها يف جدار الحماية الخاص بالمستضيف او ما يسم ب (‪)host-based firewall‬‬
‫فبة ممكنه داخل النظام‬ ‫قد يقوم المهاجم باستغالل بيانات االعتماد للحسابات الفعالة وذلك بهدف الوصول االوىل او البقاء أطول ر‬
‫ي‬ ‫حساب فعال ‪Valid /‬‬
‫لتخط عناض التحكم بالوصول‬ ‫المخبقة قد يستخدم‬ ‫ر‬ ‫المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان بيانات االعتماد‬ ‫ر‬ ‫‪T1078‬‬
‫ي‬ ‫‪Accounts‬‬
‫الت تم تطبيقها عل األنظمة والموارد الخاصة بالشبكة‪ .‬وقد يتم استخدام هذه الحسابات للوصول لألنظمة‬ ‫ر‬
‫(‪ )access controls‬ي‬
‫‪37‬‬
‫ون او سطح المكتب البعيد من خالل المتصفح‪ .‬وقد يتم استخدام بيانات االعتماد‬ ‫ر ن‬
‫البيد االلكب ي‬ ‫عن بعد او الخدمات مثل ‪ VPN‬او ر‬
‫‪.‬‬
‫المخبقة لتصعيد الصالحيات ألنظمة محدد او الوصول اىل منطقة حساسة داخل الشبكة المستهدفة وقد يقوم المهاجم بتنفيذ‬ ‫ر‬
‫والت قد تؤدي اىل اكتشافه‪.‬‬ ‫ر‬ ‫ر‬
‫البمجيات الضارة ي‬ ‫المخبقة دون الحاجة اىل تبيث بعض ر‬ ‫عملياته الضارة ببيانات االعتماد‬
‫ر‬
‫االوىل او البقاء أطول فبة‬ ‫الوصول‬ ‫من‬ ‫تمكنه‬ ‫والت‬ ‫ن‬ ‫ر‬
‫قد يقوم المهاجم بالحصول عل بيانات االعتماد للحسابات االفباضية ف النظام ر‬
‫ي‬ ‫ي‬ ‫ي‬
‫الت يتم انشاءها بشكل‬ ‫االفباضية ه ر‬ ‫المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان الحسابات ر‬ ‫ر‬ ‫ممكنه داخل النظام‬
‫ي ي‬ ‫اض ‪Default /‬‬‫ر ن‬
‫تأن كذلك من األنظمة‬ ‫ر‬ ‫قد‬ ‫اضية‬ ‫ر‬
‫االفب‬ ‫الحسابات‬ ‫‪.‬‬
‫ز‬ ‫ويندو‬ ‫نظام‬ ‫ف‬ ‫ن‬ ‫)‬ ‫‪Administrator‬‬ ‫او‬ ‫‪Guest‬‬ ‫(‬ ‫حساب‬ ‫مثل‬ ‫األنظمة‬ ‫اض داخل‬ ‫ر ن‬ ‫حساب افب ي‬
‫ي‬ ‫ي‬ ‫افب ي‬ ‫‪Accounts‬‬
‫‪.001 T1078‬‬
‫والت قد تكون حساب مدير للنظام‪ .‬ان حساب مدير النظام الخاص بخدمات (‪)AWS‬‬ ‫ر‬ ‫الخاصة ببعض العتاد من ر‬
‫الشكة المصنعة‪ .‬ي‬ ‫ن‬
‫اض يف (‪)Kubernetes‬‬ ‫ر ن‬
‫وحساب الخدمات االفب ي‬
‫االوىل او البقاء‬ ‫والت تمكنه من الوصول‬ ‫ر‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بمدراء النطاق (‪ )domain account‬ي‬
‫ر‬ ‫ر‬ ‫ر‬
‫والت يتم التحكم‬‫أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان حسابات مدراء النطاق ي‬ ‫حساب مدير النظام ‪/‬‬
‫‪.002 T1078‬‬
‫والت من خاللها يتم إعطاء الصالحيات و التكوين لخدمات للنظام‪ .‬ومن‬ ‫ر‬
‫بها من قبل (‪ )Service Active Directory Domain‬ي‬ ‫‪Domain Accounts‬‬
‫ن‬
‫مستخدمي او خدمات‪.‬‬ ‫الممكن ان تكون حسابات مدراء‪ .‬النظام عبارة عن حسابات‬
‫االوىل او‬ ‫والت تمكنه من الوصول‬ ‫ر‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات المحلية (‪ )local account‬ي‬ ‫محل ‪Local /‬‬ ‫حساب‬
‫فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬الحسابات المحلية يتم اعدادها من‬ ‫ر‬ ‫البقاء أطول ر‬ ‫ي‬ ‫‪.003 T1078‬‬
‫قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة و ادارتها‪.‬‬
‫والت تمكنه من‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات عل الخدمات السحابية (‪ )cloud account‬ي‬
‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬حسابات الخدمات‬ ‫ر‬ ‫الوصول‬
‫ي‬ ‫حساب الخدمات السحابية‬
‫السحابية قد يتم انشاءها واعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات‬ ‫‪.004 T1078‬‬
‫‪Cloud Accounts /‬‬
‫الوصول لألنظمة وادارتها او التطبيقات‪ .‬قد يتم توحيد الحسابات الخاصة بالخدمات السحابية مع الحسابات ن يف النطاقات‬
‫(‪)Window Active Directory‬‬
‫‪38‬‬
‫تصعيد الصالحيات ‪Privilege Escalation /‬‬
‫اخباق النظام او الشبكة‪ ،‬حيث ان‬ ‫المهاجمي باستخدام أساليب متعددة للحصول عل صالحيات اعل عند ر‬
‫ن‬ ‫تصعيد الصالحيات‪ :‬يقوم‬
‫المهاجم بعد عملية الوصول األول واكتشاف الشبكة واالطالع عليها قد يواجه صعوبة ن يف الوصول لبعض األنظمة او الخدمات بسبب‬
‫يستدع اىل رفع الصالحيات لهذا الحساب من خالل استغالل اما ثغرات ن يف النظام‬
‫ي‬
‫الت قام ر‬
‫باخباقها مما‬ ‫ر‬
‫محدودية الصالحيات واالذونات ي‬
‫او اعدادات خاطئة او ثغرات برمجية‬
‫‪39‬‬
‫الفرع‬
‫قد يقوم المهاجم بالتالعب واستغالل آليات التحكم ن يف رفع الصالحيات للحصول عل صالحيات او أذونات اعل‪ .‬وتحتوي معظم أنظمة‬ ‫اساءة استخدام ن‬
‫مبة رفع‬
‫والت تهدف اىل رفع او التحكم ن يف الصالحيات لحساب او خدمة محددة من اجل أداء‬ ‫ر‬ ‫ن‬
‫التشغيل الحديثة عل آلية لتحكم يف الصالحيات ن ي‬
‫ن‬ ‫ر‬ ‫الصالحيات ‪Abuse /‬‬
‫المستخدمي للقيام بمهام حساسة‬ ‫والت تكون يف معظم االحول من إعطاء صالحيات لبعض‬ ‫المهام المطلوب تنفيذها عل النظام‪ .‬ي‬ ‫‪Elevation Control‬‬
‫‪T1548‬‬
‫وحرجة تتطلب صالحيات عالية‪ .‬وقد يقوم المهاجم بطرق مشابه لالستفادة من طرق رفع الصالحيات المتوفرة مع النظام من اجل رفع‬
‫‪Mechanism‬‬
‫الصالحيات الخاصة به‪.‬‬
‫المهاجمي باستخدام ما يسم ب (‪ )shell escapes‬او استغالل الثغرات ن يف التطبيقات مع ما يطلق عليه (‪ )setsuid‬او ( ‪setgid‬‬ ‫ن‬ ‫قد يقوم‬
‫تعي‬ ‫ن‬
‫مستخدمي اخرين‪ .‬ان ف نظام (لينكس او ماك او اس)‪ .‬عندما يتم ن‬ ‫ن‬ ‫حسابات‬ ‫ف‬ ‫ن‬ ‫يعمل‬ ‫ضار‬ ‫كود‬ ‫عل‬ ‫الحصول‬ ‫بهدف‬ ‫وذلك‬ ‫‪)bits‬‬
‫ي‬ ‫ي‬
‫(‪ setuid‬او ‪ )setgid bits‬الحد التطبيقات‪ ،‬سيعمل التطبيق بامتيازات المستخدم او المجموعة المستهدفة‪ .‬والحالة الطبيعية عند أي‬
‫‪Setuid and Setgid‬‬ ‫‪.001 T1548‬‬
‫الحاىل‪ .‬بغض النظر عن المستخدم المالك للتطبيق او المجموعة‪ .‬ومع ذلك هناك‬ ‫ي‬ ‫تشغيل التطبيق يتم تنفيذه بصالحيات المستخدم‬
‫حت وان كان المستخدم ال يمتلك تلك‬ ‫الت تحتاج اىل صالحيات عالية ر‬ ‫ر‬
‫حاالت تحتاج بعض التطبيقات فيها اىل تنفيذ بعض الوظائف ي‬
‫الصالحيات‪.‬‬
‫بتخط آليات التحكم ن يف حساب المستخدم وذلك بهدف رفع الصالحيات عل النظام‪ .‬نظام ويندوز يمتلك ما يسم‬ ‫ي‬
‫ن‬
‫المهاجمي‬ ‫قد يقوم‬
‫ر‬ ‫تخط صالحيات التحكم‬ ‫ي‬
‫والت تقوم بتتبع سالمة عمليات التصعيد من‬ ‫ي‬ ‫وه تسمح برفع الصالحيات‬ ‫ي‬ ‫ب (‪))Windows User Account Control (UAC‬‬
‫ر‬ ‫ر‬ ‫بالحسابات ‪Bypass /‬‬
‫عل شكل (تبويب)‬‫تأن ي‬
‫والت ي‬ ‫الصالحيات األقل اىل األعل‪ .‬وعادة ما يتم تنفيذ وتعديل والوصول تلك المهمة بصالحيات مدير النظام ي‬ ‫‪User Account‬‬
‫‪.002 T1548‬‬
‫المستخدمي ان هذه المهمة تتطلب صالحيات عالية وقد تقوم بالتأثب عل النظام‬ ‫ن‬ ‫للمستخدم لتأكيد عل العملية‪ ،‬وذلك بهدف تنبيه‬
‫ن‬ ‫‪Control‬‬
‫المحل ( ‪ Local‬او ‪ )domain‬ادخال كلمة المرور إلكمال اإلجراءات‪.‬‬ ‫ي‬ ‫وقد تتطلب يف بعض األحيان من مدراء النظام‬
‫ر‬ ‫ن‬
‫قد يقوم المهاجم بتنفيذ (‪ )and/or use the suoders sudo caching‬لرفع الصاحيات‪ .‬قد يقوم المهاجمي بتنفيذ بعض األوامر ي‬
‫الت‬ ‫‪Sudo and Sudo‬‬
‫‪.003 T1548‬‬
‫لمستخدمي اخرين واالستفادة منها للحصول عل صالحيات اعل‪.‬‬ ‫ن‬ ‫من شأنها استدعاء بعض العمليات التابعة‬ ‫‪Caching‬‬
‫المهاجمي من استخدام ( ‪ )AuthorizationExecuteWithPrivileges API‬لرفع الصالحيات من خالل استخدام الطلب من‬ ‫ن‬ ‫قد يقوم‬
‫المستخدمي بيانات االعتماد الخاصة بهم‪ .‬ان الهدف من استخدام (‪ ) API‬هو إعطاء المطورين للتطبيقات طريقة سهله الجراء العمليات‬ ‫ن‬ ‫‪Elevated Execution‬‬
‫ً‬ ‫‪.004 T1548‬‬
‫بصالحيات عالية جدا‪ ،‬عل سبيل المثال تثبيت تطبيق او تحديث‪ .‬حيث ان (‪ )API‬ال تقوم بالتحقق من التطبيق الذى يطلب تلك‬ ‫‪with Prompt‬‬
‫الصالحيات هل هو تطبيق ضار او غب ضار او تم تعديله‪.‬‬
‫تخط‬ ‫المهاجمي بتعديل (‪ )tokens‬للقيام بتنفيذ عمليات بحساب مستخدم اخر او حساب النظام (‪ )SYSTEM‬وذلك بهدف‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫التالعب بالتوكن ‪/‬‬
‫الت قيد التشغيل‪ .‬ويمكن للمستخدم من التالعب ب (‪)tokens‬‬ ‫ر‬ ‫العمليات‬ ‫ملكية‬ ‫لتحديد‬ ‫)‬ ‫‪tokens‬‬ ‫(‬ ‫ويندوز‬ ‫نظام‬ ‫يستخدم‬ ‫‪.‬‬ ‫التحكم‬ ‫آليات‬
‫ي‬ ‫‪Access Token‬‬ ‫‪T1134‬‬
‫الت قيد التشغيل كما انها لو كانت تابعة لمستخدم اخر او تابعة لعملية أخرى (‪ .)process child of a different‬وعند‬ ‫ر‬
‫لتظهر العملية ي‬ ‫‪Manipulation‬‬
‫القيام بذلك تأخذ هذه العملية سياق األمان المرتبطة ب (‪ )tokens‬الجديد الذي تم ربطه به‪.‬‬
‫تخط آليات التحكم‪.‬‬ ‫المهاجمي بانتحال او بتكرار (‪ )token‬الخاص بمستخدم أخرى وذلك بهدف رفع الصالحيات او‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫المهاجمي يستطيعون انشاء وتكرار (‪ )token‬الموجود باستخدام (‪ .))DuplicateToken(Ex‬ويمكن بعد ذلك استخدام(‪ )token‬المكرر‬ ‫ن‬ ‫‪Token‬‬
‫ن‬ ‫ر‬ ‫‪.001 T1134‬‬
‫والت تسمح باستدعاء (‪ )thread‬معي وانتحال صفة مستخدم مسجل دخوله اىل‬ ‫‪ Impersonation/Theft‬لعملية تسم ب (‪ )ImpersonateLoggedOnUser‬ي‬
‫النظام‪ .‬او استخدام (‪ )SetThreadToken‬لتعينه وربطه ب (‪ )thread‬مخصص‪.‬‬
‫‪40‬‬
‫ن‬
‫للمهاجمي من تكرار‬ ‫تخط آليات التحكم‪ .‬يمكن‬ ‫ن‬
‫المهاجمي بإنشاء عملية جديدة او تكرار (‪ )token‬بهدف رفع الصالحيات او‬ ‫قد يقوم‬
‫ي‬ ‫‪Create Process with‬‬
‫(‪ )token‬باستخدام (‪ DuplicateToken(Ex‬و يستخدمها مع ‪ CreateProcessWithTokenW‬بهدف انشاء عملية جديدة تحت‬ ‫‪.002 T1134‬‬
‫ن‬ ‫ً‬ ‫‪Token‬‬
‫مستخدمي اخرين‪.‬‬ ‫المستخدم المنتحل‪ .‬هذه الطريقة مفيدة جدا إلنشاء العمليات تحت حسابات‬
‫تخط آليات التحكم‪ .‬ن يف حال كان لدى المهاجم اسم مستخدم‬ ‫ي‬
‫ن‬
‫المهاجمي بإنشاء او انتحال (‪ )tokens‬بهدف رفع الصالحيات او‬ ‫قد يقوم‬
‫وكلمة مرور ولكن المستخدم لم يقم بتسجيل الدخول للنظام‪ ،‬فيمكن للمهاجم من انشاء جلسة (‪ )Session‬للمستخدم باستخدام وظيفة‬ ‫‪Make and‬‬
‫‪.003 T1134‬‬
‫(‪ .)LogonUser‬هذه الوظيفة ستقوم باستعادة نسخة من رمز (‪ )tokens‬الخاصة بالجلسة ويقوم المهاجم بعد ذلك باستخدام‬ ‫‪Impersonate Token‬‬
‫(‪ )SetThreadToken‬لربط (‪ )tokens‬ب (‪ )thread‬مخصص‪.‬‬
‫التخف من عملية‬‫ن‬ ‫المهاجمي بانتحال (‪ ))identifier (PPID parent process‬لعملية جديدة (‪ )New process‬بهدف‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫مباشه من بواسطة (‪ parent‬او ‪ )calling‬مالم يتم تحديد‬ ‫(مراقبة العمليات) او لرفع الصالحيات‪ .‬وعادة ما يتم انشاء العمليات الجديدة ر‬
‫ن‬
‫عب استدعاء (‪CreateProcess API‬‬
‫ن‬
‫ه ر‬‫مكان االستدعاء بشكل واضح‪ .‬ان أحد الطرق لتعيي (‪ )PPID‬بشكل واضح لعملية جديدة ي‬
‫‪ ،)call‬والذي يدعم (‪ )parameter‬لتحديد ( ‪ )PPID‬ومن ثم استخدامه‪ .‬يتم استخدام هذه الوظيفة يف نظام ويندوز بواسطة‬ ‫‪Parent PID Spoofing‬‬ ‫‪.004 T1134‬‬
‫والت تقوم بتصحيح عملية (‪ )PPID‬بعد عملية طلب رفع صالحية تلك العملية‬ ‫ر‬
‫ً‬ ‫(‪ )Windows features‬عل سبيل المثال (‪ )UAC‬ي‬
‫والت تتم عادة من خالل (‪ )svchost.exe or consent.exe‬بدال من استخدام صالحيات المستخدم‬ ‫ر‬
‫واستدعائها بواسطة (‪ )SYSTEM‬ي‬
‫نفسه‪.‬‬
‫‪.‬‬
‫تخط آليات التحكم ان (‪Windows security‬‬ ‫ي‬ ‫قد يقوم المهاجم باستخدام (‪ )Injection SID-History‬بهدف رفع الصالحيات او‬
‫‪ ))identifier (SID‬هو قيمة فريدة تستخدم لتعريف حسابات (المستخدم ‪/‬المجموعة)‪ .‬ان (‪ )SID‬تستخدم بواسطة تقنيات األمان ن يف‬
‫ر‬ ‫ن‬
‫والت تسمح‬ ‫نظام ويندوز وكذلك تقنية (‪ .)Tokens‬حيث يمكن للحساب االحتفاظ ب (‪ )SID‬يف (‪ )SID-History Active Directory‬ي‬ ‫‪SID-History Injection‬‬ ‫‪.005 T1134‬‬
‫بي النطاقات (‪ .)Domains‬عل سبيل أمثال (‬ ‫والت تسمح باستخدام‪/‬تبادل الحسابات‪/‬المعلومات ن‬ ‫ر‬
‫ن‬ ‫بعملية تسم ب (‪ )inter-operable‬ي‬
‫ن‬
‫تضمي جميع القيام الخاصة ب (‪ )tokens access‬يف (‪.)SID-History‬‬
‫تلقان من خالل‬ ‫ي‬ ‫قد يقوم المهاجم باستخدام اعدادات النظام تنفيذ تعليمات برمجية ضارة من خالل اعدادات لجعل التنفيذ يتم بشكل‬
‫فبة ممكنة‪ .‬قد يحتوي نظام التشغيل عل آليات‬ ‫عملية اإلقالع او تسجيل الدخول وذلك بهدف االستمرار والبقاء داخل الشبكة أطول ر‬ ‫التلقان ‪/‬‬ ‫تسجيل الدخول‬
‫الت يتم وضعها فن‬ ‫ً‬ ‫ً‬ ‫ي‬
‫ر‬ ‫البامج تلقائيا عند اإلقالع او تسجيل الدخول اىل الحساب‪ .‬وقد تتضمن هذه االليات تنفيذ ر‬
‫ي‬ ‫البامج تلقائيا ي‬ ‫لتشغيل ر‬ ‫‪Boot or Logon‬‬ ‫‪T1547‬‬
‫قائمة مخصصة عل سبيل أمثال وضع بعض (‪ )Registry Windows‬وقد يقوم المهاجم بتحقيق نفس هذه العملية واالهداف عند‬ ‫‪Autostart Execution‬‬
‫التعديل عل نوات النظام‪.‬‬
‫مفاتيح التسجيل‬
‫البمجيات او المفاتيح(‪ )run keys‬الضارة الخاصة به‪ .‬وستودي‬
‫قد يقوم المهاجم باستخدام مجلد بدء التشغيل (‪ )Startup‬إلضافة ر‬
‫ن‬ ‫التلقان‪/‬‬
‫ي‬ ‫والتشغيل‬
‫البنامج يعمل عند قيام المستخدم بعملية تسجيل الدخول‪ .‬سيتم تنفيذ هذه‬
‫ادخال (‪ )run keys‬يف (‪ )Registry‬او (‪ )Startup‬اىل جعل ر‬ ‫‪.001 T1547‬‬
‫ر‬ ‫ن‬ ‫‪Run Keys / Registry‬‬
‫والت قد تحتاج اىل أذونات خاصة مرتبطة بالحساب المستخدم‪.‬‬
‫البامج يف حساب المستخدم الذي تم تفعيلها به ي‬‫ر‬
‫‪Startup Folder‬‬
‫ن‬
‫المهاجمي باستخدام تصاري ح الحزم لتنفيذ وتشغيل (‪ )DLLs‬عند اقالع النظام‪ .‬حيث يتم تحميل ملفات ‪ DLL‬لحزم المصادقة‬ ‫قد يقوم‬ ‫تصاري ح الحزم ‪/‬‬
‫لنظام ويندوز بواسطة (‪ ))Local Security Authority (LSA‬عند بدء عملية التشغيل للنظام‪ .‬حيث توفر عمليات الدعم لتسجيل‬ ‫‪Authentication‬‬ ‫‪.002 T1547‬‬
‫الدخول المتعددة وكذلك إضافة بروتوكوالت األمان لنظام التشغيل‪.‬‬ ‫‪Package‬‬
‫ن‬
‫المهاجمي من استغالل ( ‪ )providers time‬لتنفيذ او تشغيل (‪ )DLLs‬عند اقالع النظام‪ .‬ان (‪ )W32Time‬يتيح مزامنة الوقت‬ ‫قد يقوم‬
‫المستخدمي فن‬
‫ن‬ ‫ر‬ ‫‪.‬‬
‫عب النطاقات ويقوم (‪ )W32Time‬بمسؤولية اسبداد الوقت (‪ )time stamps‬من العتاد والشبكة وإخراج القيام اىل‬ ‫‪Time Providers‬‬ ‫‪.003 T1547‬‬
‫ي‬ ‫ر‬
‫الشبكة‪.‬‬
‫‪41‬‬
‫المهاجمي باستخدام (‪ )Winlogon‬للتنفيذ تعليمات ضارة من خالل تشغيل (‪ )DLLs‬او برامج تنفيذية عند تسجيل الدخول‪ .‬ان‬ ‫ن‬ ‫قد يقوم‬
‫وه مسؤولة عن اإلجراءات عند تسجيل الدخول او الخروج باإلضافة اىل خدمة (‪)SAS‬‬ ‫ه احد مكونات نظام ويندوز ي‬ ‫(‪ )Winlogon‬ي‬
‫والت تكون عند الضغط عل (‪ )Ctrl-Alt-Delete‬ويتم تسجيل المدخالت ن يف‬ ‫ي‬
‫ر‬ ‫‪Winlogon Helper‬‬
‫‪.004 T1547‬‬
‫(‪ )\HKLM\Software[\Wow6432Node\]\Microsoft\Windows NT\CurrentVersion\Winlogon‬و‬ ‫‪DLL‬‬
‫ر‬
‫البامج والوظائف‬ ‫والت تستخدم إلدارة ر‬ ‫(‪ )\HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon‬ي‬
‫الت تدعم عملية(‪)Winlogon‬‬ ‫ر‬
‫المساعدة اإلضافية ي‬
‫المهاجمي باستخدام (‪ ))support providers (SSPs security‬للتنفيذ تعليمات ضارة من خالل تشغيل (‪ )DLLs‬او برامج‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫تنفيذية عند اقالع النظام‪ .‬يتم تحميل (‪ ))security support providers (SSPs‬يف (‪ ))Local Security Authority (LSA‬كعملية‬ ‫‪Security Support‬‬
‫ر‬ ‫‪.005 T1547‬‬
‫والت تكون مخزنة‬ ‫نعند بدء النظام‪ .‬بعد عملية التحميل ل ‪ LSA,SSP‬ك ‪ DLLs‬يقوم بتشفب األرقام الشية من صيغة نصية اىل صيغة مشفرة ي‬ ‫‪Provider‬‬
‫يف نظام ويندوز‪ ،‬مثل أي كلمة مرور يتم استخدامها عند عمليات تسجيل الدول او استخدام ‪ PIN‬كذلك‪.‬‬
‫ن‬
‫ه‬‫قد يقوم المهاجمي بتعديل النواة وذلك لتنفيذ تعليمات ن تلقائية ضارة بالنظام عند اإلقالع‪ .‬ان وحدات التحميل (‪ )LKMs‬داخل النواه ي‬ ‫‪Kernel Modules and‬‬
‫وه تعمل عل زيادة قدرات النواه دون الحاجة اىل إعادة‬ ‫أجزاء من تعليمات برمجية يمكن الكتابة عليها او محيها يف النواه عند الطلب‪ .‬ي‬ ‫‪Extensions‬‬
‫‪.006 T1547‬‬
‫والت تسمح للنواة بالوصول اىل العتاد والتعاريف المتصلة بالنظام‪.‬‬ ‫ر‬
‫تشغيل النظام‪ .‬عل سبيل المثال(التعاريف الخاصة باألجهزة) ي‬
‫تلقان عندما يقوم المستخدم بتسجيل الدخول او بدء‬ ‫المهاجمي بتعديل ملفات (‪ )plist‬للقيام بتشغيل برمجيات ضارة بشكل‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫ن‬
‫تلقان عندما يقوم‬ ‫ي‬ ‫‪.‬‬
‫تشغيل النظام يف (‪ ))Mac OS X 10.7 (Lion‬يستطيع المستخدمون تحديد برامج او تطبيقات لإلعادة فتحها بشكل‬
‫‪Re-opened‬‬
‫البامج كل برنامج عل حدة‪ .‬وهناك قائمة‬ ‫عب فتح ر‬‫المستخدم بتسجيل الدخول لألجهزة الخاصة بهم بعد إعادة التشغيل‪.‬بدل ان يتم ذلك ر‬ ‫‪.007 T1547‬‬
‫‪Applications‬‬
‫الت تعمل عند بدء التشغيل (‪ .)plist‬وتستطيع ايجادها ن يف (~‪)Library/Preferences/com.apple.loginwindow.plist/‬‬ ‫ر‬
‫للمفالت ي‬
‫و (~‪).Library/Preferences/ByHost/com.apple.loginwindow.* .plist/‬‬
‫المخبق‪ .‬ان‬‫ر‬ ‫فبة ممكنة ن يف النظام‬ ‫المهاجمي بإضافة او تعديل (‪ )drivers LSASS‬وذلك لضمان البقاء داخل الشبكة أطول ر‬ ‫ن‬ ‫قد يقوم‬
‫الفرع يف الويندوز (‪ )Windows security subsystem‬هو عبادة عن مجموع من المكونات تدير وتنفيذ سياسات األمان عل‬ ‫ن‬ ‫النظام‬
‫ي‬
‫ئيس و المسؤول عن سياسة األمان المحلية و التحقق من صالحيات المستخدم‪ .‬ان (‪)LSA‬‬ ‫ي‬ ‫ر‬ ‫ال‬ ‫المكون‬ ‫هو‬ ‫)‬ ‫‪LSA‬‬ ‫(‬ ‫ان‬ ‫‪.‬‬ ‫النطاق‬ ‫او‬ ‫النظام‬ ‫‪LSASS Driver‬‬ ‫‪.008 T1547‬‬
‫والت تعمل جميعها ن يف عملية ‪ LAS‬او‬ ‫ر‬
‫وه كالعادة مرتبطة بوظائف امان أخرى‪ .‬ي‬ ‫تحتوى عل العديد من المكتبات الديناميكية ( ‪ )DLL‬ي‬
‫(‪)lsass.exe‬‬
‫قد يقوم المهاجم بإضافة او تعديل االختصارات لتشغيل او تنفيذ تعليمات برمجية ضارة عند اإلقالع او عند عملية تسجيل الدخول‬
‫ر‬ ‫‪Shortcut‬‬
‫الت سيتم فتحها أو تنفيذها عند النقر فوق االختصار أو‬ ‫البامج األخرى ي‬ ‫ه طرق لإلشارة إىل الملفات أو ر‬ ‫للنظام‪ .‬ان االختصارات أو الرموز ي‬ ‫‪Modification‬‬
‫‪.009 T1547‬‬
‫تنفيذه عند بدء تشغيل النظام‪.‬‬
‫والت تعمل عند اقالع النظام وذلك‬ ‫المهاجمي باستغالل (‪ )port monitors‬لتشغيل ملفات ضارة من خالل ملفات (‪ )DLL‬ر‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫فبة ممكنه‪ .‬ان (‪ )port monitors‬تستطيع استخدامه من خالل االتصال ب (‪ )AddMonitor API‬والتر‬ ‫للبقاء داخل الشبكة أطول ر‬
‫ي‬
‫تسمح بتحميل ملفات ‪ DLL‬عند بدء التشغيل‪ .‬تستطيع اجادة ملفات ‪ DLL‬ن يف " ‪ "C:\Windows\System32‬وسيتم تحميله بواسطة‬ ‫مراقبة الشاشات ‪Port /‬‬
‫‪.010 T1547‬‬
‫ه عمليات تعمل كذلك تحت (‪)SYSTEM‬‬
‫المناسبة للكتابة نف المسار المخصص فن‬ ‫خدمة التخزين الموقت للطباعة(‪ )spoolsv.exe‬عند اقالع النظام‪ .‬ان (‪ )spoolsv.exe‬ي‬ ‫‪Monitors‬‬
‫والت يقصد بها صالحيات النظام‪ .‬ويمكن تحميل ملفات ‪ DLL‬اذا كانت هناك االذونات‬ ‫ر‬
‫ي‬ ‫ي‬ ‫ي‬
‫(‪).HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors‬‬
‫‪.‬‬
‫البامج اثناء اقالع النظام او عند عمليات تسجيل الدخول وتحتوي قائمة (‪ )plist‬عل‬ ‫المهاجمي باستخدام (‪ )plist‬لتشغيل ر‬ ‫ن‬ ‫قد يقوم‬
‫ملفات يتم استخدامها نف نظام (‪ macOS‬و ‪)OS X‬وه تحتوي عل اإلعدادات الخاصة بالتطبيقات والخدمات‪ .‬الملف تمت كتابته ب ربمبن‬ ‫‪Plist Modification‬‬ ‫‪.011 T1547‬‬
‫ي‬ ‫ي‬
‫‪42‬‬
‫البامج‪.‬‬ ‫بي (<>)‪ .‬وه توضح التفاصيل ر‬ ‫تأن اإلعدادات ما ن‬ ‫(‪ )UTF-8‬وتستطيع استعراضه من خالل قارئ ملفات ‪ .XML‬و ر‬
‫مت يجب ر‬ ‫ي‬
‫ً‬ ‫ن‬
‫ومسار الملفات التنفيذية‪ .‬واالذونات المطلوبة لتشغيلها‪ ..‬وغبها الكثب‪ .‬تتواجد (‪ )plists‬يف مواقع معينة اعتمادا عل العرض منها مثل‬
‫والت يتم استخدامها عند رفع الصالحيات‪ .‬و (~ ‪ )Library/Preferences/‬عند استخدام تلك‬ ‫ر‬
‫(‪ )Library/Preferences/‬ي‬
‫الصالحيات‪.‬‬
‫قد يقوم المهاجمي باستخدام (‪ )processors print‬لتشغيل مكتبات ‪ DLL‬ضارة اثناء اقالع النظام‪ .‬وذلك ألغراض ضارة مثل البقاء‬ ‫ن‬
‫ر‬ ‫ر‬ ‫طباعة العمليات ‪Print /‬‬
‫الت يتم تحميلها بواسطة ( ‪print spooler‬‬ ‫ه مكتبات ‪ DLL‬ي‬ ‫داخل النظام المخبقة او تصعيد الصالحيات‪ .‬ان (‪ )print processors‬ي‬ ‫‪Processors‬‬
‫‪.012 T1547‬‬
‫‪ )service, spoolsv.exe‬اثناء عمليات اإلقالع‪.‬‬
‫تلقان عن اقالع النظام بهدف البقاء داخل النظام‬ ‫ن‬
‫قد يقوم المهاجمي باستخدام بعض السكربتات لتنفيذ تعليمات برمجية ضارة بشكل ن ي‬ ‫نظام اقالع او الدخول‬
‫ر‬ ‫ر‬ ‫ر‬
‫والت قد ينطوي عليها تنفيذ وتشغيل‬
‫ً‬ ‫المخبق أطول فبة ممكنة‪ .‬حيث يمكن استخدام السكربت تنفيذ بعض المهام اإلدارية يف األنظمة‪ .‬ي‬ ‫بواسطة سكربت ‪Boot /‬‬
‫‪T1037‬‬
‫داخل‪ .‬يمكن ان تختلف السكربت من نظام اىل اخر وطرق تطبيقها هل سيكون محليا او عن‬ ‫ي‬ ‫البمجيات او ارسال المعلومات اىل خادم‬ ‫ر‬ ‫‪or Logon‬‬
‫بعد‪.‬‬ ‫‪Initialization Scripts‬‬
‫تلقان عند بداية عملية تسجيل الدخول‪.‬‬ ‫والت يتم تنفيذها بشكل‬‫ر‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ويندوز ي‬ ‫سكربت الدخول لنظام‬
‫ر‬ ‫ر‬
‫والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة‪ .‬يسمح نظام ويندوز بتشغيل سكربتات تسجيل الدخول عل مستوى‬
‫ن‬ ‫ويندوز ‪Logon Script /‬‬ ‫‪.001 T1037‬‬
‫المستخدمي او المجموعات‪ .‬ويتم ذلك عن طريق إضافة المسار المطلوب‬
‫(‪)Windows‬‬
‫اىل(‪ )HKCU\Environment\UserInitMprLogonScript‬ن يف (‪.)Registry key‬‬
‫تلقان عند بداية عملية تسجيل‬ ‫ر‬
‫والت يتم تنفيذها بشكل‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستخدام سكربت تسجيل الدخول ألنظمة ماك اوس ي‬
‫ر‬ ‫ر‬
‫الدخول‪ .‬والهدف منها هو البقاء داخل النظام المخبق أطول فبة ممكنة‪ .‬يسمح نظام ماك بتشغيل وتنفيذ سكربتات او ما يسم‬ ‫سكربت الدخول لنظام‬
‫(‪ )known as login hooks‬تسجيل الدخول كلما قام المستخدم بالدخول للنظام‪ .‬حيث يقوم (‪ )known as login hooks‬بتنفيذ‬ ‫ماك ‪Logon Script‬‬ ‫‪.002 T1037‬‬
‫البمجيات عند استخدام صالحيات‬ ‫السكربت عند تسجيل الدخول وهو عل عكس (‪ )Startup Items‬يقوم (‪ )login hooks‬بتنفيذ ر‬ ‫‪)(Mac‬‬
‫مدير النظام(‪.)root‬‬
‫تلقان عند بداية عملية الدخول‪ .‬والهدف منها هو البقاء داخل‬ ‫والت يتم تنفيذها بشكل‬‫ر‬ ‫ن‬
‫ن‬ ‫ي‬ ‫قد يقوم المهاجمي باستخدام سكربت الشبكة ي‬ ‫سكربت تسجيل الشبكة ‪/‬‬
‫ر‬ ‫ر‬ ‫ر‬
‫الت تعمل عل مستوى بدء التشغيل يف الشبكة من خالل ( ‪Active‬‬ ‫النظام المخبق أطول فبة ممكنة‪ .‬يمكن استخدام سكربتات ي‬ ‫‪Network Logon‬‬ ‫‪.003 T1037‬‬
‫لك يتم تعينها او استخدامها‪ .‬بحسب‬ ‫‪ Directory‬او ‪ .)Group Policy Objects‬تحتاج هذه السكربتات اىل صالحيات وأذونات محددة ي‬ ‫‪Script‬‬
‫اختالف األنظمة قد يستطيع المهاجم تنفيذ هذه السكربتات عل نظام محدد او عدد من األنظمة داخل الشبكة المستهدفة‪.‬‬
‫المهاجمي بتعديل سكربت (‪ )RC‬والذي يتم تنفيذه خالل اإلقالع لنظام (‪ .)Unix‬ان هذه الملف يسمح لمدراء النظام بربط وبدء‬ ‫ن‬ ‫قد يقوم‬
‫‪Rc Scripts‬‬ ‫‪.004 T1037‬‬
‫الخدمات المخصصة اىل قائمة بدء التشغيل النظام‪ .‬وعادة تتطلب (‪ )RC‬امتيازات مدير النظام إلجراء التعديالت (‪.)root‬‬
‫قد يقوم المهاجمون باستغالل (‪ )Startup Items‬لتنفيذ تعليمات برمجية ضارة عند اقالع النظام بهدف البقاء نف النظام أطول ر‬
‫فبة‬ ‫ي‬ ‫ادوات بدء التشغيل ‪/‬‬
‫ممكنة‪ .‬ان (‪ )Startup Items‬تعمل عادة ن يف المرحلة األخبة من اإلقالع‪ .‬وتحتوي عل برامجه او سكربتات قابلة للتنفيذ او التشغيل‬ ‫‪.005 T1037‬‬
‫‪Startup Items‬‬
‫البتيب المتوقع لتشغيل وتنفيد العناض المتوفرة ن يف (‪.)Items Startup‬‬ ‫الت يستخدمها النظام لتحديد ر‬ ‫ر‬
‫بجانب االعدادات ي‬
‫ر‬ ‫ن‬
‫المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة بهدف البقاء يف النظام أطول فبة‬ ‫ن‬ ‫قد يقوم‬ ‫انشاء او تعديل عمليات‬
‫ن‬ ‫ر‬
‫ممكنة‪ .‬فعندما يقوم النظام باإلقالع ستعمل العمليات بشكل مباش يف الخلفية‪ .‬سواء كان النظام ويندوز او لينكس‪ .‬حيث ان هذه‬ ‫النظام ‪Create or /‬‬
‫‪T1543‬‬
‫العمليات يتم تصنيفها كخدمات‪ .‬اما ن يف نظام ماك اوس يتم تشغيل العمليات بواسطة (‪ )Launch Daemon‬و (‪ )Launch Agent‬إلنهاء‬ ‫‪Modify System‬‬
‫تهيئة عمليات النظام و البدء بتنفيذ وتحميل عمليات المستخدم‪.‬‬ ‫‪Process‬‬
‫‪43‬‬
‫المهاجمي بإنشاء او تعديل العمليات عل مستوى النظام بغرض تنفيذ تعليمات برمجية ضارة باستخدام (‪)launch agents‬‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ً‬ ‫ر‬ ‫ن‬
‫‪.‬‬
‫وذلك بهدف البقاء يف النظام أطول فبة ممكنة وفقا لمطوري شكة آبل‪ ،‬عندما يقوم المستخدم بتسجيل الدخول يتم بدء عملية تشغيل‬
‫ر‬ ‫ن‬ ‫البمجية ‪/‬‬
‫تفعيل ر‬
‫والت تستطيع الوصول لها من خالل‬ ‫العمليات الخاصة بكل مستخدم من خالل (‪ )launch-on-demand‬والموجودة يف (‪ )plist‬ي‬ ‫‪.001 T1543‬‬
‫‪Launch Agent‬‬
‫(‪ ,System/Library/LaunchAgents, /Library/LaunchAgents/‬و ‪ )HOME/Library/LaunchAgents$‬ان ( ‪launch‬‬
‫‪ )agents‬لديهم قائمة من الملفات المرتبطة بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل‪.‬‬
‫فبة ممكنة‪ .‬ومن‬ ‫المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات (‪ ،)systemd‬وذلك بهدف البقاء نف النظام أطول ر‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫ن‬
‫‪.‬‬
‫المتعارف عل ان (‪ )systemd‬يقوم بإدارة العمليات يف الخلفية او الخدمات وموارد النظام األخرى ان (‪ )systemd‬هو النظام التهيئة‬
‫اض نف (‪ )init‬نف ر‬ ‫ر ن‬ ‫خدمات النظام ‪/‬‬
‫أكب توزيعات لينكس مثل (‪ .)Debian 8, Ubuntu 15.04, CentOS 7, RHEL 7, Fedora 15‬حيث تم‬ ‫ي‬ ‫االفب ي ي‬ ‫‪.002 T1543‬‬
‫ر‬ ‫ر‬ ‫‪Systemd Service‬‬
‫والت تشتمل عل (‪ SysVinit‬و ‪ .)Upstart‬وحيث ان (‪ )systemd‬يتعامل كذلك‬ ‫الت تعمل ب (‪ )init‬ي‬ ‫إيجاده الستبدال األنظمة القديمة ي‬
‫مع األنظمة السابقة والقديمة‪.‬‬
‫ر‬ ‫ن‬
‫المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات الخاصة بنظام (‪ ،)Windows‬وذلك بهدف البقاء يف النظام أطول فبة‬ ‫ن‬ ‫قد يقوم‬
‫البمجيات والتطبيقات من خالل استدعاء‬ ‫ر‬ ‫بتشغيل‬ ‫يقوم‬ ‫ذلك‬ ‫بعد‬ ‫بالنظام‬ ‫الخاصة‬ ‫اإلقالع‬ ‫بعمليات‬ ‫الويندوز‬ ‫يقوم‬ ‫عندما‬ ‫ممكنة‪.‬‬ ‫خدمات الويندوز ‪/‬‬
‫ن‬ ‫ر‬ ‫‪.003 T1543‬‬
‫الت تعمل يف الخلفية الخاصة بالنظام‪ .‬ان نظام الخدمات واإلعدادات تشتمل عل مسارات الملفات للخدمات واالوامر القابلة‬ ‫الخدمات ي‬ ‫‪Windows Service‬‬
‫للتنفيذ‪ .‬ويتم تخزينها ن يف (‪ .)Windows Registry‬ومن الممكن ان يتم تعديل اعدادات الخدمات من خالل أداة (‪ sc.exe‬او ‪.)Reg‬‬
‫فبة ممكنة‪.‬‬ ‫المهاجمي بإنشاء او تعديل العمليات الخاصة بخدمات (‪ )launch daemons‬وذلك بهدف البقاء نف النظام أطول ر‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫ً‬
‫وفقا لمطوري رشكة آبل‪ ،‬عندما يقوم المستخدم بتسجيل الدخول يتم بدء عملية تشغيل العمليات الخاصة بكل مستخدم من خالل‬
‫والت تستطيع الوصول لها من خالل (‪,System/Library/LaunchAgents/‬‬ ‫ر‬ ‫ن‬
‫(‪ )launch-on-demand‬والموجودة يف (‪ )plist‬ي‬ ‫‪Launch Daemon‬‬ ‫‪.004 T1543‬‬
‫‪ ,Library/LaunchAgents/‬و ‪ )HOME/Library/LaunchAgents$‬ان (‪ )launch agents‬لديهم قائمة من الملفات المرتبطة‬
‫بملفات تنفيذيه يتم تفعيلها عند بدء التشغيل‪.‬‬
‫التخف داخل الشبكة او تصعيد الصالحيات‬ ‫ن‬ ‫المهاجمي بتعديل االعدادات الخاصة بتكوين النطاقات (‪ )domain‬وذلك بهدف‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫ن‬
‫الت يعمل بها النطاق (‪ )domain‬تسمح له بالتحكم باألنظمة والتقنيات وكذلك المستخدمي داخل‬ ‫ي‬
‫ر‬ ‫ية‬‫التقن‬ ‫ان‬ ‫‪.‬‬ ‫المستهدف‬ ‫النطاق‬ ‫ن يف‬
‫ن‬ ‫‪Domain Policy‬‬
‫والمستخدمي بالتواصل‪ ،‬حيث يقوم بحوكمتها حسب الحاجة‪ .‬والسياسة الخاصة بهذه‬ ‫هذا النطاق وكيف تقوم هذه األجهزة واألنظمة‬ ‫‪T1484‬‬
‫ن‬ ‫ن‬ ‫‪Modification‬‬
‫‪.‬‬
‫النطاقات تحتوي عل اعدادات التواصل ما بي النطاقات والنطاقات الفرعية وما يف حكمها وقد تتضمن التعديالت عل السياسة‬
‫بي النطاقات المرتبطة به‪.‬‬ ‫الخاصة بالنطاق (‪ ) GPOs‬تغب عل مستوى العالقة ما ن‬
‫ن‬
‫المهاجمي بتعديل االعدادات الخاصة بتكوين مجموعة سياسة النطاقات (‪ )GPOs‬وذلك بهدف تصعيد الصالحيات يف النطاق‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫المستهدف‪ .‬تسمح سياسة النطاقات (‪ )GPOs‬بتعديل و إدارة المستخدمي او األجهزة من خالل (‪ .)Active directory AD‬وكما انها‬ ‫‪Group Policy‬‬
‫ر‬ ‫‪.001 T1484‬‬
‫والت تستطيع الوصول لها من خالل‬ ‫تعتب مستودع لإلعدادات الخاصة بسياسة النطاقات ي‬ ‫ر‬ ‫‪Modification‬‬
‫(\<‪) Policies >DOMAIN< SYSVOL >DOMAIN‬‬
‫\‬ ‫\‬ ‫\‬ ‫\‬
‫ن‬
‫بي النطاقات او تعديل خصائص ثقة سابقة يف النطاق المستهدف‪ ،‬وذلك بهدف‬ ‫المهاجمي بإضافة خاصية الثقة (‪ )trusts‬ن‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫نطاقي‬ ‫ن‬
‫تصعيد الصالحيات او التخف داخل الشبكة‪ .‬تسمح تفاصيل الثقة ف النطاق او (‪ )trusts‬بمعرفة اذا كان هناك عالقة ما ن‬
‫بي‬ ‫ن‬ ‫‪Domain Trust‬‬
‫ي‬ ‫ي‬ ‫‪.002 T1484‬‬
‫بي النطاقات‬ ‫المشبكة ما بينهم‪ .‬وبقد تتضمن الثقة ما ن‬ ‫ر‬ ‫بي النطاقات ومعرفة الموارد‬ ‫مختلفي‪ ،‬وكذلك خصائص المصادقة والتخويل ما ن‬ ‫ن‬ ‫‪Modification‬‬
‫معلومات عن الحسابات وبيانات الدخول ووسائل المصادقة المستخدمة عل الخوادم والرموز(‪.)tokens‬‬
‫‪44‬‬
‫فبة ممكن او رفع الصالحيات‪ .‬تمتلك‬ ‫المخبق أطول ر‬ ‫ر‬ ‫قد يقوم المهاجم باستغالل بعض االحداث المعينة بهدف البقاء داخل النظام‬ ‫تنفيذ االحداث حسب‬
‫أنظمة التشغيل وسائل لمراقبة تلك االحداث ومتابعتها مثل عمليات تسجيل الدخول او أنشطة أخرى مثل تشغيل تطبيقات او اكواد‬ ‫المعطيات ‪Event /‬‬ ‫‪T1546‬‬
‫برمجية‬ ‫‪Triggered Execution‬‬
‫بي الملفات للتنفيذ تعليمات برمجية ضارة عل سبيل المثال(عند تحديد ملف ر ن‬
‫يي‬ ‫االقبان واالرتباط ن‬ ‫قد يقوم المهاجمون باستغالل ر‬
‫اقبان الملفات ن يف سجل الويندوز ( ‪Windows‬‬ ‫اض)‪ .‬يتم تخزين تحديد ر‬ ‫ر ن‬
‫(البنامج االفب ي‬ ‫اض لتشغيله) ويسم ر‬ ‫ر ن‬
‫البنامج االفب ي‬ ‫تحديد ر‬ ‫اض ‪/‬‬ ‫ر ن‬
‫تعديل الملف االفب ي‬
‫‪ )Registry‬ويستطيع المستخدم ومدراء النظام تعديلها او أي برنامج يملك صالحيات الوصول وتعديل عل (‪)Windows Registry‬‬ ‫‪File Change Default‬‬ ‫‪.001 T1546‬‬
‫ر ن‬
‫اض المرتبط من‬ ‫وتستطيع تعديلها من خالل أداة (‪ )assoc‬بصالحيات مدير النظام‪ .‬يستطيع كما ذكرنا التطبيق تعديل التطبيق االفب ي‬ ‫‪Association‬‬
‫معي ثم إجباره بفتح من خالل برنامج اخر‪.‬‬ ‫ن‬ ‫خالل استدعاء ملف‬
‫ر‬
‫قد يقوم المهاجمون باستغالل شاشة التوقف (عدم نشاط المستخدم) لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل النظام المخبق‬
‫ً‬ ‫ر‬
‫ه برمجيات يتم تنفيذها بعد عدم نشاط المستخدم عل الكمبيوتر بواسطة وقت تم تحديده مسبقا‬
‫ن‬ ‫أطول فبة ممكن‪ .‬وشاشات التوقف ي‬ ‫شاشة التوقف‪/‬‬
‫وتأن امتداداتها بصيغة (‪ .)scr.‬تستطيع إيجاد ملفات شاشات التوقف يف هذا المسار(‪ ,\C:\Windows\System32‬او‬ ‫ر‬
‫من االعدادات‪ .‬ي‬
‫‪ )\C:\Windows\sysWOW64‬ن‬ ‫‪Screensaver‬‬
‫‪.002 T1546‬‬
‫تلقان مع‬ ‫بشكل‬ ‫المثبتة‬ ‫التوقف‬ ‫شاشات‬ ‫او‬ ‫الشاشة‬ ‫حافظات‬ ‫مع‬ ‫يأن‬ ‫وف نظام من نوع (‪ )bit-64‬ر‬
‫ي‬ ‫ي‬ ‫ي‬
‫الويندوز‪.‬‬
‫قد يقوم المهاجمون بتصعيد الصالحيات او تشغيل ملفات ضارة باستخدام ( ‪Windows Management Instrumentation‬‬ ‫‪Windows‬‬
‫فبة ممكنة او تصعيد الصالحيات‪ .‬ويمكن استخدام‬ ‫المخبقة أطول ر‬ ‫ر‬ ‫‪ )subscription (WMI) event‬وذلك بهدف البقاء داخل الشبكة‬ ‫‪Management‬‬
‫‪.003 T1546‬‬
‫االحداث (‪ )Event‬مع (‪ )WMI‬بغرض تنفيذ االكواد عند تحديد وقت حدوث الحدث‪ .‬عل سبيل المثال(تفعيل االحداث عندما يقوم‬ ‫‪Instrumentation‬‬
‫المستخدم بتسجيل الدخول ‪..‬الخ)‬ ‫‪Event Subscription‬‬
‫أكب قدر‬ ‫الت تتم بواسطة المستخدم لتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل المنظمة ر‬ ‫ر‬
‫قد يقوم المهاجمون باستغالل األوامر ي‬
‫ممكن‪ .‬يقوم نظام (‪ )Unix Shells‬بتنفيذ وجدولة العديد من االعمال واالعدادات والسكربتات واالحداث‪ .‬عل سبيل المثال (عندما يقوم‬
‫المستخدم بالتفاعل مع واجهة سطر األوامر او استخدام (‪ .))SSH‬فمن خالل المثال السابق يتم التواصل باستخدام (‪ .)Shell‬ويقوم‬ ‫‪Unix Shell‬‬
‫ئيس الخاص بالمستخدم (~ ‪ )/‬من اجل تهيئة البيئة‬ ‫ن‬
‫(‪ )Shell‬حينها بتفعيل السكربتات الخاصة بالنظام والمتواجدة يف(‪ )etc/‬والمجلد الر ي‬ ‫‪Configuration‬‬ ‫‪.004 T1546‬‬
‫تسج الدخول للنظام من خالل (‪ .)etc/profile/‬يتم تفعيل هذه السكربتات‬ ‫ن‬
‫للمستخدمي عند ر‬ ‫الخاصة به‪ .‬وعادة يتم تهيئة البيئة‬ ‫‪Modification‬‬
‫ي ً‬
‫‪.‬‬
‫واالوامر من خالل مستويات من االذونات تم اعدادها مسبقا ان هذه السكربتات ومع وجود الصالحية واالذونات المناسبة كما ذكرنا‬
‫يستطيع المستخدم تعديل البيئة الخاصة به‬
‫بالبامج و(‪ )Shells‬بتخصيص‬ ‫ر‬ ‫بالسماح‬ ‫)‬‫‪Trap‬‬ ‫االمر(‬ ‫يقوم‬ ‫‪.‬‬ ‫)‬‫‪interrupt‬‬ ‫‪signal‬‬ ‫(‬ ‫بواسطة‬ ‫الضارة‬ ‫المهاجمي بتشغيل التعليمات‬ ‫ن‬ ‫قد يقوم‬
‫للبامج بالتفاعل عند‬ ‫الت سيتم تفعيلها عند استقبال (‪ ،)interrupt signal‬واالستخدام الشائع لهذه الطريقة هو سكربت يسمح ر‬ ‫ر‬
‫األوامر ي‬ ‫‪Trap‬‬ ‫‪.005 T1546‬‬
‫حصول (‪ )interrupt signal‬مثل عند عملية (القص‪/‬الصق) ن يف لوحة المفاتيح‪.‬‬
‫وه تحتوي عل تعليمات‬ ‫ن‬
‫او (‪ )Mach-O binaries‬ن ي‬ ‫ن‬
‫المهاجمي بتشغيل التعليمات الضارة بواسطة (‪)tainted binaries‬‬ ‫قد يقوم‬
‫برمجية تستخدم إلجراء عمليات معينة عند تحميل (‪ .)binary‬تقوم التعليمات يف (‪ )LC_LOAD_DYLIB‬يف (‪)Mach-O binaries‬‬
‫ر‬ ‫‪LC_LOAD_DYLIB‬‬
‫الت يتم تحميلها اثناء ووقت تنفيذ تلك العمليات‪.‬‬ ‫لنظام (‪ ) MacOS, OS X‬بالتواصل مع المكتبات الديناميكية او ما تسم ب (‪ )dylibs‬ي‬ ‫ي‬ ‫‪.006 T1546‬‬
‫وتستطيع استخدام هذه (‪ )complied binary‬بشكل خاص ر‬ ‫‪Addition‬‬
‫باشباط وجود االعدادات والتوافقية الصحيحة‪ .‬وهناك أدوات كثب تستطيع‬
‫القيام بهذا العمل من التغبات‪.‬‬
‫ر‬
‫المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف البقاء داخل الشبكة أطول فبة ممكنه من خالل تشغيل مكتبات واالعتماد عل‬ ‫ن‬ ‫يقوم‬
‫‪Netsh Helper DLL‬‬ ‫‪.007 T1546‬‬
‫ه عبارة عن سطر أوامر تقوم بالتفاعل مع‬ ‫ي‬ ‫‪.‬‬ ‫)‬ ‫‪Netshell‬‬ ‫(‬‫ن‬ ‫ري‬ ‫تعرف‬ ‫ما‬ ‫او‬ ‫)‬ ‫‪Netsh.exe‬‬ ‫(‬ ‫برمجية‬ ‫‪.‬‬‫لتنفيذها‬ ‫)‬‫‪Netsh‬‬ ‫‪Helper‬‬ ‫‪DLLs‬‬ ‫(‬
‫‪45‬‬
‫وه تحتوي عل وظائف و أدوات إلضافة (‪ )helper DLLs‬وتستطيع اضافة المزيد من القدرات والوظائف‬ ‫اعدادات الشبكة واألنظمة‪ .‬ي‬
‫لها‪ .‬وتستطيع إيجاد المسار الخاص بها ن يف الويندوز (‪ )Windows Registry‬ن يف (‪.)HKLM\SOFTWARE\Microsoft\Netsh‬‬
‫ممبات وامكانيات الوصول المتاحة بواسطة مايكروسوفت او ما يسم‬ ‫قد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تفعيلها بواسطة ن‬
‫ر‬
‫(‪ )accessibility features‬وذلك بهدف البقاء داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات‪ .‬ويحتوي نظام ويندوز عل‬
‫ر‬ ‫ن‬ ‫‪Accessibility‬‬
‫والت يمكن تشغيلها باستخدام مجموعة من المفاتيح قبل عملية تسجيل الدخول للمستخدم عل سبيل‬ ‫ممبان إمكانية الوصول ي‬ ‫‪.008 T1546‬‬
‫ر‬ ‫‪Features‬‬
‫والت تسمح‬‫البمجيات واضافة سطر األوامر ي‬ ‫المثال(عندما يكون المستخدم عل شاشة تسجيل الدخول)‪ .‬قد يقوم المهاجم بتعديل هذه ر‬
‫فعل‪.‬‬
‫له بالتحكم والسيطرة من دون الحاجة اىل تسجيل الدخول للنظام بشكل ي‬
‫والت يتم تفعيلها من ضمن العمليات (‪.)processes‬‬ ‫ر‬ ‫)‬ ‫‪AppCert‬‬ ‫قد يقوم المهاجم بتنفيذ تعليمات برمجية يتم تشغيله بواسطة (‪DLLs‬‬
‫ي‬
‫))ه احد مكونات (‪ )AppCertDLLs‬والمتواجدة ن يف‬ ‫ي‬ ‫‪Dynamic-link‬‬ ‫وذلك بهدف رفع الصالحيات‪ .‬ان (‪libraries (DLLs‬‬
‫ن‬ ‫ر‬
‫والت يتم استدعائها يف كل‬ ‫(‪ )\Manager HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session‬ي‬ ‫‪AppCert DLLs‬‬ ‫‪.009 T1546‬‬
‫ن‬
‫مستخدمي و ( ‪reateProcess,‬‬ ‫وظائف واجهة برمجة التطبيقات (‪ )API‬بهدف انشاء العمليات‪ ،‬انشاء العمليات‬
‫‪).CreateProcessWithLoginW, CreateProcessWithTokenW, or WinExec ,CreateProcessAsUser‬‬
‫المهاجمي بتنفيذ تعليمات برمجية ضارة بهدف رفع الصالحيات وتحدث العملية إثناء تحميل العمليات الخاصة ب (‪AppInit‬‬ ‫ن‬ ‫قد يقوم‬
‫‪ .)DLLs‬ان (‪))Dynamic-link libraries (DLLs‬ه احد مكونات (‪ )AppInit_DLLs‬والمتواجدة فن‬
‫ي‬ ‫ي‬
‫(‪or HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows‬‬
‫‪AppInit DLLs‬‬ ‫‪.010 T1546‬‬
‫‪NT\CurrentVersion\Windows are HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows‬‬
‫الت يتم تحميلها اىل (‪ .)user32.dll‬وعل االغلب ان جميع‬ ‫ر‬ ‫ن‬ ‫ر‬
‫والت يتم استدعائها يف كل وظائف والعمليات ي‬
‫‪ )loaded by user32.dll‬ي‬
‫ر‬
‫البامج تستخدم هذه العمليات حيث ان مكتبة (‪ )user32.dll‬مكتبة شائعة ومستخدمة بكبة‪.‬‬ ‫ر‬
‫المهاجمي بتشغيل تعليمات برمجية ضارة بهدف رفع الصالحيات وذلك من خالل االستفادة من ما يسم ب (‪application‬‬ ‫ن‬ ‫قد يقوم‬
‫‪ )shims‬او (‪ .))Infrastructure/Framework (Application Shim Microsoft Windows Application Compatibility‬وتم‬
‫البمجيات تعمل ر‬ ‫‪Application‬‬
‫حت مع اصدار احدث‪ .‬عل سبيل المثال ( ان هذه التقنية‬ ‫عمله للسماح بالتوافق مع إصدارات ويندوز القديمة وجعل ر‬ ‫‪.011 T1546‬‬
‫ن‬ ‫‪Shimming‬‬
‫البامج من جديد) والمثال السابق يف حل تم كتابة برنامج‬ ‫تسمح للمطورين بتطبيق اإلصالحات والتطوير دون الحاجة اىل إعادة كتابة ر‬
‫لويندوز ‪ XP‬وجعلة قابل للعمل عل ويندوز ‪١٠‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل (‪ )Image File Execution Options (IFEO) debuggers‬وذلك بهدف‬
‫بتمكي المطورين من ارفاق مصحح األخطاء مع التطبيق او‬ ‫ن‬ ‫فبة ممكنه او تصعيد الصالحيات‪ .‬تقوم (‪)IFEO‬‬ ‫البقاء داخل الشبكة أطول ر‬ ‫‪Image File Execution‬‬
‫ر‬ ‫‪.012 T1546‬‬
‫والت تودي اىل انشاء عملية جديدة من‬ ‫البمجية‪ .‬فعند القيام باي عملية سيكون مصحح األخطاء موجود من ضمن (‪ )IFEO‬للتطبيق‪ .‬ي‬ ‫ر‬ ‫‪Options Injection‬‬
‫ضمن مصحح األخطاء‪ .‬عل سبيل المثال (‪.)C:\dbg\ntsd.exe -g notepad.exe‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل استغالل التفاعل مع (‪ )PowerShell profiles‬وذلك بهدف البقاء داخل‬
‫فبة ممكنه او تصعيد الصالحيات‪ .‬ان (‪ )profile.ps1‬هو سكربت يعمل حينما يقوم ( ‪ )PowerShell‬بالعمل‪ .‬وتستطيع‬ ‫الشبكة أطول ر‬ ‫‪PowerShell Profile‬‬ ‫‪.013 T1546‬‬
‫من خالله تخصيص البيئة الخاصة بالمستخدم‪.‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة باستخدام (‪ ))Event Monitor Daemon (emond‬وذلك بهدف البقاء داخل الشبكة‬
‫فبة ممكنه او تصعيد الصالحيات‪ .‬يقوم (‪ )emond‬بتنفيذ االحداث (‪ ) event‬من مختلف الخدمات ويقوم بإداراتها من خالل‬ ‫أطول ر‬
‫ن‬ ‫‪Emond‬‬ ‫‪.014 T1546‬‬
‫محرك بسيط يقوم من خالله باتخاذ اإلجراءات المناسبة‪ .‬ويقوم (‪ )emond binary‬يف مجلد (‪ )sbin/emond/‬بتحميل جميع القواعد‬
‫من مستودع (‪ )/etc/emond.d/rules/‬ويقوم بعد ذلك باتخاذ اإلجراءات حسب االحداث المحددة له‪.‬‬
‫‪46‬‬
‫قد يقوم المهاجم بتنفيذ تعليمات برمجية ضارة من خالل اختطاف وشقة (‪ ))Component Object Model (COM‬عند تشغيله‪ .‬ان‬
‫‪Component Object‬‬
‫البمجيات ونظام التشغيل‪ .‬ويتم تخزين مختلف (‪ )COM‬ن يف‬ ‫بي ر‬‫بتمكي التفاعل ما ن‬‫ن‬ ‫(‪ )COM‬هو احد مكونات نظام الويندوز حيث يقوم‬ ‫‪.015 T1546‬‬
‫‪Model Hijacking‬‬
‫(‪.)Registry‬‬
‫البمجيات وذلك بهدف تصعيد الصالحيات‪ .‬ان استغالل الثغرات او نقاط الضعف ن يف‬ ‫ي ر‬ ‫ف‬‫المهاجمي باستغالل نقاط الضعف ن‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫برمج او خطا يف تنفيذ الخدمات او ثغرة برمجية عل‬ ‫عن خلل ر ي‬ ‫ً‬
‫البمجيات حدث عندما يقوم المهاجم باستغالل نقاط الضعف الناشئة‬ ‫ر‬
‫‪Exploitation for‬‬
‫اخباق المنظمة المستهدفة‬ ‫المهاجمي من التقدم نف ر‬
‫ن‬ ‫تعيق‬ ‫ما‬ ‫وغالبا‬ ‫‪.‬‬ ‫التشغيل‬ ‫نظام‬ ‫ف‬ ‫مستوى النواه الخاصة بالنظام او البامج األساسية ن‬
‫ر‬ ‫‪T1068‬‬
‫ي‬ ‫ي‬ ‫‪Privilege Escalation‬‬
‫المهاجمي باستغالل هذه الثغرات لرفع‬ ‫ن‬ ‫ه الصالحيات واالذونات الممنوحة للوصول لنظام او تقنية معينه‪ ،‬لذلك من المحتمل ان يقوم‬ ‫ي‬
‫صالحياتهم‪.‬‬
‫البمجيات بها‪ .‬ان( ‪Hijack‬‬ ‫الت يقوم النظام بتشغيل ر‬ ‫ر‬ ‫ن‬ ‫انتحال مجال التنفيذ ‪/‬‬
‫قد يقوم المهاجمي بتنفيذ تعليمات برمجية ضارة تقوم باختطاف وشقة االلية ي‬
‫‪ )Execution Flow‬قد يتم استخدامه للبقاء داخل الشبكة بشكل مستمر للمهاجم‪ ،‬حيث ان (‪ )Hijack Execution Flow‬يعمل بشكل‬ ‫‪Hijack Execution‬‬ ‫‪T1574‬‬
‫المبة لرفع الصالحيات او التهرب من االكتشاف ‪.‬‬ ‫المهاجمي كذلك باستخدام هذه ن‬ ‫ن‬ ‫مستمر‪ .‬وقد يقوم‬ ‫‪Flow‬‬
‫البمجية الضارة ‪ ،DLLs‬وذلك بهدف البقاء داخل‬ ‫قد يقوم المهاجمي باعباض طلبات البحث (‪ )search order‬لتنفيذ تعليماتهم ر‬ ‫ر‬ ‫ن‬
‫‪DLL Search Order‬‬
‫فبة ممكنه او تصعيد الصالحيات‪ .‬ان نظام ويندوز يستخدم طريقة شائعة ن يف عملية البحث عن مكتبات ‪ DLL‬المطلوب‬ ‫الشبكة أطول ر‬ ‫‪.001 T1574‬‬
‫ن‬ ‫ن‬ ‫ن‬ ‫‪Hijacking‬‬
‫المهاجمي هذه المبة لتنفيذ اغراضهم الخبيثة‪.‬‬ ‫البامج او التطبيقات‪ .‬وقد يستخدم‬ ‫تحميلها يف احد ر‬
‫جمي بتحميل مكتباتهم (‪ )DLL‬الضارة للنظام‪ .‬وتتشابه هذه الهجمة مع الهجمة السابقة (‪DLL Search Order‬‬ ‫ن‬ ‫قد يقوم المها‬
‫ر‬
‫‪ .)Hijacking‬ويختلف (‪ )side-loading‬عنه انه يقوم بتحميل تلك ‪ DLL‬بدل من زرعها ضمن البتيب الخاص بالبحث عن ‪ DLL‬ثم‬
‫انتظار النظام او الضحية من استدعائها‪ .‬وقد يقوم المهاجمون بهذه الطريقة من خالل زرعها ثم يقوم المهاجم باستدعائها من خالل‬
‫برمجيات معتمدة وغب ضارة‪.‬‬
‫البمجية الضارة من خالل وضعها داخل ( ‪ ))dynamic library (dylib‬مع اسم متوقع من التطبيق‬ ‫ر‬ ‫تعليماته‬ ‫قد يقوم المهاجم بتنفيذ‬
‫التسلسل‬ ‫ر‬
‫المراد استهدفه ان يقوم بتشغيلها ان (‪ ))dynamic library (dylib‬ستقوم بالبحث ومحاولة إيجاد (‪ )dylib‬بناء عل البتيب‬ ‫‪.‬‬
‫ي‬
‫الت تؤدي اىل(‪ )dylib‬مسبوقة ب (@‪ .)rpath‬و(@‪ )rpath‬ه ر‬ ‫ر‬
‫الت‬
‫ي ي‬ ‫للمسارات‪/‬االمتدادات الخاصة بعمليات البحث‪ .‬وقد تكون المسارات ي‬ ‫‪Dylib Hijacking‬‬ ‫‪.004 T1574‬‬
‫تسمح للمطورين بتحديد مجموعة المسارات الخاصة بالبحث وقت التنفيذ‪ .‬وباإلضافة اىل ذلك اذا لم يتم ربطها بالشكل المناسب مثل‬
‫حت ن يف حال عدم وجود(‪ )dylib‬المتوقع‪ .‬مما يتيح‬ ‫البنامج بتنفيذ التعليمات ر‬ ‫استخدام (‪ .)LC_LOAD_WEAK_DYLIB‬سيستمر ر‬
‫للمطورين من تشغيل تطبيقاتهم عل إصدارات متعددة من (‪ )macOS‬مع إضافة واجهات برمجة تطبيقات جديدة (‪.)API‬‬
‫اعباض او شقة (‪ )binaries‬المستخدم ن يف عملية التثبيت‪ .‬وقد تتم هذه‬ ‫البمجية الضارة من خالل ر‬ ‫المهاجمي بتنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫تلقان من خالل تنفيذ بعض (‪ )binaries‬من اثناء عملية التثبيت‪ .‬يف حال كانت الصالحيات ‪/‬االذونات الخاصة بمجلدات‬ ‫بشكل‬ ‫العملية‬ ‫‪Executable Installer‬‬
‫ي‬
‫الت تحتوي عل (‪ )binaries‬المستهدف ن يف العملية‪ .‬او الصالحيات ‪/‬االذونات الخاصة بنفس (‪ )binaries‬تم اعدادها بشكل غب‬ ‫ي‬
‫النظام ر‬ ‫‪File Permissions‬‬ ‫‪.005 T1574‬‬
‫ن‬
‫وف بعض‬ ‫صحيح‪ .‬فقد يقوم ن (‪ )binaries‬بإعادة كتابة نفسه فوق (‪ )binaries‬اخر باستخدام االذونات والصالحيات الممنوحة له‪ .‬ي‬ ‫‪Weakness‬‬
‫والت قد تتضمن صالحيات (‪.)SYSTEM‬‬ ‫ر‬
‫ن‬ ‫األحيان قد يعمل يف اعل صالحيات ي‬
‫البمجية الضارة من خالل اختطاف‪/‬شقة المتغبات(‪ )Variables‬يف البيئة من خالل‬ ‫المهاجمي بتشغيل وتنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫استخدام (‪ )dynamic linker‬إلضافتها للمكتبات المشبكة او ما يسم ب (‪ .)libaraies Shared‬من خالل عمليات التحضب لتنفيذ او‬
‫ر‬ ‫‪Dynamic Linker‬‬
‫المشبكة من خالل المتغبات البيئية‬ ‫البنامج‪ .‬ويقوم (‪ )linker dynamic‬بتحميل مسارات الخصائص البيئية للمكتبات‬ ‫تشغيل ر‬ ‫‪.006 T1574‬‬
‫(‪ )environment variables‬والملفات مثل (‪ )LD_PRELOAD‬يف نظام لينكس او (‪ )DYLD_INSERT_LIBRARIES‬يف نظام‬
‫ر‬ ‫ً ر‬ ‫ر‬
‫الت لها نفس االسم‬ ‫الت تم تحديدها اوال‪ ،‬حت يتم أعطاها أولوية عل مكتبات النظام ي‬ ‫‪ .MacOs‬يتم إعطاء أولوية تحميل المكتبات ي‬
‫‪47‬‬
‫الوظيف‪ .‬وعادة ما يتم استخدام هذه المتغبات من قبل المطورين لتصحيح األخطاء دون الحاجة اىل عمل (‪ .)recompile‬ويتم تنفيذ‬ ‫ن‬
‫ي‬
‫وظائف مخصصة دون الحاجة اىل تغب أي من المكتبات االصلية‪.‬‬
‫الت يتم تحميلها فن‬ ‫البمجية الضارة من خالل اختطاف‪/‬شقة المتغبات (‪ )variables‬ر‬ ‫ن‬
‫ي‬ ‫ي‬ ‫المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬ ‫قد يقوم‬
‫ن‬ ‫ن‬ ‫‪Path Interception by‬‬
‫المكتبات‪ .‬قد يقوم المهاجم بوضع برنامجه من المقدمة يف القائمة المخزنة يف مسارات البيئة ( ‪.)PATH environment variable‬‬
‫ر‬ ‫ر‬ ‫‪PATH Environment‬‬ ‫‪.007 T1574‬‬
‫والت يتم استدعائها من خالل‬ ‫تسلسل باستخدام قائمة (‪ )PATH‬ي‬ ‫ي‬ ‫والت سيقوم نظام التشغيل ويندوز بتشغيله عند عملية البحث بشكل‬ ‫ي‬ ‫‪Variable‬‬
‫سكربت او سطر األوامر‪.‬‬
‫يستدع‬ ‫ر‬
‫البمجية الضارة من خالل اختطاف ترتيب البحث والذي من المفبض انه‬ ‫المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬ ‫‪Path Interception by‬‬
‫ي‬ ‫ً‬
‫البامج ال تستدع برامج أخرى باستخدام قائمة (‪ ،)PATH‬قد يقوم المهاجم بوضع ملفاته نف القائمة التر‬ ‫ر‬ ‫بعض‬ ‫ان‬ ‫ا‬
‫ر‬ ‫ونظ‬ ‫‪.‬‬‫اخر‬ ‫برنامج‬ ‫‪Search Order‬‬ ‫‪.008 T1574‬‬
‫ي‬ ‫ي‬ ‫ي‬
‫والت سيتسبب بجعل النظام بتشغيل برنامجه الضار بسبب استدعاء برنامج اخر له‪.‬‬ ‫البمجيات منها‪ .‬ر‬ ‫ر‬ ‫استدعاء‬ ‫سيتم‬ ‫‪Hijacking‬‬
‫ي‬
‫البمجية الضارة من خالل اختطاف المراجع الخاصة بالملفات‪ .‬قد يستغل المهاجم‬ ‫ن‬
‫قد يقوم المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬
‫البمجية التنفيذية ن يف اعل القائمة ن يف (‪.)PATH‬‬ ‫والت من خاللها يقوم بوضع تعليماته ر‬ ‫ي‬
‫المسارات الغب محدده بعالمات االقتباس ("") ر‬ ‫‪.009 T1574‬‬
‫والت عندما يقوم نظام التشغيل الويندوز باالختيار من القائمة سيقوم بتشغيله‪.‬‬ ‫ي‬
‫الت يتم استخدامها من قبل الخدمات‪.‬‬ ‫ر‬ ‫ن‬
‫البمجية الضارة من خالل اختطاف ‪/‬شقة (‪ )binaries‬ي‬ ‫قد يقوم المهاجمي بتشغيل تعليماتهم ر‬
‫الت يتم تنفيذها عند‬ ‫المهاجمي سب العمل (‪ )Flaws‬الخاصة بالصالحيات لنظام الخدمات نف الويندوز الستبدال (‪ )binaries‬ر‬ ‫ن‬ ‫يستغل‬
‫ي‬ ‫ي‬ ‫‪Services File‬‬
‫تلقان بواسطة (‪ )binaries‬مخصص لتنفيذ وظيفة محددة‪ .‬اذا تم تحديد‬ ‫ي‬ ‫تنفيذ الخدمات‪ .‬وبعض الخدمات قد يتم تفعيلها بشكل‬
‫‪Permissions‬‬ ‫‪.010 T1574‬‬
‫الصالحيات المجلد الذي يحتوي عل (‪ )binaries‬المستهدف او الصالحيات عل (‪ )binaries‬بذاته‪ ،‬فقد يقوم المهاجم بالكتابة فوقة‬
‫ر‬ ‫ر‬ ‫ن‬ ‫‪Weakness‬‬
‫الت تسمح له‬ ‫والت قد تكون صالحيات عالية او صالحيات النظام ( ‪ )SYSTEM‬ي‬ ‫بالصالحيات الممنوحة له يف المجلد او (‪ )binaries‬بذاته ي‬
‫بهذا العمل والتنفيذ‪.‬‬
‫البمجية الضارة من خالل اختطاف ‪/‬شقة مدخالت (‪ )Registry‬المستخدمة من قبل الخدمات‬ ‫ر‬ ‫تعليماتهم‬ ‫بتشغيل‬ ‫ن‬
‫المهاجمي‬ ‫قد يقوم‬
‫ن يف النظام يستغل المهاجمي سب العمل (‪ )Flaws‬الخاصة بالصالحيات لنظام لل (‪ )Registry‬يف الويندوز العادة تنفيذ التعليمات‬
‫ن‬ ‫ن‬ ‫‪.‬‬
‫والت يستخدمها لتشغيل االكواد الضارة من خالل الخدمات‪ .‬ويقوم نظام ويندوز بحفظ‬ ‫ر‬ ‫ر‬
‫الت يتم تخزينها فن‬ ‫الت يتحكم بها ن‪ .‬ي‬ ‫للبمجيات ي‬ ‫البمجية األصلية ر‬ ‫ر‬ ‫‪Services Registry‬‬
‫الخدمات المحلية واالعدادات الخاصة بها ف (‪ )HKLM\SYSTEM\CurrentControlSet\Services‬والخدمات ر‬ ‫‪Permissions‬‬ ‫‪.011 T1574‬‬
‫ي‬ ‫ي‬ ‫ي‬
‫والت من شأنها ات تقوم بتشغيل أدوات او تنفيذ‬ ‫(‪ )Registry keys‬قد يتم التالعب بها او تعديلها لجعلها تقوم بتنفيذ الخدمات الضارة ر‬ ‫‪Weakness‬‬
‫ي‬
‫تعليمات برمجية او تشغيل ‪ PowerShell‬او ‪ .Reg‬ويتم التحكم ن يف الوصول اىل (‪ )Registry keys‬من خالل قوائم التحكم ن يف الوصول‬
‫واالذونات (‪.)Access Control Lists and permissions‬‬
‫ر‬ ‫ر‬ ‫ن‬ ‫ن‬
‫والت تقوم‬
‫البنامج ي‬ ‫والت قد تؤدي اىل اختطاف‪/‬شقة آلية عمل ر‬ ‫قد يستغل المهاجمي المتغبات يف البيئة ل (‪ )COR_PROFILER‬ي‬
‫ر‬ ‫ن‬
‫والت تسمح للمطورين بتحديد ملفات‬ ‫ه احد الممبات الطار (‪ .‬ن‪ )Framework NET‬ي‬ ‫بتحميلها اىل ‪ NET CLR.‬ان (‪ )COR_PROFILER‬ي‬ ‫‪COR_PROFILER‬‬ ‫‪.012 T1574‬‬
‫‪.‬‬ ‫‪.‬‬
‫التعاريف ‪ DLL/External .NET‬الغب مدارة (‪ )unmanaged‬ليتم تحميلها يف كل عملية من عمليات ‪ NET CLR‬وتم إيجاد وتصميم‬
‫الت يتم تنفيذها بواسطة ‪.NET CRL.‬‬ ‫ر‬
‫البمجية ي‬ ‫ملفات التعريف لمراقبة وتصحيح األخطاء ر‬
‫المهاجمي بحقن العمليات وذلك بهدف رفع الصالحيات او التهرب من االكتشاف‪ .‬وقد تستخدم حقن العمليات لتنفيذ تعليمات‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫ر‬ ‫ن‬ ‫حقن العمليات ‪/‬‬
‫والت قد تسمح بحقن والوصول اىل العمليات يف الذاكرة العشوائية (‪ )Memory‬او النظام او الشبكة‪.‬‬ ‫ضارة يف بعض العمليات النشطة‪ .‬ي‬ ‫‪T1055‬‬
‫ن‬ ‫‪Process Injection‬‬
‫وتعتب عملية حقن العمليات من األساليب المتبعة من قبل المهاجمي حيث انها تعمل وكأنها عملية طبيعية وغب ضارة‪.‬‬ ‫ر‬
‫قد يقوم المهاجمي بحقن (‪ )libraries (DLLs dynamic-link‬داخل العمليات وذلك من اجل رفع الصالحيات او التهرب من‬ ‫ن‬ ‫‪Dynamic-link Library‬‬
‫‪.001 T1055‬‬
‫االكتشاف‪ .‬ان عملية حقن ‪ DLL‬تتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة‬ ‫‪Injection‬‬
‫‪48‬‬
‫ن‬ ‫البمجيات الجاهزة‬
‫حقن ر‬
‫المهاجمي بحقن (‪ )PE‬داخل العمليات وذلك من اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن ‪ PE‬تتم لتنفيذ‬ ‫قد يقوم‬
‫‪/‬‬
‫للعمل ‪Portable‬‬ ‫‪.002 T1055‬‬
‫تعليمات ضارة ن يف بعض العمليات النشطة‬
‫‪Executable Injection‬‬
‫الت يتم اختطافها وذلك من اجل رفع الصالحيات او التهرب من‬ ‫البمجيات الضارة نف العمليات ر‬ ‫ن‬
‫المهاجمي بحقن بعض ر‬ ‫قد يقوم‬ ‫‪Thread Execution‬‬
‫ن‬ ‫ي‬ ‫ي‬ ‫‪.003 T1055‬‬
‫االكتشاف‪ .‬ان عملية حقن (‪ )Thread Execution Hijacking‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‪.‬‬ ‫‪Hijacking‬‬
‫البمجيات الضارة ن يف العمليات النشطة من خالل (‪ asynchronous procedure call (APC‬وذلك‬ ‫المهاجمي بحقن بعض ر‬ ‫ن‬ ‫قد يقوم‬ ‫‪Asynchronous‬‬
‫‪.004 T1055‬‬
‫من اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )APC‬تتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة‪.‬‬ ‫‪Procedure Call‬‬
‫البمجيات الضارة ن يف العمليات النشطة من خالل ( (‪thread local storage (TLS‬وذلك من اجل رفع‬ ‫المهاجمي بحقن بعض ر‬ ‫ن‬ ‫قد يقوم‬ ‫‪Thread Local‬‬
‫ن‬ ‫‪.005 T1055‬‬
‫الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )TLS callback‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‪.‬‬ ‫‪Storage‬‬
‫البمجيات الضارة ن يف العمليات النشطة من خالل (‪)processes via ptrace (process trace‬‬ ‫المهاجمي بحقن بعض ر‬ ‫ن‬ ‫قد يقوم‬
‫‪ )system calls‬وذلك من اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )Ptrace system call‬تتم لتنفيذ تعليمات‬ ‫‪Ptrace System Calls‬‬ ‫‪.008 T1055‬‬
‫ضارة ن يف بعض العمليات النشطة‪.‬‬
‫عب استخدام (‪ )Proc‬لملفات النظام وذلك من اجل رفع الصالحيات او التهرب من االكتشاف‪.‬‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪Proc Memory‬‬ ‫‪.009 T1055‬‬
‫ان عملية حقن (‪ )Proc memory‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬
‫عب استخدام (‪ )Extra windows memory EWM‬لملفات النظام وذلك من اجل رفع‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬ ‫‪Extra Window‬‬
‫ن‬ ‫‪.011 T1055‬‬
‫الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )EWM‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬ ‫‪Memory Injection‬‬
‫عب استخدام عمليات تم ايقافها وتسم ب (‪ )hollowed processes‬وذلك من اجل رفع‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪Process Hollowing‬‬ ‫‪.012 T1055‬‬
‫الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )hollowed processes‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬
‫عب استخدام (‪ )process doppelgänging‬وذلك من اجل رفع الصالحيات او التهرب من‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬ ‫‪Process‬‬
‫ن‬ ‫‪.013 T1055‬‬
‫االكتشاف‪ .‬ان عملية حقن (‪ )process doppelgänging‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬ ‫‪Doppelgänging‬‬
‫عب استخدام اختطاف او انتحال (‪ )VDSO‬وذلك من اجل رفع الصالحيات او التهرب من‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪VDSO Hijacking‬‬ ‫‪.014 T1055‬‬
‫االكتشاف‪ .‬ان عملية حقن (‪ VDSO‬او ‪ )Virtual dynamic shared object‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬
‫المهاجمي باستغالل وظائف الجدولة او ما يسم ب (‪ )Scheduled Task/Job‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ن‬ ‫ر‬ ‫ر‬ ‫ن‬
‫ه أداة متوفرة يف اكب أنظمة‬ ‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ان (‪ )Scheduled Task/Job‬ي‬ ‫ي‬ ‫شأنها تأمي الوصول‬
‫البمجيات السكربتات عند تاري خ او وقت محدد‪ .‬وتستطيع كذلك الجدولة عن بعد ن يف حال توفرت‬ ‫التشغيل وذلك بهدف جدولة تشغيل ر‬ ‫جدولة االعمال والمهام ‪/‬‬
‫‪T1053‬‬
‫لديك الصالحيات المناسبة عل سبيل المثال للجدولة عن بعد ((‪and file and printer sharing in Windows ex: RPC‬‬ ‫‪Scheduled Task/Job‬‬
‫‪ .))environments‬وعل االغلب ان جدولة االعمال عن بعد تستلزم وجود المستخدم ن يف مجموعة مدراء النظام او ان يكون لدى‬
‫المستخدم بعض الصالحيات العالية عل النظام البعيد‪.‬‬
‫المهاجمي باستغالل أداة جدولة االعمال نف نظام لينكس وتسم (‪ )at‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمين‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫ر‬ ‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ان االمر (‪ )at‬يتم استخدامه فقط من قبل مدراء النظام لجدولة االعمال‬ ‫الوصول‬ ‫بيئة لينكس ‪)At (Linux /‬‬ ‫‪.001 T1053‬‬
‫ي‬
‫كما تم ذكره‪.‬‬
‫ن‬
‫قد يقوم المهاجمي باستغالل أداة جدولة االعمال يف نظام ويندوز وتسم (‪ )at.exe‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬ ‫بيئة ويندوز ‪At /‬‬
‫ر‬ ‫تأمي الوصول االوىل او البقاء أطول ر‬ ‫ن‬ ‫‪.002 T1053‬‬
‫كبمجية تنفيذية هدفها جدولة االعمال‬ ‫المخبق‪ .‬ان االمر (‪ )at.exe‬متوفر ر‬ ‫فبة ممكنه داخل النظام‬ ‫ي‬ ‫‪)(Windows‬‬
‫‪49‬‬
‫لك تعمل ن يف وقت او تاري خ محدد‪ .‬ويتطلب استخدام (‪ )at.exe‬تفعيل خدمة (‪ .)Scheduler Task‬وان يتم استخدام احد‬ ‫لنظام ويندوز ي‬
‫الت ن يف مجموعة مدراء النظام‪.‬‬ ‫ر‬
‫الحسابات ي‬
‫ن‬
‫قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )cron‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي الوصول‬ ‫ن‬
‫وه موجهه لنظام (‪.)Unix‬‬ ‫ر‬ ‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ان االمر (‪ )cron‬تعمل حسب الوقت المحدد لها ي‬ ‫ي‬ ‫‪Cron‬‬ ‫‪.003 T1053‬‬
‫وتحتوي (‪ )crontab‬عل جدول االدخاالت الخاصة ب (‪ )cron‬واالوقات المراد تشغيلها به والمسارات المطلوب تفعيلها او الملفات‬
‫التنفيذية‪.‬‬
‫قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )Launchd daemon‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬
‫ر‬ ‫ر‬ ‫ن‬
‫وه مسؤولة عن‬
‫ن‬ ‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ان االمر (‪ )Launchd‬موجهه لنظام (‪ .)macOS‬ي‬ ‫ي‬ ‫تأمي الوصول‬
‫تحميل واداة الخدمات الخاصة بنظام التشغيل‪ .‬ان عملية تحميل ن(‪ )parameters‬لكل عملية تشغيل لل (‪ )Launchd‬تتم بشكل ي‬
‫خف‬
‫‪Launchd‬‬ ‫‪.004 T1053‬‬
‫ويتم قراءتها من قائمة مخصصة او ما تسم ب (‪ )plist‬و المتواجدة يف (‪System/Library/LaunchDaemons and /‬‬
‫‪ .)/Library/LaunchDaemons‬وتحتوي (‪ )LaunchDaemons‬عل قائمة يتم اإلشارة لكل ملف تنفيذي والمسار الخاص به الذي‬
‫البمجية منه‪.‬‬ ‫سيتم تنفيذ ر‬
‫قد يقوم المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )Windows Task Scheduler‬وذلك بهدف تنفيذ تعليمات برمجية ضارة‬ ‫ن‬
‫المخبق‪ .‬توجد طرق متعددة للوصول اىل ( ‪Windows Task‬‬ ‫ر‬ ‫فبة ممكنه داخل النظام‬ ‫تأمي الوصول االوىل او البقاء أطول ر‬ ‫ن‬ ‫من شأنها‬
‫ي‬ ‫ن‬ ‫جدولة االعمال ‪/‬‬
‫ر‬
‫‪ )Scheduler‬يف نظام ويندوز تستطيع الوصول لها بشكل مباش من سطر االوامر او من خالل الواجهة الرسومية الخاصة بأدوات مدراء‬ ‫‪.‬‬ ‫‪.005 T1053‬‬
‫‪Scheduled Task‬‬
‫المهاجمي بتفعيلها من خالل (‪ )NET wrapper.‬وقد يتم استخدام (‪ )netapi32‬ن يف‬ ‫ن‬ ‫وف بعض األحيان قد يقوم‬ ‫ن‬
‫النظام من لوحة التحكم‪ .‬ي‬
‫المكتبات الخاصة بنظام ويندوز‪.‬‬
‫المهاجمي باستغالل أداة جدولة االعمال وتسم (‪ )systemd timers‬وذلك بهدف تنفيذ تعليمات برمجية ضارة من شأنها‬ ‫ن‬ ‫قد يقوم‬
‫ه عبارة عن ملفات بامتدادات يرمز‬ ‫)‬ ‫‪systemd‬‬ ‫‪timers‬‬ ‫(‬ ‫أداة‬ ‫‪.‬‬ ‫ق‬ ‫ر‬
‫فب‬ ‫أطول‬ ‫البقاء‬ ‫او‬ ‫االوىل‬ ‫الوصول‬ ‫تأمي‬ ‫ن‬
‫ي‬ ‫ي‬ ‫‪Systemd Timers‬‬ ‫‪.006 T1053‬‬
‫والت يتم التحكم بالخدمات من خاللها و (‪ )systemd timers‬قد يتم استخدامه لتنفيذ االحداث الخاصة بالتقويم‪.‬‬ ‫ر‬
‫ن‬ ‫لها ب (‪ )timer.‬ي‬
‫ويمكن استخدامها كبديل ل (‪ )Cron‬يف نظام لينكس‪.‬‬
‫فبة ممكنه داخل النظام‬ ‫قد يقوم المهاجم باستغالل بيانات االعتماد للحسابات الفعالة وذلك بهدف الوصول االوىل او البقاء أطول ر‬
‫ي‬
‫لتخط عناض التحكم بالوصول‬ ‫يستخدم‬ ‫ر‬
‫المخبقة قد‬ ‫المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان بيانات االعتماد‬ ‫ر‬
‫ي‬
‫الت تم تطبيقها عل األنظمة والموارد الخاصة بالشبكة‪ .‬وقد يتم استخدام هذه الحسابات للوصول لألنظمة عن‬ ‫ر‬ ‫حساب فعال ‪Valid /‬‬
‫(‪ )access controls‬ي‬ ‫‪T1078‬‬
‫ر‬
‫المخبقة‬ ‫ون او سطح المكتب البعيد من خالل المتصفح‪ .‬وقد يتم استخدام بيانات االعتماد‬ ‫االلكب ن‬
‫ر‬ ‫يد‬
‫الب‬ ‫او‬ ‫‪VPN‬‬ ‫بعد او الخدمات مثل‬ ‫‪Accounts‬‬
‫ي‬ ‫ر‬
‫لتصعيد الصالحيات ألنظمة محدد او الوصول اىل منطقة حساسة داخل الشبكة المستهدفة‪ .‬وقد يقوم المهاجم بتنفيذ عملياته الضارة‬
‫والت قد تؤدي اىل اكتشافه‪.‬‬ ‫ر‬ ‫ر‬
‫البمجيات الضارة ي‬ ‫المخبقة دون الحاجة اىل تبيث بعض ر‬ ‫ببيانات االعتماد‬
‫ر‬
‫االوىل او البقاء أطول فبة‬ ‫والت تمكنه من الوصول‬ ‫ر‬ ‫ن‬ ‫ر‬
‫ي‬ ‫قد يقوم المهاجم بالحصول عل بيانات االعتماد للحسابات االفباضية يف النظام ي‬
‫الت يتم انشاءها بشكل‬ ‫االفباضية ه ر‬ ‫المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان الحسابات ر‬ ‫ر‬ ‫ممكنه داخل النظام‬
‫ي ي‬ ‫اض ‪/‬‬‫ر ن‬
‫تأن كذلك من األنظمة‬ ‫ر‬ ‫قد‬ ‫اضية‬ ‫ر‬
‫االفب‬ ‫الحسابات‬ ‫‪.‬‬
‫ز‬ ‫ويندو‬ ‫نظام‬ ‫ف‬ ‫ن‬ ‫)‬ ‫‪Administrator‬‬ ‫او‬ ‫‪Guest‬‬ ‫(‬ ‫حساب‬ ‫مثل‬ ‫األنظمة‬ ‫اض داخل‬ ‫ر ن‬ ‫حساب افب ي‬
‫ي‬ ‫ي‬ ‫افب ي‬ ‫‪Default Accounts‬‬
‫‪.001 T1078‬‬
‫والت قد تكون حساب مدير للنظام‪ .‬ان حساب مدير النظام الخاص بخدمات (‪)AWS‬‬ ‫ر‬ ‫الخاصة ببعض العتاد من ر‬
‫الشكة المصنعة‪ .‬ي‬ ‫ن‬
‫اض يف (‪)Kubernetes‬‬ ‫ر ن‬
‫وحساب الخدمات االفب ي‬
‫االوىل او البقاء‬ ‫والت تمكنه من الوصول‬ ‫ر‬ ‫ن‬ ‫حساب مدير النظام ‪/‬‬
‫ي‬ ‫قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بمدراء النطاق (‪ )domain account‬ي‬ ‫‪.002 T1078‬‬
‫ر‬ ‫ر‬ ‫ر‬
‫والت يتم التحكم بها‬ ‫أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان حسابات مدراء النطاق ي‬ ‫‪Domain Accounts‬‬
‫‪50‬‬
‫والت من خاللها يتم إعطاء الصالحيات و التكوين لخدمات للنظام‪ .‬ومن الممكن ان‬‫ر‬
‫من قبل (‪ )Service Active Directory Domain‬ي‬
‫ن‬
‫مستخدمي او خدمات‪.‬‬ ‫تكون حسابات مدراء‪ .‬النظام عبارة عن حسابات‬
‫االوىل او البقاء‬ ‫ر‬
‫والت تمكنه من الوصول‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات المحلية (‪ )local account‬ي‬ ‫محل ‪Local /‬‬ ‫حساب‬
‫ر‬
‫فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬الحسابات المحلية يتم اعدادها من قبل المنظمة‬ ‫أطول ر‬ ‫ي‬ ‫‪.003 T1078‬‬
‫بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة و ادارتها‪.‬‬
‫والت تمكنه من الوصول‬ ‫المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات عل الخدمات السحابية (‪ )cloud account‬ر‬
‫ن‬ ‫قد يقوم‬
‫ي‬
‫‪.‬‬ ‫ر‬ ‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف حسابات الخدمات السحابية قد‬ ‫حساب الخدمات‬
‫ي‬
‫يتم انشاءها واعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة‬ ‫السحابية ‪Cloud /‬‬ ‫‪.004 T1078‬‬
‫وادارتها او التطبيقات‪ .‬قد يتم توحيد الحسابات الخاصة بالخدمات السحابية مع الحسابات ن يف النطاقات ( ‪Window Active‬‬ ‫‪Accounts‬‬
‫‪)Directory‬‬
‫‪51‬‬
‫التهرب من االكتشاف ‪Defense Evasion /‬‬
‫ر‬ ‫ن‬ ‫ً‬
‫االخباق باستخدام أساليب متعددة‪ .‬وقد تشتمل تلك‬ ‫المهاجمي بالتهرب من االكتشاف بعد عملية‬ ‫التهرب من االكتشاف‪ :‬غالبا ما يقوم‬
‫ن‬
‫وترمب البيانات والسكربتات‪ .‬وقد يقوم‬ ‫العمليات عل الغاء تثبيت او تعطيل الخدمات‪/‬األجهزة‪/‬األنظمة‪/‬التطبيقات األمنية‪ .‬او تشفب‬
‫ر‬ ‫ن‬
‫المهاجم باستغالل الثقة يف بعض العمليات المعروفة داخل النظام إلخفاء برمجياته الضارة‪ .‬وبعض التقنيات ي‬
‫الت قد يستخدمها المهاجم‬
‫لتخريب الدفاعات‪.‬‬
‫‪52‬‬
‫الفرع‬
‫قد يقوم المهاجم بالتالعب واستغالل آليات التحكم ن يف رفع الصالحيات للحصول عل صالحيات او أذونات اعل‪ .‬وتحتوي‬
‫والت تهدف اىل رفع او التحكم ن يف الصالحيات لحساب او خدمة‬ ‫ي‬
‫معظم أنظمة التشغيل الحديثة عل آلية لتحكم نف الصالحيات ر‬
‫ي‬
‫اساءة استخدام ن‬
‫مبة رفع الصالحيات ‪/‬‬
‫والت تكون ن يف معظم االحول من إعطاء صالحيات لبعض‬ ‫ي‬
‫محددة من اجل أداء المهام المطلوب تنفيذها عل النظام‪ .‬ر‬ ‫‪Elevation Control Abuse‬‬ ‫‪T1548‬‬
‫المستخدمي للقيام بمهام حساسة وحرجة تتطلب صالحيات عالية‪ .‬وقد يقوم المهاجم بطرق مشابه لالستفادة من طرق رفع‬ ‫ن‬ ‫‪Mechanism‬‬
‫الصالحيات المتوفرة مع النظام من اجل رفع الصالحيات الخاصة به‪.‬‬
‫ن‬
‫المهاجمي باستخدام ما يسم ب (‪ )shell escapes‬او استغالل الثغرات يف التطبيقات مع ما يطلق عليه (‪ )setsuid‬او‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫مستخدمي اخرين‪ .‬ان يف نظام (لينكس او ماك او اس)‪.‬‬ ‫ن‬ ‫ن‬
‫(‪ )setgid bits‬وذلك بهدف الحصول عل كود ضار يعمل يف حسابات‬
‫تعي (‪ setuid‬او ‪ )setgid bits‬الحد التطبيقات‪ ،‬سيعمل التطبيق بامتيازات المستخدم او المجموعة المستهدفة‪.‬‬ ‫عندما يتم ن‬
‫‪Setuid and Setgid‬‬ ‫‪.001 T1548‬‬
‫الحاىل‪ .‬بغض النظر عن المستخدم المالك‬ ‫ي‬ ‫والحالة الطبيعية عند أي تشغيل التطبيق يتم تنفيذه بصالحيات المستخدم‬
‫ر‬
‫الت تحتاج اىل صالحيات‬ ‫للتطبيق او المجموعة‪ .‬ومع ذلك هناك حاالت تحتاج بعض التطبيقات فيها اىل تنفيذ بعض الوظائف ي‬
‫حت وان كان المستخدم ال يمتلك تلك الصالحيات‪.‬‬ ‫عالية ر‬
‫بتخط آليات التحكم يف حساب المستخدم وذلك بهدف رفع الصالحيات عل النظام‪ .‬نظام ويندوز يمتلك‬ ‫ن‬ ‫قد يقوم المهاجم ن‬
‫ي‬
‫ي‬
‫والت تقوم بتتبع سالمة عمليات‬ ‫ر‬
‫وه تسمح برفع الصالحيات ي‬ ‫ما يسم ب ( ‪ ))Windows User Account Control (UAC‬ي‬
‫والت ر‬
‫تأن‬ ‫التصعيد من الصالحيات األقل اىل األعل‪ .‬وعادة ما يتم تنفيذ وتعديل والوصول تلك المهمة بصالحيات مدير النظام ر‬ ‫تخط صالحيات التحكم بالحسابات ‪/‬‬
‫ي ي‬ ‫ي‬ ‫‪.002 T1548‬‬
‫ن‬
‫المستخدمي ان هذه المهمة تتطلب صالحيات عالية‬ ‫عل شكل (تبويب) للمستخدم لتأكيد عل العملية‪ ،‬وذلك بهدف تنبيه‬ ‫‪User Account Control Bypass‬‬
‫وقد تقوم بالتأثب عل النظام وقد تتطلب ن‬ ‫ي‬
‫المحل ( ‪ Local‬او ‪ )domain‬ادخال كلمة المرور‬ ‫ي‬ ‫النظام‬ ‫اء‬ ‫ر‬ ‫مد‬ ‫من‬ ‫األحيان‬ ‫بعض‬ ‫ف‬ ‫ي‬
‫إلكمال اإلجراءات‪.‬‬
‫ن‬ ‫‪.‬‬
‫قد يقوم المهاجم بتنفيذ (‪ )and/or use the suoders sudo caching‬لرفع الصاحيات قد يقوم المهاجمي بتنفيذ بعض‬
‫ن‬ ‫ر‬ ‫‪Sudo and Sudo Caching‬‬ ‫‪.003 T1548‬‬
‫لمستخدمي اخرين واالستفادة منها للحصول عل صالحيات اعل‪.‬‬ ‫الت من شأنها استدعاء بعض العمليات التابعة‬ ‫األوامر ي‬
‫المهاجمي من استخدام ( ‪ )AuthorizationExecuteWithPrivileges API‬لرفع الصالحيات من خالل استخدام‬ ‫ن‬ ‫قد يقوم‬
‫الطلب من المستخدمي بيانات االعتماد الخاصة بهم‪ .‬ان الهدف من استخدام (‪ ) API‬هو إعطاء المطورين للتطبيقات طريقة‬ ‫ن‬ ‫‪Elevated Execution with‬‬
‫ً‬ ‫‪.004 T1548‬‬
‫سهله الجراء العمليات بصالحيات عالية جدا‪ ،‬عل سبيل المثال تثبيت تطبيق او تحديث‪ .‬حيث ان (‪ )API‬ال تقوم بالتحقق من‬ ‫‪Prompt‬‬
‫التطبيق الذى يطلب تلك الصالحيات هل هو تطبيق ضار او غب ضار او تم تعديله‪.‬‬
‫المهاجمي بتعديل (‪ )tokens‬للقيام بتنفيذ عمليات بحساب مستخدم اخر او حساب النظام (‪ )SYSTEM‬وذلك‬ ‫ن‬ ‫قد يقوم‬
‫الت قيد التشغيل‪ .‬ويمكن للمستخدم‬ ‫بهدف تخط آليات التحكم‪ .‬يستخدم نظام ويندوز (‪ )tokens‬لتحديد ملكية العمليات ر‬ ‫التالعب بالتوكن ‪Access Token /‬‬
‫ي‬ ‫ي‬ ‫‪T1134‬‬
‫الت قيد التشغيل كما انها لو كانت تابعة لمستخدم اخر او تابعة لعملية أخرى ( ‪child‬‬ ‫من التالعب ب (‪ )tokens‬لتظهر العملية ر‬ ‫‪Manipulation‬‬
‫ي‬
‫‪ .)process of a different‬وعند القيام بذلك تأخذ هذه العملية سياق األمان المرتبطة ب (‪ )tokens‬الجديد الذي تم ربطه به‪.‬‬
‫تخط آليات التحكم‪.‬‬ ‫المهاجمي بانتحال او بتكرار (‪ )token‬الخاص بمستخدم أخرى وذلك بهدف رفع الصالحيات او‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫‪Token Impersonation/Theft‬‬ ‫‪.001 T1134‬‬
‫المهاجمي يستطيعون انشاء وتكرار (‪ )token‬الموجود باستخدام (‪ .))DuplicateToken(Ex‬ويمكن بعد ذلك‬ ‫ن‬
‫‪53‬‬
‫معي‬‫ن‬ ‫والت تسمح باستدعاء ( ‪)thread‬‬ ‫ر‬
‫استخدام(‪ )token‬المكرر لعملية تسم ب (‪ )ImpersonateLoggedOnUser‬ي‬
‫وانتحال صفة مستخدم مسجل دخوله اىل النظام‪ .‬او استخدام (‪ )SetThreadToken‬لتعينه وربطه ب ( ‪ )thread‬مخصص‪.‬‬
‫ن‬
‫للمهاجمي‬ ‫تخط آليات التحكم‪ .‬يمكن‬ ‫المهاجمي بإنشاء عملية جديدة او تكرار (‪ )token‬بهدف رفع الصالحيات او‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫من تكرار (‪ )token‬باستخدام (‪ DuplicateToken(Ex‬و يستخدمها مع ‪ CreateProcessWithTokenW‬بهدف انشاء‬ ‫‪Create Process with Token‬‬ ‫‪.002 T1134‬‬
‫ن‬ ‫ً‬
‫عملية جديدة تحت المستخدم المنتحل‪ .‬هذه الطريقة مفيدة جدا إلنشاء العمليات تحت حسابات مستخدمي اخرين‪.‬‬
‫تخط آليات التحكم‪ .‬ن يف حال كان لدى المهاجم اسم‬ ‫ي‬ ‫المهاجمي بإنشاء او انتحال (‪ )tokens‬بهدف رفع الصالحيات او‬ ‫ن‬ ‫قد يقوم‬
‫مستخدم وكلمة مرور ولكن المستخدم لم يقم بتسجيل الدخول للنظام‪ ،‬فيمكن للمهاجم من انشاء جلسة (‪)Session‬‬
‫‪Make and Impersonate Token‬‬ ‫‪.003 T1134‬‬
‫للمستخدم باستخدام وظيفة (‪ .)LogonUser‬هذه الوظيفة ستقوم باستعادة نسخة من رمز (‪ )tokens‬الخاصة بالجلسة‬
‫ويقوم المهاجم بعد ذلك باستخدام (‪ )SetThreadToken‬لربط ( ‪ )tokens‬ب (‪ )thread‬مخصص‪.‬‬
‫التخف من‬ ‫ن‬ ‫المهاجمي بانتحال (‪ ))identifier (PPID parent process‬لعملية جديدة (‪ )New process‬بهدف‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫ر‬
‫عملية (مراقبة العمليات) او لرفع الصالحيات‪ .‬وعادة ما يتم انشاء العمليات الجديدة مباشه من بواسطة (‪ parent‬او ‪)calling‬‬
‫ن‬
‫عب استدعاء‬ ‫ه ر‬ ‫مالم يتم تحديد مكان االستدعاء بشكل واضح‪ .‬ان أحد الطرق لتعيي (‪ )PPID‬بشكل واضح لعملية جديدة ي‬
‫(‪ ،)call CreateProcess API‬والذي يدعم (‪ )parameter‬لتحديد ( ‪ )PPID‬ومن ثم استخدامه‪ .‬يتم استخدام هذه الوظيفة‬ ‫‪Parent PID Spoofing‬‬ ‫‪.004 T1134‬‬
‫والت تقوم بتصحيح عملية (‪ )PPID‬بعد عملية‬ ‫نف نظام ويندوز بواسطة (‪ )Windows features‬عل سبيل المثال (‪ )UAC‬ر‬
‫ي‬ ‫ي‬
‫والت تتم عادة من خالل ( ‪svchost.exe or‬‬ ‫ر‬
‫تلك العملية واستدعائها بواسطة (‪ )SYSTEM‬ي‬ ‫ً‬
‫طلب رفع صالحية‬
‫‪ )consent.exe‬بدال من استخدام صالحيات المستخدم نفسه‪.‬‬
‫تخط آليات التحكم‪ .‬ان ( ‪Windows‬‬ ‫ي‬ ‫قد يقوم المهاجم باستخدام (‪ )Injection SID-History‬بهدف رفع الصالحيات او‬
‫‪ ))identifier (SID security‬هو قيمة فريدة تستخدم لتعريف حسابات (المستخدم‪/‬المجموعة)‪ .‬ان (‪ )SID‬تستخدم بواسطة‬
‫تقنيات األمان ن يف نظام ويندوز وكذلك تقنية (‪ .)Tokens‬حيث يمكن للحساب االحتفاظ ب (‪ )SID‬ن يف ( ‪SID-History Active‬‬ ‫‪SID-History Injection‬‬ ‫‪.005 T1134‬‬
‫والت تسمح باستخدام‪/‬تبادل الحسابات‪/‬المعلومات بين‬ ‫والت تسمح بعملية تسم ب (‪ )inter-operable‬ر‬ ‫‪ )Directory‬ر‬
‫ي‬ ‫ي‬
‫تضمي جميع القيام الخاصة ب (‪ )tokens access‬ن يف (‪.)SID-History‬‬ ‫ن‬ ‫النطاقات (‪ .)Domains‬عل سبيل أمثال (‬
‫الت يخلفها المهاجم‪.‬‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي باستخدام وظائف (‪ )BITS‬لتنفيذ تعليمات برمجية ضارة او استخدامها لمسح االثار ي‬
‫ه عبارة عن آلية لنقل الملفات بشكل غب‬ ‫ان خدمة ( ‪ )Windows Background Intelligent Transfer Service (BITS‬ي‬
‫مبامنة وذات نطاق ترددي منخفض ويتم استعراضها من خالل (‪ .)COM‬ويتم استخدام (‪ ) BITS‬بشكل شائع من قبل‬ ‫رن‬
‫ن‬ ‫المر ن‬ ‫وظائف ‪BITS Jobs‬‬ ‫‪T1197‬‬
‫اسلي (‪ )messengers‬او أي تطبيق يفضل العمل يف الخلفية ويستخدم (‪ )idle bandwidth‬من غب مقاطع أي‬
‫ر‬
‫والت تحتوي عل قائمة انتظار لملف‬ ‫بروتوكول أخرى يعمل بالشبكة‪ .‬ويتم تنفيذ مهام نقل الملفات من خالل وظائف (‪ ،)BITS‬ي‬
‫اكب من ملف‪.‬‬ ‫واحد او ر‬
‫التخف من االكتشاف او‬ ‫ن‬ ‫الت يقوم بها وذلك بهدف‬ ‫ر‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجم باستخدام تقنيات من شأنها ترمب وتشفب الهجمات ي‬ ‫فك ر‬
‫الب ن‬
‫مب من الملفات او‬
‫ن‬ ‫ر‬
‫والت قد تحتاج اىل برمجيات او طرق خاصة لعكس العملية وفك البمب او التشفب‪ .‬وقد يستخدم‬ ‫تصعيب عملية التحليل‪ ،‬ر‬
‫ن ي‬ ‫المعلومات ‪Deobfuscate/Decode‬‬ ‫‪T1140‬‬
‫البمجية الضارة او قد يقوم باستخدام احد‬ ‫والت قد تكون مدمجة مع ر‬ ‫ر‬ ‫ر ن‬
‫المهاجمون طرق متعددة يف عملية البمب او التشفب ي‬ ‫‪Files or Information‬‬
‫الت تكون متاحة مع النظام المستهدف‪.‬‬ ‫ر‬
‫الخدمات ي‬
‫قد يقوم المهاجمون بتثبيت المستودعات داخل المنظمة المستهدفة بهدف تنفيذ بعض االوامر الضارة او لتفادي االكتشاف‪.‬‬ ‫تثبيت المستودعات ‪Deploy /‬‬
‫ن‬ ‫‪T1610‬‬
‫البمجية المرتبطة ببعض العمليات‬ ‫وف بعض االحيان يقوم المهاجم بتثبيت أحد المستودعات بهدف تنفيذ بعض التعليمات ر‬ ‫ي‬ ‫‪Container‬‬
‫‪54‬‬
‫البمجية الضارة‪ .‬وقد يقوم المهاجمون بتثبيت مستودع جديد من غب اعدادات او قواعد او‬ ‫تبيل او تفعيل ر‬ ‫الضارة مثل ن ن‬
‫ن‬
‫صالحيات وذلك لتفادي بعض اجهزة وانظمة الحماية المتوفرة يف المنظمة‪.‬‬
‫لتخط الصالحيات واالذونات المرتبطة بالملفات او لتفادي‬ ‫مباش وذلك‬‫قد يقوم المهاجم بالوصول اىل القرص الصلب بشكل ر‬
‫ي‬
‫الت‬‫ر‬ ‫مباش‪ .‬يمكن ر‬ ‫مباش لألقراص الصلبة بشكل ر‬ ‫للبامج بالوصول بشكل ر‬ ‫أنظمة المراقبة‪ .‬ان نظام ويندوز يسمح ر‬ ‫ر‬
‫المباش للقرص ‪Direct /‬‬
‫للبمجيات ي‬ ‫الوصول‬
‫‪T1006‬‬
‫تخط أنظمة المراقبة‬ ‫المباش من قراءة وكتابة من تجاوز عناض التحكم المرتبطة بالملفات وكذلك‬ ‫ر‬ ‫تملك صالحيات الوصول‬ ‫‪Access Volume‬‬
‫ي‬
‫الموجودة عل الملفات‪.‬‬
‫التخف داخل الشبكة او تصعيد‬ ‫ن‬ ‫المهاجمي بتعديل االعدادات الخاصة بتكوين النطاقات (‪ )domain‬وذلك بهدف‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫الصالحيات ن‬
‫الت يعمل بها النطاق (‪ )domain‬تسمح له بالتحكم باألنظمة والتقنيات وكذلك‬ ‫ر‬ ‫التقنية‬ ‫ان‬ ‫‪.‬‬ ‫المستهدف‬ ‫النطاق‬ ‫ف‬
‫ي‬ ‫ي‬
‫والمستخدمي بالتواصل‪ ،‬حيث يقوم بحوكمتها حسب‬ ‫ن‬ ‫المستخدمي داخل هذا النطاق وكيف تقوم هذه األجهزة واألنظمة‬ ‫ن‬ ‫‪Domain Policy Modification‬‬ ‫‪T1484‬‬
‫ن‬ ‫ن‬
‫الحاجة‪ .‬والسياسة الخاصة بهذه النطاقات تحتوي عل اعدادات التواصل ما بي النطاقات والنطاقات الفرعية وما يف حكمها‪.‬‬
‫بي النطاقات المرتبطة به‪.‬‬ ‫وقد تتضمن التعديالت عل السياسة الخاصة بالنطاق (‪ ) GPOs‬تغب عل مستوى العالقة ما ن‬
‫المهاجمي بتعديل االعدادات الخاصة بتكوين مجموعة سياسة النطاقات (‪ )GPOs‬وذلك بهدف تصعيد الصالحيات‬ ‫ن‬ ‫قد يقوم‬
‫ن يف النطاق المستهدف‪ .‬تسمح سياسة النطاقات (‪ )GPOs‬بتعديل و إدارة المستخدمي او األجهزة من خالل ( ‪Active‬‬
‫ن‬
‫ر‬ ‫‪Group Policy Modification‬‬ ‫‪.001 T1484‬‬
‫والت تستطيع الوصول لها من خالل‬ ‫تعتب مستودع لإلعدادات الخاصة بسياسة النطاقات ي‬ ‫‪ .)directory AD‬وكما انها ر‬
‫(\<‪) Policies >DOMAIN<\SYSVOL\>DOMAIN‬‬
‫\‬ ‫\‬
‫ن‬
‫بي النطاقات او تعديل خصائص ثقة سابقة يف النطاق المستهدف‪ ،‬وذلك‬ ‫المهاجمي بإضافة خاصية الثقة (‪ )trusts‬ن‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫التخف داخل الشبكة‪ .‬تسمح تفاصيل الثقة يف النطاق او (‪ )trusts‬بمعرفة اذا كان هناك عالقة ما‬ ‫ن‬ ‫او‬ ‫الصالحيات‬ ‫تصعيد‬ ‫بهدف‬
‫ي‬
‫ر‬ ‫ن‬
‫بي نطاقي مختلفي‪ ،‬وكذلك خصائص المصادقة والتخويل ما بي النطاقات ومعرفة الموارد المشبكة ما بينهم‪ .‬وبقد تتضمن‬ ‫ن‬ ‫ن‬ ‫ن‬ ‫‪Domain Trust Modification‬‬ ‫‪.002 T1484‬‬
‫الثقة ما بي النطاقات معلومات عن الحسابات وبيانات الدخول ووسائل المصادقة المستخدمة عل الخوادم‬ ‫ن‬
‫والرموز(‪.)tokens‬‬
‫والت تختلف باختالف طريقة كتابة اآللية من قبل المهاجم وكذلك‬ ‫ر‬ ‫ن‬
‫تكون تستهدف نظام محدد وذلك لتقليل لفت االنتباه للبمجية فن‬ ‫قد يقوم المهاجمي بتنفيذ تعليمات برمجية (‪ )guardrails‬ي‬
‫ي‬ ‫ر‬ ‫البيئة المستهدفة والهدف منها‪ .‬حيث ان (‪ )guardrails‬قد‬
‫ر‬ ‫‪Execution Guardrails‬‬ ‫‪T1480‬‬
‫والت قد تتضمن أسماء لشبكات‬ ‫حال تم تحميلها من قبل أنظمة أخرى غب مستهدفة‪ .‬وقد يستخدم المهاجمون معايب محددة ي‬
‫او مجلدات مشاركة او عناوين ألنظمة محددة او اسم نطاق محدد (‪ )Active Directory‬او عناوين داخلية او خارجية‪.‬‬
‫وتالف االكتشاف‬ ‫ن‬ ‫ن‬
‫التخف‬ ‫قد يقوم المهاجم باستخدام ما يسم ب (‪ )environmentally key‬او برمجية ضارة وذلك بهدف‬
‫ي‬ ‫ي‬
‫معي داخل الجهة المستهدفة‪ .‬ان آلية (‪ )key environmentally‬تستخدم طرق مشفرة‬ ‫ن‬ ‫حينما يكون الهجوم موجهة لنظام‬
‫ً‬ ‫ن‬
‫الت تحدث ف البيئة ر‬ ‫لتنفيذ األوامر حسب المتغبات ر‬ ‫‪Environmental Keying‬‬ ‫‪.001 T1480‬‬
‫والت تم برمجيتها سابقا من قبل المهاجم بناء عل معرفة مسبقة من قبل‬ ‫ي‬ ‫ي‬ ‫ي‬
‫بالبيئة الخاصة بالمستهدفة‪.‬‬
‫تخط الحماية تحدث عندما يقوم المهاجم باستغالل‬ ‫لتخط الحماية‪،‬‬ ‫باخباق األنظمة والتطبيقات‬ ‫المهاجمي ر‬
‫ن‬ ‫ي‬ ‫ي‬ ‫ن‬ ‫‪Exploitation for Defense‬‬
‫البنامج او أنظمة التشغيل او النواة‪ .‬وقد توجد بعض الثغرات األمنية يف برامج الحماية‬ ‫ف‬ ‫خطاء‬ ‫وجود‬ ‫عن‬ ‫تحدث‬ ‫الت‬‫ر‬
‫ي ر‬ ‫الثغرات ي‬ ‫‪Evasion‬‬
‫‪T1211‬‬
‫البمجية‪.‬‬ ‫نفسها تسمح للمهاجم بتنفيذ تعليماته ر‬
‫قد يقوم المهاجم بتعدي الصالحيات الخاصة بملف او مجلد محدد وذلك لتفادي سياسة التحكم ن يف الوصول ( ‪)ACLs‬‬
‫‪File and Directory‬‬
‫والوصول للملفات المحمية‪ .‬ان صالحيات الوصول للمجلدات والملفات المحمية عادة تدار بواسطة ‪ ACLs‬ويتم اعدادها‬ ‫‪T1222‬‬
‫‪Permissions Modification‬‬
‫بواسطة مدير النظام او المالك للملف او المجلد‪ .‬تختلف وسائل تطبيق آليات التحكم ن يف الوصول للملفات والمجلدات‬
‫‪55‬‬
‫ر‬
‫والت يمكن له او يمكن لهم تنفيذ‬ ‫باختالف النظام‪ .‬ولكنها يم تحديدها بشكل ضي ح اما لمستخدم محدد او مجموعة محدده ي‬
‫اإلجراءات مثل ( القراءة ‪ ،‬الكتابة‪ ،‬التنفيذ‪ ،‬الخ‪)..‬‬
‫ن‬
‫قد يقوم المهاجم بتعدي الصالحيات الخاصة بملف او مجلد محدد وذلك لتفادي سياسة التحكم يف الوصول ( ‪)ACLs‬‬
‫تعديل صالحيات الملفات والمجلدات‬
‫والوصول للملفات المحمية‪ .‬ان صالحيات الوصول للمجلدات والملفات المحمية عادة تدار بواسطة ‪ ACLs‬ويتم اعدادها‬
‫للويندوز ‪Windows File and /‬‬
‫بواسطة مدير النظام او المالك للملف او المجلد‪ .‬تختلف وسائل تطبيق آليات التحكم ن يف الوصول للملفات والمجلدات‬ ‫‪.001 T1222‬‬
‫ر‬ ‫‪Directory Permissions‬‬
‫والت يمكن له او يمكن لهم تنفيذ‬ ‫باختالف النظام‪ .‬ولكنها يم تحديدها بشكل ضي ح اما لمستخدم محدد او مجموعة محدده ي‬ ‫‪Modification‬‬
‫ن‬
‫قد يقوم المهاجم بتعدي الصالحيات الخاصة بملف او مجلد محدد وذلك لتفادي سياسة التحكم يف الوصول ( ‪)ACLs‬‬
‫تعديل صالحيات الملفات والمجلدات‬
‫والوصول للملفات المحمية‪ .‬ان صالحيات الوصول للمجلدات والملفات المحمية عادة تدار بواسطة ‪ ACLs‬ويتم اعدادها‬
‫لينكس ‪Linux and Mac File /‬‬
‫بواسطة مدير النظام او المالك للملف او المجلد‪ .‬تختلف وسائل تطبيق آليات التحكم ن يف الوصول للملفات والمجلدات‬ ‫‪.002 T1222‬‬
‫ر‬ ‫‪and Directory Permissions‬‬
‫والت يمكن له او يمكن لهم تنفيذ‬ ‫باختالف النظام‪ .‬ولكنها يم تحديدها بشكل ضي ح اما لمستخدم محدد او مجموعة محدده ي‬ ‫‪Modification‬‬
‫ر‬ ‫ن‬
‫تأن بوظائف‬ ‫لك ال يتم اكتشافهم‪ .‬حيث ان بعض األنظمة ي‬ ‫قد يقوم المهاجمي بإخفاء االنشطة الخاصة بهم داخل األنظمة ي‬
‫المهاجمي عل إخفاء تلك االحداث واألنشطة‪ ،‬مثل إخفاء ملفات الخاصة بالنظام او بعض المهام الخاصة بمدراء‬ ‫ن‬ ‫تساعد‬
‫ن‬ ‫ن‬ ‫ن‬ ‫اخفاء االدلة ‪Hide Artifacts /‬‬ ‫‪T1564‬‬
‫‪.‬‬
‫النظام من اجل ان ال يقوم المستخدمي بالعبث بها وهذه المبة قد تمكن المهاجم من استغاللها يف إخفاء األنشطة الخاصة‬
‫بهم‪.‬‬
‫المبة تمكن من‬ ‫التخف من االكتشاف‪ .‬حيث ان هذه ن‬ ‫ن‬ ‫بهدف‬ ‫المجلدات‬ ‫او‬ ‫الملفات‬ ‫لبعض‬ ‫إخفاء‬ ‫بعملية‬ ‫ن‬
‫المهاجمي‬ ‫يقوم‬ ‫قد‬
‫ي‬
‫إخفاء الملفات من عرضها عند قيام المستخدم بزيارة ملف محدد من خالل واجهة العرض الرسومية‪ .‬وقد يحتاج المستخدمون‬ ‫اخفاء الملفات او المجلدات ‪/‬‬
‫‪.001 T1564‬‬
‫لك تظهر لهم‪ .‬او من خالل سطر األوامر استخدام (‪ dir /a‬لنظام ويندوز) و (‪ls -a‬‬ ‫تفعيل خيار مشاهدة الملفات المخفية ي‬ ‫‪and Directories Hidden Files‬‬
‫لنظام لينكس وماك او اس)‪.‬‬
‫حديثا لك يتفادى عملية االكتشاف‪ .‬حيث ان لكل مستخدم فن‬ ‫ً‬ ‫ن‬ ‫ن‬
‫ي‬ ‫ي‬ ‫قد يقوم المهاجم بإخفاء بعض المستخدمي الذين تم انشاءهم‬ ‫المستخدمي ‪Hidden /‬‬ ‫اخفاء‬
‫‪.002 T1564‬‬
‫نظام ماك او اس لديه معرف فريد مرتبط به‪ ،‬حيث عند انشاء أي مستخدم تستطيع مشاهدة المعرف الفريد الخاص به‪.‬‬ ‫‪Users‬‬
‫والت عادة ما تكون هذه النوافذ ضارة‪ ،‬ويمكن إخفاء النوافذ‬ ‫ن ر‬
‫قد يقوم المهاجم بإخفاء بعض النوافذ المفتوحة عن المستخدمي ي‬ ‫اخفاء النوافذ ‪Hidden Window /‬‬ ‫‪.003 T1564‬‬
‫ن‬
‫الت يتم عرضها عند فتح التطبيق‪ ،‬والهدف من اخفاءها لتجنب من ازعاج المستخدمي وتشتيت انتباههم‪.‬‬ ‫ر‬
‫ي‬
‫المهاجمي (‪ )NTFS‬إلخفاء األنشطة الضارة الخاصة بهم‪ ،‬جميع عمليات (‪)New Technology File System‬‬ ‫ن‬ ‫قد يستخدم‬
‫ن‬
‫تحتوي عل جزء خاص بها يحتوي عل ‪ Master File Table MFT‬والذي يحتوي عل سجل لكل ملف او مجلد يف هذا‬
‫الجزء‪ .‬حيث ان لكل مدخل له الجزء الخاص به مع تقنية ‪ MFT‬عل سبيل المثال ‪ Extended Attributes EA‬و ‪known as‬‬ ‫‪NTFS File Attributes‬‬ ‫‪.004 T1564‬‬
‫والت تستخدم لتخزين‬ ‫ر‬
‫‪ one Data attribute is present Alternate Data Streams ADSs when more than‬ي‬
‫البيانات‪.‬‬
‫‪.‬‬ ‫ن‬
‫قد يقوم المهاجم بإخفاء الملفات الخاصة بالنظام وذلك بهدف إخفاء األنشطة الضارة عن المستخدمي وأجهزة الحماية ان‬
‫ر‬ ‫ن‬
‫والت عادة ما يتعامل‬ ‫أنظمة التشغيل توضح الهيكلة لتخزين البيانات والوصول لها عند تخزينها يف القرص الصلب‪ .‬ي‬ ‫اخفاء ملفات النظام ‪Hidden File /‬‬
‫والت تعد بمثابة وسيلة‬ ‫ر‬ ‫ن‬
‫المستخدمي مه نظام الملفات من خالل تطبيقات تسمح له بالوصول لتلك الملفات والمجلدات‪ ،‬ي‬ ‫‪System‬‬
‫‪.005 T1564‬‬
‫‪.‬‬
‫للوصول لجزء معي من القرص الصلب ومن امثله هذه األنظمة ‪ AT, NTFS, ext4, and APFS‬وبعض األنظمة األخرى قد‬ ‫ن‬
‫تشمل عل ‪.NTFS Volume Boot Record (VBR) and Master File Table (MFT) in‬‬
‫‪56‬‬
‫اض وذلك لتجنب االكتشاف من النظام‬ ‫ر ن‬ ‫ن‬
‫قد يقوم المهاجمي بتنفيذ تعليمات برمجية ضارة من خالل استخدام نظام نافب ي‬
‫ر‬
‫األساس‪ .‬ان األنظمة االفباضية الفرعية أصبحت مشهورة وتستخدم بكبه يف المؤسسات وتختلف طريقة االتصال بالشبكة‬
‫‪.‬‬ ‫ر‬
‫ي‬ ‫‪Run Virtual Instance‬‬ ‫‪.006 T1564‬‬
‫اض وهل تم استخدامها ‪ bridged adapter‬وغبه‪ ،‬ان‬ ‫الخاصة بالمنظمة المستهدفة حسب طريقة عمل النظام ر‬
‫االفب ن‬
‫ي‬
‫االفباضية قد تكون صعبه االكتشاف‪.‬‬ ‫الت تنشأ من األنظمة ر‬ ‫ر‬
‫البيانات الشبكية ي‬
‫والت قد يتم تضمينها من‬ ‫ر‬
‫قد يقوم المهاجم بإخفاء بعض الملفات الضارة مثل ‪ )Visual Basic for Applications (VBA‬ي‬ ‫‪VBA Stomping‬‬ ‫‪.007 T1564‬‬
‫بي النصوص الغب ضارة‪.‬‬ ‫ضمن ملفات مايكروسوفت اوفيس‪ .‬وقد يقوم المهاجم بإخفاء ‪ VBA‬ما ن‬
‫البمجية الضارة‪ ،‬وذلك بهدف البقاء داخل الشبكة أطول ر‬
‫فبة‬ ‫البامج لتنفيذ تعليماتهم ر‬ ‫باعباض تشغيل ر‬ ‫المهاجمي ر‬
‫ن‬ ‫انتحال مجال التنفيذ ‪Hijack /‬‬
‫تخط القيود عل التنفيذ او التحكم بطريقة عمل‬ ‫ي‬ ‫ف‬ ‫ي‬ ‫الهجمات‬ ‫هذه‬ ‫مثل‬ ‫المهاجم‬ ‫يستغل‬ ‫وقد‬ ‫الصالحيات‬ ‫تصعيد‬ ‫او‬ ‫ممكنه‬ ‫‪T1574‬‬
‫‪Flow Execution‬‬
‫التطبيقات داخل النظام‪.‬‬
‫البمجية الضارة ‪ ،DLLs‬وذلك بهدف البقاء‬ ‫باعباض طلبات البحث (‪ )search order‬لتنفيذ تعليماتهم ر‬ ‫المهاجمي ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫داخل الشبكة أطول فبة ممكنه او تصعيد الصالحيات‪ .‬ان نظام ويندوز يستخدم طريقة شائعة يف عملية البحث عن مكتبات‬ ‫ر‬ ‫‪DLL Search Order Hijacking‬‬ ‫‪.001 T1574‬‬
‫المبة لتنفيذ اغراضهم الخبيثة‪.‬‬ ‫المهاجمي هذه ن‬
‫ن‬ ‫البامج او التطبيقات‪ .‬وقد يستخدم‬ ‫ن‬
‫‪ DLL‬المطلوب تحميلها يف احد ر‬
‫المهاجمي بتحميل مكتباتهم (‪ )DLL‬الضارة للنظام‪ .‬وتتشابه هذه الهجمة مع الهجمة السابقة (‪DLL Search Order‬‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫‪ .)Hijacking‬ويختلف (‪ )side-loading‬عنه انه يقوم بتحميل تلك ‪ DLL‬بدل من زرعها ضمن البتيب الخاص بالبحث عن‬
‫‪ DLL‬ثم انتظار النظام او الضحية من استدعائها‪ .‬وقد يقوم المهاجمون بهذه الطريقة من خالل زرعها ثم يقوم المهاجم‬
‫باستدعائها من خالل برمجيات معتمدة وغب ضارة‪.‬‬
‫قد يقوم المهاجم بتنفيذ تعليماته ال ربمجية الضارة من خالل وضعها داخل ( ‪ ))dynamic library (dylib‬مع اسم متوقع من‬
‫التطبيق المراد استهدفه ان يقوم بتشغيلها‪ .‬ان (‪ ))dynamic library (dylib‬ستقوم بالبحث ومحاولة إيجاد (‪ )dylib‬بناء عل‬
‫ر‬ ‫ر‬
‫الت تؤدي اىل(‪ )dylib‬مسبوقة‬ ‫التسلسل للمسارات‪/‬االمتدادات الخاصة بعمليات البحث‪ .‬وقد تكون المسارات ي‬ ‫ي‬ ‫البتيب‬
‫الت تسمح للمطورين بتحديد مجموعة المسارات الخاصة بالبحث وقت التنفيذ‪ .‬وباإلضافة اىل‬ ‫ر‬
‫ه ي‬ ‫ب (@‪ .)rpath‬و(@‪ )rpath‬ي‬ ‫‪Dylib Hijacking‬‬ ‫‪.004 T1574‬‬
‫البنامج بتنفيذ التعليمات‬ ‫ذلك اذا لم يتم ربطها بالشكل المناسب مثل استخدام (‪ .)LC_LOAD_WEAK_DYLIB‬سيستمر ر‬
‫حت ن يف حال عدم وجود(‪ )dylib‬المتوقع‪ .‬مما يتيح للمطورين من تشغيل تطبيقاتهم عل إصدارات متعددة من (‪ )macOS‬مع‬ ‫ر‬
‫إضافة واجهات برمجة تطبيقات جديدة (‪.)API‬‬
‫اعباض او شقة (‪ )binaries‬المستخدم ن يف عملية التثبيت‪.‬‬ ‫البمجية الضارة من خالل ر‬ ‫المهاجمي بتنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪.‬‬
‫تلقان من خالل تنفيذ بعض (‪ )binaries‬من اثناء عملية التثبيت يف حال كانت الصالحيات‬ ‫وقد تتم هذه العملية بشكل‬
‫ي‬ ‫‪Executable Installer File‬‬
‫الت تحتوي عل (‪ )binaries‬المستهدف ن يف العملية‪ .‬او الصالحيات‪/‬االذونات الخاصة‬ ‫ي‬
‫‪/‬االذونات الخاصة بمجلدات النظام ر‬ ‫‪.005 T1574‬‬
‫‪Permissions Weakness‬‬
‫بنفس (‪ )binaries‬تم اعدادها بشكل غب صحيح‪ .‬فقد يقوم (‪ )binaries‬بإعادة كتابة نفسه فوق (‪ )binaries‬اخر باستخدام‬
‫والت قد تتضمن صالحيات (‪.)SYSTEM‬‬ ‫ر‬ ‫ن‬ ‫ن‬
‫وف بعض األحيان قد يعمل يف اعل صالحيات ي‬ ‫االذونات والصالحيات الممنوحة له‪ .‬ي‬
‫البمجية الضارة من خالل اختطاف‪/‬شقة المتغبات(‪ )Variables‬ن يف البيئة من‬ ‫المهاجمي بتشغيل وتنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫ر‬
‫خالل استخدام (‪ )dynamic linker‬إلضافتها للمكتبات المشبكة او ما يسم ب (‪ .)libaraies Shared‬من خالل عمليات‬
‫ر‬
‫المشبكة من‬ ‫البنامج‪ .‬ويقوم (‪ )linker dynamic‬بتحميل مسارات الخصائص البيئية للمكتبات‬ ‫التحضب لتنفيذ او تشغيل ر‬ ‫‪Dynamic Linker Hijacking‬‬ ‫‪.006 T1574‬‬
‫خالل المتغبات البيئية (‪ )environment variables‬والملفات مثل (‪ )LD_PRELOAD‬ن يف نظام لينكس او‬
‫ً‬
‫اوال‪ ،‬ر‬ ‫ر‬ ‫ن‬
‫حت يتم أعطاها‬ ‫الت تم تحديدها‬ ‫(‪ )DYLD_INSERT_LIBRARIES‬يف نظام ‪ .MacOs‬يتم إعطاء أولوية تحميل المكتبات ي‬
‫‪57‬‬
‫الوظيف‪ .‬وعادة ما يتم استخدام هذه المتغبات من قبل المطورين لتصحيح‬ ‫ن‬ ‫الت لها نفس االسم‬ ‫ر‬
‫ي‬ ‫أولوية عل مكتبات النظام ي‬
‫األخطاء دون الحاجة اىل عمل (‪ .)recompile‬ويتم تنفيذ وظائف مخصصة دون الحاجة اىل تغب أي من المكتبات االصلية‪.‬‬
‫الت يتم‬ ‫ر‬ ‫البمجية الضارة من خالل اختطاف‪/‬‬ ‫ن‬
‫شقة المتغبات (‪ )variables‬ي‬ ‫المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬ ‫قد يقوم‬
‫تحميلها ن يف المكتبات‪ .‬قد يقوم المهاجم بوضع برنامجه من المقدمة يف القائمة المخزنة يف مسارات البيئة ( ‪PATH‬‬
‫ن‬ ‫ن‬ ‫‪Path Interception by PATH‬‬
‫ر‬ ‫‪.007 T1574‬‬
‫تسلسل باستخدام قائمة‬ ‫ي‬ ‫والت سيقوم نظام التشغيل ويندوز بتشغيله عند عملية البحث بشكل‬ ‫‪ .)environment variable‬ي‬ ‫‪Environment Variable‬‬
‫والت يتم استدعائها من خالل سكربت او سطر األوامر‪.‬‬ ‫ر‬
‫(‪ )PATH‬ي‬
‫المفبض انه‬ ‫ر‬ ‫البمجية الضارة من خالل اختطاف ترتيب البحث والذي من‬ ‫المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫ً‬
‫تستدع برامج أخرى باستخدام قائمة (‪ ،)PATH‬قد يقوم المهاجم بوضع ملفاته‬ ‫ي‬ ‫ال‬ ‫امج‬ ‫الب‬
‫ر‬ ‫بعض‬ ‫ان‬ ‫ا‬
‫ر‬ ‫ونظ‬ ‫‪.‬‬‫اخر‬ ‫نامج‬ ‫ر‬ ‫ب‬ ‫يستدع‬
‫ي‬ ‫‪Path Interception by Search‬‬
‫ر‬ ‫ر‬ ‫ن‬ ‫‪.008 T1574‬‬
‫والت سيتسبب بجعل النظام بتشغيل برنامجه الضار بسبب استدعاء برنامج‬ ‫البمجيات منها‪ .‬ي‬ ‫لت سيتم استدعاء ر‬ ‫يف القائمة ا ي‬ ‫‪Order Hijacking‬‬
‫اخر له‪.‬‬
‫البمجية الضارة من خالل اختطاف المراجع الخاصة بالملفات‪ .‬قد يستغل‬ ‫المهاجمي بتشغيل او تنفيذ تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫البمجية التنفيذية ن يف اعل‬ ‫والت من خاللها يقوم بوضع تعليماته ر‬ ‫ر‬
‫المهاجم ن المسارات الغب محدده بعالمات االقتباس ("") ي‬ ‫‪.009 T1574‬‬
‫والت عندما يقوم نظام التشغيل الويندوز باالختيار من القائمة سيقوم بتشغيله‪.‬‬ ‫القائمة يف (‪ .)PATH‬ي‬
‫الت يتم استخدامها من قبل‬ ‫ر‬ ‫البمجية الضارة من خالل اختطاف ‪/‬شقة (‬ ‫ن‬
‫‪ )binaries‬ي‬‫ن‬
‫المهاجمي بتشغيل تعليماتهم ر‬ ‫قد يقوم‬
‫الخدمات‪ .‬يستغل المهاجمي سب العمل (‪ )Flaws‬الخاصة بالصالحيات لنظام الخدمات يف الويندوز الستبدال (‪)binaries‬‬ ‫ن‬
‫تلقان بواسطة (‪ )binaries‬مخصص لتنفيذ‬ ‫الت يتم تنفيذها عند تنفيذ الخدمات‪ .‬وبعض الخدمات قد يتم تفعيلها بشكل‬ ‫ر‬ ‫‪Services File Permissions‬‬
‫ي‬ ‫ي‬ ‫‪.010 T1574‬‬
‫وظيفة محددة‪ .‬اذا تم تحديد الصالحيات المجلد الذي يحتوي عل (‪ )binaries‬المستهدف او الصالحيات عل (‪)binaries‬‬ ‫‪Weakness‬‬
‫والت قد تكون صالحيات‬ ‫ر‬ ‫ن‬
‫بذاته‪ ،‬فقد يقوم المهاجم بالكتابة فوقة بالصالحيات الممنوحة له يف المجلد او (‪ )binaries‬بذاته ي‬
‫الت تسمح له بهذا العمل والتنفيذ‪.‬‬ ‫ر‬
‫عالية او صالحيات النظام ( ‪ )SYSTEM‬ي‬
‫البمجية الضارة من خالل اختطاف ‪/‬شقة مدخالت (‪ )Registry‬المستخدمة من قبل‬ ‫المهاجمي بتشغيل تعليماتهم ر‬ ‫ن‬ ‫قد يقوم‬
‫الخدمات ن يف النظام‪ .‬يستغل المهاجمي سب العمل (‪ )Flaws‬الخاصة بالصالحيات لنظام لل (‪ )Registry‬يف الويندوز العادة‬
‫ن‬ ‫ن‬
‫والت يستخدمها لتشغيل االكواد الضارة من خالل الخدمات‪.‬‬ ‫ر‬ ‫ر‬
‫الخاصة بها فن‬ ‫الت يتحكم بها‪ .‬ي‬ ‫للبمجيات ي‬ ‫البمجية األصلية ر‬ ‫تنفيذ التعليمات ر‬
‫ي‬ ‫ويقوم نظام ويندوز بحفظ الخدمات المحلية واالعدادات‬ ‫‪Services Registry Permissions‬‬
‫‪.011 T1574‬‬
‫الت يتم تخزينها ن يف (‪ )Registry keys‬قد يتم التالعب‬ ‫ي‬
‫(‪ )HKLM\SYSTEM\CurrentControlSet\Services‬والخدمات ر‬ ‫‪Weakness‬‬
‫والت من شأنها ات تقوم بتشغيل أدوات او تنفيذ تعليمات برمجية او‬ ‫ر‬
‫ن‬ ‫بها او تعديلها لجعلها تقوم بتنفيذ الخدمات نالضارة ي‬
‫تشغيل ‪ PowerShell‬او ‪ .Reg‬ويتم التحكم يف الوصول اىل (‪ )Registry keys‬من خالل قوائم التحكم يف الوصول واالذونات‬
‫(‪.)Access Control Lists and permissions‬‬
‫البنامج والتر‬ ‫‪/‬‬ ‫ر‬ ‫ن‬ ‫ن‬
‫ي‬ ‫والت قد تؤدي اىل اختطاف شقة آلية عمل ر‬ ‫قد يستغل المهاجمي المتغبات يف البيئة ل (‪ )COR_PROFILER‬ي‬
‫ر‬ ‫ن‬
‫والت تسمح للمطورين‬ ‫ه احد الممبات الطار (‪ )Framework NET.‬ي‬ ‫تقوم بتحميلها اىل ‪ NET CLR.‬ان (‪ )COR_PROFILER‬ي‬ ‫‪COR_PROFILER‬‬ ‫‪.012 T1574‬‬
‫بتحديد ملفات التعاريف ‪ DLL/External .NET‬الغب مدارة (‪ )unmanaged‬ليتم تحميلها ن يف كل عملية من عمليات ‪NET .‬‬
‫الت يتم تنفيذها بواسطة ‪.NET CRL.‬‬ ‫ر‬ ‫‪ .CLR‬وتم إيجاد وتصميم ملفات التعريف لمراقبة وتصحيح األخطاء ر‬
‫البمجية ي‬
‫التخف من‬ ‫ن‬ ‫بهدف‬ ‫وذلك‬ ‫ضارة‬ ‫برمجية‬ ‫تعليمات‬ ‫لتنفيذ‬ ‫البمجيات للمستهدف‬ ‫قد يقوم المهاجم بتعديل بعض الخصائص او ر‬
‫ر‬ ‫ي‬ ‫ن‬
‫التخف من آليات الحماية من االخباقات‬ ‫ي‬ ‫االكتشاف او تعطيل وسائل الحماية‪ ،‬وهذه األساليب ال تشتمل عل محاولة تعطيل او‬ ‫‪Impair Defenses‬‬ ‫‪T1562‬‬
‫ً‬
‫مثل جدران الحماية ومكافح الفايروسات‪ ،‬بل لديها ايضا القدرة عل االطالع عل الوسائل الدفاعية لدى الجهة المستهدفة‬
‫‪58‬‬
‫البمجيات واالنظمة ر ر‬
‫تأن مع النظام‬ ‫ن‬ ‫التخف منها‪ .‬وهذه األساليب المستخدمة من قبل‬ ‫ن‬
‫الت ي‬ ‫ي‬ ‫المهاجمي تستهدف ر‬ ‫ي‬ ‫ومحاولة‬
‫الت يتم تركيبها بواسطة مدراء الشبكة‪.‬‬ ‫األساس او ر‬
‫ي‬ ‫ي‬
‫البمجيات الخاصة‬ ‫التخف من االكتشاف‪ ،‬وقد يقوم المهاجم بتعطيل ر‬ ‫ن‬ ‫بهدف‬ ‫وذلك‬ ‫الحماية‬ ‫أدوات‬ ‫بتعطيل‬ ‫المهاجم‬ ‫يقوم‬ ‫قد‬
‫ي‬ ‫ادوات تعديل وتعطيل ‪Disable or /‬‬
‫بالحماية او تعطيل خدمات تسجيل االحداث‪ .‬او مسح السجالت او تعطيلها من خالل (‪ ) registry‬وذلك لضمان عدم عودتها‬ ‫‪.001 T1562‬‬
‫‪Tools Modify‬‬
‫للعمل مره أخرى‪ ،‬وهذا يشمل أي أدوات من أدوات الحماية والمراقبة والمسح واالستطالع‪.‬‬
‫قد يقوم المهاجم بتعطيل مسجل االحداث الخاص بنظام ويندوز وذلك بهدف تقليل مدى التغطية لألنظمة المستهدفة‬
‫ر‬ ‫تعطيل مسجل االحداث ن يف الويندوز ‪/‬‬
‫الت تتم عل النظام مثل‬‫والتهرب من االكتشاف‪ .‬ان نظام تسجيل االحداث الخاص بنظام ويندوز يقوم بتسجيل األنشطة ي‬ ‫‪Windows Event Disable‬‬ ‫‪.002 T1562‬‬
‫ومحلل االمن‬
‫ي‬ ‫عمليات تسجيل الدخول‪ ،‬انشاء العمليات وغبها‪ .‬ويتم استخدام هذه االحداث لتدقيق من قبل أنظمة الحماية‬
‫ر ن‬ ‫‪Logging‬‬
‫ان لرصد األنشطة الضارة‪.‬‬ ‫السيب ي‬
‫ن‬ ‫ن‬
‫التخف من االكتشاف والرصد‪ ،‬حيث‬ ‫ي‬ ‫مج مسجل االحداث (‪ )command history‬وذلك بهدف‬ ‫قد يقوم المهاجمي بتعطيل‪ /‬ي‬ ‫‪Impair Command History‬‬
‫‪.003 T1562‬‬
‫بمج تلك األوامر من سجل االحداث‪.‬‬ ‫ي‬ ‫يقوم المهاجم بإرسال أوامر ضارة ومن ثم يقوم‬ ‫‪Logging‬‬
‫الت تم وضعها فن‬ ‫التخف وتخط ضوابط التحكم ر‬ ‫ن‬ ‫قد يقوم المهاجم بتعطيل جدران الحماية الخاصة باألنظمة وذلك بهدف‬
‫ي‬ ‫ي‬ ‫ي‬ ‫ي‬ ‫تعديل او تعطيل انظمة جدران الحماية‬
‫ن‬
‫المهاجمي‬ ‫النظام‪ .‬ان حدوث تغبات عل جدران الحماية قد تؤدي اىل تعطيله او تعطيل آلية العمل الخاصة به‪ .‬وقد يقوم‬
‫‪Disable or Modify System /‬‬ ‫‪.004 T1562‬‬
‫بتعطيل او حذف بعض القواعد الخاصة بجدران الحماية او تعديلها‪ .‬وقد يقوم المهاجم بهذا العملية بطرق متعددة من خالل‬
‫‪Firewall‬‬
‫األوامر او واجهة رسومية‪.‬‬
‫التخف من االكتشاف‪ ،‬وقد يقوم بها بطرق متعددة‬ ‫ن‬ ‫بهدف‬ ‫وذلك‬ ‫التسجيل‬ ‫عملية‬ ‫من‬ ‫االحداث‬ ‫منع‬ ‫او‬ ‫بتعطيل‬ ‫قد يقوم المهاجم‬
‫ي‬
‫‪.‬‬
‫من خالل التعطيل او من خالل إعادة التوجيه ألنظمة ال تقوم بتسجيل االحداث عل سبيل المثال نظام تسجيل االحداث‬
‫الت تقوم بجمع هذه االحداث‪ .‬وقد يقوم‬ ‫ر‬
‫الخاص ب (‪ )Event tracing for windows ETW‬وذلك بواسطة تعديل االعدادات ي‬ ‫‪Indicator Blocking‬‬ ‫‪.006 T1562‬‬
‫المهاجم بتعديل مسجل االحداث بطرق مختلفة اما من تعديل ملفات مرتبطة مع سجالت االحداث او من خالل (‪)Registry‬‬
‫او من خالل واجهة مدراء النظام او من خالل استخدام ‪ PowerShell‬ن يف نظام ويندوز‪.‬‬
‫تعديل او تعطيل جدران الحماية‬
‫تخط صالحيات الوصول اىل‬
‫ي‬ ‫بتخط او تعديل جدران الحماية الخاصة بالخدمات السحابية وذلك بهدف‬
‫ي‬ ‫قد يقوم المهاجم‬
‫للخدمات السحابية ‪Disable or /‬‬ ‫‪.007 T1562‬‬
‫الخدمات السحابية‪.‬‬
‫‪Modify Cloud Firewall‬‬
‫قد يقوم المهاجم بتعطيل خدمات تسجيل االحداث الخاصة بالخدمات السحابية وذلك بهدف منع عمليات تسجيل االحداث‬ ‫تعطيل السجالت للخدمات الحسابية‬
‫ن‬ ‫ر‬ ‫‪.008 T1562‬‬
‫التخف من عمليات الرصد واالكتشاف‪.‬‬
‫ي‬ ‫الت يقوم بها المهاجم وذلك بهدف‬‫ي‬ ‫‪Cloud Logs Disable /‬‬
‫ن‬
‫قد يقوم المهاجم بمسح او انشاء احداث وهمية عل النظام المستهدف‪ ،‬بما يف ذلك السجالت الخاصة باألحداث او الملفات‬
‫الت تم تصنيفها انها ضارة‪ .‬وقد تختلف عمليات التسجيل لألحداث واألنظمة حسب النظام‪ .‬مثل أنظمة ويندوز ولينكس وماك‬ ‫ر‬ ‫‪Indicator Removal on Host‬‬ ‫‪T1070‬‬
‫ي‬
‫او اس‪ .‬وهنا مسار الخاص ألنظمة لينكس (‪)*/var/log/‬‬
‫لك ال يتم اكتشافها‪ .‬ان‬ ‫المشبوهة‬ ‫األنشطة‬ ‫إخفاء‬ ‫بهدف‬ ‫وذلك‬ ‫ويندوز‬ ‫ن‬
‫المهاجمي بمسح االحداق الخاصة بأنظمة‬ ‫قد يقوم‬
‫ي‬ ‫ن‬
‫الت تتم عل النظام وتقوم بالتنبيه والتحذير بناء عل النشاط‪.‬‬ ‫ر‬ ‫مسح السجالت من نظام ويندوز‪/‬‬
‫مسجل االحداث يف نظام ويندوز يقوم بتسجيل جميع االحداث ي‬ ‫‪.001 T1070‬‬
‫وه‬
‫ي‬ ‫االحداث‬ ‫أنواع‬ ‫من‬ ‫أنواع‬ ‫‪٥‬‬ ‫شكل‬ ‫عل‬ ‫النظام)‬ ‫التطبيقات‪،‬‬ ‫وه (الحماية‪،‬‬
‫وهناك ثالث أنواع من أنواع مصادر تلك االحداث ي‬ ‫‪Event Logs Clear Windows‬‬
‫(خطا‪ ،‬تحذير‪ ،‬معلومات‪ ،‬تم التدقيق بشكل سليم‪ ،‬وفشلت عملية التدقيق)‬
‫‪59‬‬
‫لك ال يتم‬ ‫ن‬
‫قد يقوم المهاجمي بمسح االحداق الخاصة بأنظمة لينكس‪ ،‬ماك او اس وذلك بهدف نإخفاء األنشطة المشبوهة ي‬ ‫مسج السجالت من نظام لينكس‬
‫‪.‬‬ ‫ن‬
‫النظامي يقومان بحفظ التحركات واألنشطة الخاصة بالنظام والمستخدمي يف سجل االحداث ومعظم سجالت‬ ‫ن‬ ‫اكتشافها‪.‬‬ ‫وماك‪or Mac Clear Linux‬‬ ‫‪.002 T1070‬‬
‫الت بداخله‪.‬‬‫ر‬ ‫ن‬
‫االحداث يتم حفظها يف ‪ /var/log/‬وهناك تقسيمه داخل هذا المجلد يعكس الوظائف الخاصة بالسجالت ي‬ ‫‪System Logs‬‬
‫لك ال يتم اكتشافه قد يقوم المهاجم بمسج سجل‬ ‫ر‬ ‫مسج سجل االحداث من ‪Clear /‬‬
‫الت قد يقوم بها المهاجم من مسح سجالت االحداث ي‬ ‫باإلضافة للعمليات ي‬ ‫‪.003 T1070‬‬
‫لك ال يتم اكتشاف ما تمت كتابته من أوامر للنظام‬ ‫ر‬
‫التاري خ الخاص بسطر األوامر للنظام المخبق ي‬ ‫‪Command History‬‬
‫لك ال يتم اكتشافها من قبل أنظمة وبرمجيات الحماية وعادة ما تكون تلك‬ ‫ي‬ ‫بالهجمة‬ ‫قد يقوم المهاجم بمسج الملفات الخاصة‬
‫ر‬
‫البمجيات ضارة‪ .‬وقد ال تكون جميع تلك الملفات تنفيذيه بل قد تكون ملفات يتم انشاءها من قبل المهاجم ي‬
‫والت قد تفيد‬ ‫ر‬
‫مسح الملفات ‪File Deletion /‬‬ ‫‪.004 T1070‬‬
‫المخبقة‪ ،‬وقد يقوم بها كذلك المهاجم لتفادي تتبعه داخل الشبكة‬ ‫ر‬ ‫انيي من اكتشاف ما تم عملة عل الشبكة‬ ‫السيب ن‬ ‫ر‬ ‫ن‬
‫المحللي‬
‫االخباق‪.‬‬ ‫ر‬ ‫بعد عملية‬
‫قد يقوم المهاجم بمسح االرتباط بملفات المشاركة عند االنتهاء من استخدامها وذلك لجعل عملية التتبع صعبه‪ ،‬ان ملفات‬ ‫مسح االرتباط واالتصال بملفات‬
‫المشاركة ن يف نظام ويندوز ‪ SMB‬يتيح حذفها او إلغاءها عند عدم الحاجة لها‪ .‬من خال أداة (‪ )Net‬تستطيع من خالها حذف‬ ‫المشاركة ‪Network Share /‬‬ ‫‪.005 T1070‬‬
‫المجلد او طريقة التواصل من خالل الشبكة مثال عل االمر (‪)net use \system\share /delete‬‬ ‫‪Connection Removal‬‬
‫ه تقنية تقوم‬ ‫ي‬ ‫‪Timestomping‬‬ ‫قد يقوم المهاجمون بالتالعب بالملفات من خالل تغب وقت االنشاء او التعديل لها‪ .‬ان‬
‫ً‬
‫الفعل الذي تم تعديل او حفظ او انشاء هذا الملفات‪ .‬وغالبا يتم تحديد تاري خ ووقت للملف الضار مثل‬ ‫ي‬ ‫بتعديل الوقت‬
‫ن‬ ‫ن‬ ‫ن‬ ‫‪Timestomp‬‬ ‫‪.006 T1070‬‬
‫ان بالتحقق من الملفات المنشأة‬ ‫السيب ي‬
‫ر‬ ‫التخف عندما يقوم محلل االمن‬‫ي‬ ‫الملفات السليمة األخرى يف نفس المجلد وذلك بهدف‬
‫ً‬
‫حديثا‬
‫قد يقوم المهاجمون باستغالل األدوات الملحقة بالنظام وذلك بهدف تنفيذ أوامر (من خالل سطر األوامر) ضارة ويتم استخدام‬
‫تلك األدوات بشكل خاص بسبب امكانيتها تجاوز بعض القيود األمنية المحددة من قبل سطر األوامر‪ .‬يمكن استخدام العديد‬
‫حت استدعاء سطر األوامر‬ ‫من األدوات نف نظام ويندوز الملحقة او المساعدة للتنفيذ أوامر‪ ،‬وربما يتم تنفيذ هذه األوامر من غب ر‬
‫ي‬ ‫‪Indirect Command Execution‬‬ ‫‪T1202‬‬
‫‪ CMD‬عل سبيل المثال (‪ )Forfiles) Program Compatibility Assistant (pcalua.exe‬ولنظام لينكس ‪Windows‬‬
‫‪ )Subsystem for Linux (WSL‬وكذلك هناك أدوات متعددة تقوم بنفس الوظائف من تنفيذ أوامر بطرق مختلفة اما من‬
‫خالل برمجيات او سكربتات وغبه‪.‬‬
‫المهاجمي بالتالعب باألدلة او الملفات او الوظائف لجعلها تبدو غب ضارة او لالستخدام الغب خبيث سواء كانت‬ ‫ن‬ ‫قد يقوم‬
‫ادوات او مستخدمي او برمجيات‪ .‬يحدث التالعب عندما يتم تغب او تعديل او انشاء او استبدال وظيفة او ملف او برمجية‬ ‫ن‬
‫ر ن‬ ‫ن‬ ‫‪Masquerading‬‬ ‫‪T1036‬‬
‫ان بعمل االستجابة للحوادث‪ .‬وقد تمتد تلك العمليات‬ ‫السيب ي‬ ‫التخف من عملية الرصد واالكتشاف عند قيام محلل االمن‬ ‫ي‬ ‫بهدف‬
‫حت يتم تعديل البيانات الوصفية‪.‬‬ ‫من التالعب ر‬
‫ً‬ ‫ن‬
‫المهاجمي بالتالعب وتقليد بعض الخصائص اإلضافية رلبمجيات (توقيع االكواد رقميا) حقيقة لزيادة فرصة التالعب‬ ‫قد يقوم‬
‫بالمستخدمي وجعل برمجياته كأنها حقيقة وليست ضارة‪ .‬ان عملية توقيع االكواد الرقمية توفر مصادقيه من المطورين ان‬ ‫ن‬
‫البمجية لم يتم التالعب بها‪ .‬وحيث ان عملية نسخ التواقيع الرقمية (البيانات الوصفية) قد يقوم بها المهاجم من خالل‬ ‫االكواد ر‬ ‫‪Invalid Code Signature‬‬ ‫‪.001 T1036‬‬
‫وف حال لم يتم‬ ‫نسخها من برنامج اخر‪ ،‬ثم استخدامه كقالب لبنامجه الضار‪ .‬وقد تتم عملية التحقق من التواقيع الرقمية ن‬
‫ي‬ ‫ر‬
‫ن‬
‫المحللي‪.‬‬ ‫ن‬
‫المستخدمي او‬ ‫تنطل الحيلة عل‬ ‫قد‬ ‫ولكن‬ ‫البمجية‪.‬‬
‫التحقق سيتم افشال عملية تشغيل ر‬
‫ي‬
‫لليمي والعكس (‪ )RTLO or RLO) (U+202E‬وذلك بهدف خداع‬ ‫ن‬ ‫المهاجمي بالتالعب باتجاه االحرف من اليسار‬ ‫ن‬ ‫قد يقوم‬
‫عكس‪.‬‬
‫ي‬ ‫‪.‬‬
‫المستخدم ان هذا الملف غب ضار ان ‪ RTLO‬هو مجموعة حروف (غب قابلة للطباعة) يتم عرضها عل الشاشة بشكل‬ ‫‪Right-to-Left Override‬‬ ‫‪.002 T1036‬‬
‫عل سبيل المثال عندما يتم عرض شاشة التوقف الخاصة بالويندوز بهذا الشكل ‪ March 25 \u202Excod.scr‬ويتم‬
‫‪60‬‬
‫استخدام ‪ March 25 rcs.docx‬وهنا ملف جافا سكربت ‪ photo_high_re\u202Egnp.js‬ويتم عرضه كصورة‬
‫‪photo_high_resj.png‬‬
‫المهاجمي بإعادة تسمية بعض األدوات المساعدة ن يف النظام بهدف التهرب من االكتشاف وذلك بسبب ان أنظمة‬ ‫ن‬ ‫قد يقوم‬
‫الحماية تقوم بمراقبة تلك األدوات المساعدة‪ .‬بعد عملية التغب لها يستطيع المهاجم استخدامها دون ان يتم اكتشافه عل‬
‫‪Rename System Utilities‬‬ ‫‪.003 T1036‬‬
‫سبيل المثال إعادة تسمية ‪ rundll32.exe‬وتحدث العملية بإشكال متعددة وطرق مختلفة سواء كانت نسخ او تغب المجلد‬
‫الخاص بها او إعادة تسميتها بنفسها‪.‬‬
‫‪.‬‬
‫المهاجمي بالتالعب باسم مهمة او خدمة لجعلها تبدو غب ضارة وأنها حقيقية يتم تنفيذ هذا الخدمات من خالل‬ ‫ن‬ ‫قد يقوم‬
‫وف نظام ويندوز يتم أعط اسم‬ ‫ن‬ ‫‪.‬‬‫لها‬ ‫ووصف‬ ‫محدد‬ ‫اسم‬ ‫أعطاها‬ ‫بالعادة‬ ‫يتم‬ ‫ر‬
‫والت‬ ‫‪systemd‬‬ ‫خالل‬ ‫من‬ ‫او‬ ‫االعمال‬ ‫جدولة‬
‫ي‬ ‫للخدمة وكذلك اسم للعرض الخاص بهذه يالخدمة‪ .‬وبالعادة ان ر‬ ‫‪Masquerade Task or Service‬‬ ‫‪.004 T1036‬‬
‫اكب الخدمات الغب ضارة قد تتشابه ن يف اسم العرض الخاص بها‬
‫المهاجمي يفكرون بنفس الطريقة وإعطاء ملفاتهم الضارة نفس األسماء‪.‬‬ ‫ن‬ ‫بشكل كبب‪ ،‬مما يجعل‬
‫المهاجمي بالتالعب باألسماء او المجلدات وجعلها مقاربة للمجلدات او الملفات او المواقع الخاصة بها الحقيقية‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪.‬‬
‫وذلك بهدف التهرب من أنظمة المراقبة ويمكن للمهاجم من القيام بذلك من خالل ملف تنفيذي يف مجلد ‪system32‬‬ ‫‪Match Legitimate Name or‬‬
‫‪.005 T1036‬‬
‫واعطاه اسم كأنه ملف غب ضار‪ .‬او إعطاء اسم مألوف لخدمات ن يف النظام مثل ‪ svchost.exe‬او انشاء ملف اخر يحم نفس‬ ‫‪Location‬‬
‫لك يوهم المحلل انه نفس الملف‬ ‫ن‬
‫االسم مع زيادة مسافه ما بي االحرف ي‬
‫ن‬
‫قد يقوم المهاجم بإخفاء االمتداد الخاص بالملفات الضارة‪ .‬وذلك من خالل إضافة مسافة يف نهاية الملف وهذا ما يجع النظام‬
‫يتعامل مع الملف بطريقة متغبة‪ .‬وال يعمل هذا األسلوب مع الملفات ر ر‬ ‫‪Space after Filename‬‬ ‫‪.006 T1036‬‬
‫تأن بامتدادات (‪)app.‬‬‫الت ي‬
‫ي‬
‫للمستخدمي او السماح للوصول لبعض الحسابات بطريقة غب‬ ‫ن‬ ‫المهاجمي بتعديل آلية وطريقة عمل المصادقة‬ ‫ن‬ ‫قد يقوم‬
‫مرغوبة‪ .‬ان عملية المصادقة تتم من خالل آليات متعددة مثل ( ‪Server (LSASS) Local Security Authentication‬‬
‫تعديل طريقة وعملية التحقق ‪/‬‬
‫‪ ))process and the Security Accounts Manager (SAM‬ن يف نظام الويندوز و ( ‪pluggable authentication‬‬
‫ً‬ ‫ر‬ ‫ن‬ ‫ن‬ ‫‪Authentication Modify‬‬ ‫‪T1556‬‬
‫ه‬ ‫الت ذكرت سابقا ي‬ ‫‪ ))modules (PAM‬يف نظام لينكس و (‪ )authorization plugins‬يف نظام ن‪ .MacOs‬وجميع التقنيات ي‬ ‫‪Process‬‬
‫ن‬ ‫ر‬
‫للمهاجمي من المصادقة عل‬ ‫والت قد تسمح يف بعض األحوال‬ ‫المسؤولة عن تخزين وحفظ بيانات المصادقة والتحقق منها‪ .‬ي‬
‫خدمة او نظام دون الحاجة اىل استخدام حسابات فعالة وصحيحة‪.‬‬
‫تخط وسائل التحقق المتبعة‬ ‫ي‬ ‫قد يقوم المهاجم بتصحيح‪ .‬عمليات المصادقة عل (‪ )Domain Controller‬وذلك بهدف‬ ‫‪Domain Controller‬‬
‫‪.001 T1556‬‬
‫وتمكينه من الوصول اىل الحسابات‪.‬‬ ‫‪Authentication‬‬
‫ن‬
‫المهاجمي باستخدام (‪ )Filter DLL Password‬يف عمليات المصادقة لتحقق من صحة بيانات االعتماد‬ ‫ن‬ ‫قد يقوم‬ ‫‪Password Filter DLL‬‬ ‫‪.002 T1556‬‬
‫قد يقوم المهاجمي بتعديل (‪ ))authentication modules (PAM pluggable‬للوصول اىل بيانات االعتماد او تفعيل‬ ‫ن‬
‫حسابات غب مرغوب فيها‪ .‬ان (‪ ))pluggable authentication modules (PAM‬هو نظام معياري لإلعدادات الخاصة‬
‫ر‬ ‫‪Pluggable Authentication‬‬
‫ه‬‫والت تقوم بتوجيه آلية المصادقة للعديد من الخدمات‪ .‬نومن اشهرها ي‬ ‫للملفات و المكتبات والملفات التنفيذية ي‬ ‫‪Modules‬‬
‫‪.003 T1556‬‬
‫‪/‬‬
‫باسبداد المعلومات الخاصة بمصادقة الحساب وتعينها والتحقق منها يف ( ‪ )etc/passwd‬و‬ ‫والت تقوم ر‬ ‫ر‬
‫(‪ )pam_unix‬ي‬
‫(‪)etc/shadow/‬‬
‫التحقق بواسطة اجهزة الشبكة ‪/‬‬
‫قد يقوم المهاجم باالستفادة من التشفب الخاص بكلمات المرور ن يف أنظمة التشغيل او ما يسم (‪.)Patch System Image‬‬
‫‪Device Network‬‬ ‫‪.004 T1556‬‬
‫المهاجمي ن يف تجاوز آليات المصادقة للحسابات المحلية عل أجهزة الشبكة‪.‬‬ ‫ن‬ ‫وبالتاىل يستفيد منها‬ ‫ي‬ ‫‪Authentication‬‬
‫‪61‬‬
‫قد يقوم المهاجم بتعديل الحسابات الخاصة بالخدمات السحابية وذلك لتفادي االكتشاف والتعديالت قد تشتمل انشاء‬ ‫‪Modify Cloud Compute‬‬
‫وتعديل ومسح عل أي جزء من أجزاء الخدمات السحابية اوأنظمة ر‬ ‫‪T1578‬‬
‫االفباضية او النسخ الصورية‪.‬‬ ‫‪Infrastructure‬‬
‫لتخف من االكتشاف‪ .‬ان‬ ‫ن‬ ‫قد يقوم المهاجم بإنشاء نسخة صورية للبيانات او النسخ االحتياطية عل الخدمات السحابية وذلك‬
‫ي‬
‫والت بدورها تقوم بجعل النظام‬ ‫ر‬
‫ه أحد مكونات االساسية للخدمات السحابية يتم اخذها بوقت محدد ي‬ ‫عملية النسخ الصورية ي‬
‫ر‬
‫اض ‪ VM‬قابل لالستعادة‪ .‬ويتم تخزينها عل مساحة افباضية من القرص الصلب او عل جزء محدد من قرص صلب‪ .‬وقد‬ ‫ر ن‬
‫االفب ي‬ ‫انشاء نسخة ‪Create Snapshot /‬‬ ‫‪.001 T1578‬‬
‫يقوم المهاجمي باستغالل الصالحيات ألنشاء مثل هذه النسخ الصورية واالطالع عليها بسبب انهم ال يملكون األذونات‬ ‫ن‬
‫تبيل أي ملفات ضارة وبعد‬ ‫المهاجمي بإنشاء نسخة صورية قبل ن ن‬ ‫ن‬ ‫المناسبة للوصول للبنية التحتية الحقيقة للمنظمة‪ .‬وقد يقوم‬
‫ر‬
‫باسبجاع النسخة قبل عملية االخباق لتفادي االكتشاف‪.‬‬ ‫االخباق واالنتهاء منها يقومون ر‬ ‫ر‬ ‫عملية‬
‫المهاجمي بإنشاء نسخ افباضية ‪ VM‬داخل الخدمات السحابية او الحساب وذلك بهدف التهرب من عمليات‬ ‫ر‬ ‫ن‬ ‫قد يقوم‬
‫االفباضية وذلك بهدف تجاوز جدران الحماية‬ ‫االفباضية او األنظمة ر‬ ‫االكتشاف‪ .‬قد تسمح الصالحيات للمهاجم بإنشاء النسخ ر‬ ‫انشاء نسخة للخدمات السحابية ‪/‬‬
‫ر‬ ‫‪.002 T1578‬‬
‫لت ال يملك عليها الصالحيات المناسبة وقد يقوم المهاجم بإنشاء نسخة‬ ‫والتحكم الكامل للمهاجم بخالف النسخة األخرى ا ي‬ ‫‪Instance Create Cloud‬‬
‫صورية واحده من النظام الذي ال يملك صالحيات وتطبيق اقل الصالحيات‪.‬‬
‫مج برمجياته عن النظام‬ ‫قد يقوم المهاجم بمج النسخة ر‬ ‫مسح الخدمات السحابية ‪Delete /‬‬
‫االكتشاف وكذلك ي‬‫ً‬
‫االفباضية عل الخدمات السحابية وذلك لتفادي‬ ‫ي‬ ‫‪.003 T1578‬‬
‫المهاجمي جدا حيث ان التتبع لهم يصبح اصعب‪.‬‬ ‫ن‬ ‫انيي‪ .‬وتفيد تلك العملية‬ ‫السيب ن‬
‫ر‬ ‫ن‬
‫المحللي‬ ‫لك ال يتم الحصول عليها من قبل‬ ‫‪Instance Cloud‬‬
‫ي‬
‫تبيل أي ملفات او عمل أي أنشطة خبيثة وذلك‬ ‫المهاجمي باستعادة النسخ االحتياطية من النظام المستهدف قبل ن ن‬ ‫ن‬ ‫قد يقوم‬
‫ممبات متعددة ن يف عملية االستعادة بشكل كامل او من خالل نسخة‬ ‫لتفادي االكتشاف‪ .‬وتحتوي بعض الخدمات السحابية عل ن‬ ‫استعادة الخدمات السحابية ‪/‬‬
‫ً‬ ‫‪.004 T1578‬‬
‫صورية يقوم المهاجم بأخذها او نسخة صورية موجودة سابقا‪ .‬وتتم تلك العملية اما من خالل لوحة تحكم خاصة او من خالل‬ ‫‪Instance Revert Cloud‬‬
‫االتصال ب ‪ API‬محدد‪.‬‬
‫قد يقوم المهاجم بإخفاء بعض اإلعدادات الضارة داخل ‪ windows registry‬وذلك بهدف إخفاء بعض األنشطة الضارة‪ .‬وقد‬ ‫ر‬
‫الريجسبي ‪Modify /‬‬ ‫تعديل‬
‫‪T1112‬‬
‫تساعد بعض تلك اإلعدادات ن يف عملية مسح األدلة او البقاء داخل الشبكة قدر اإلمكان‪.‬‬ ‫‪Registry‬‬
‫التخف قدر اإلمكان من االكتشاف‪ .‬وعادة ما‬ ‫ن‬ ‫المهاجمي بتعديل النسخ الخاصة بالنظام ألجهزة الشبكات وذلك بهدف‬ ‫ن‬ ‫قد يقوم‬ ‫تعديل نسخة النظام ‪Modify /‬‬
‫ي‬ ‫ن‬ ‫‪T1601‬‬
‫تكون تحتوي تلك األجهزة عل نظام وملفات وقدرات يف ملف موحد‪.‬‬ ‫‪System Image‬‬
‫قد يقوم المهاجم بتعديل نظام التشغيل الخاص بأجهزة الشبكة إلدخال قدرات جديدة من شانها تقليل عمليات المراقبة‬ ‫سد الثغرات لنسخة النظام ‪Patch /‬‬
‫ن‬ ‫‪.001 T1601‬‬
‫البمجية الضارة‪.‬‬ ‫المهاجمي بتعديل الملف الخاص بالنظام إلدخال التعليمات ر‬ ‫والرصد ألنشطته الضارة‪ .‬وقد يقوم‬ ‫‪Image System‬‬
‫التخف من‬ ‫ن‬ ‫قد يقوم المهاجم بإعادة تثبيت نسخ اقدم من األنظمة الخاصة بأجهزة الشبكات وذلك بسبب وجود ثغرات تتيح هلل‬
‫ي‬ ‫‪Downgrade System Image‬‬ ‫‪.002 T1601‬‬
‫االكتشاف او وجود تشفب ضعيف عل عملية نقل البيانات‪.‬‬
‫المهاجمي بتغب طريقة التعامل مع الشبكات األخرى (الغب موثوقة) او تغب طريقة حركة مرور و توجيه البيانات وذلك‬ ‫ن‬ ‫قد يقوم‬ ‫حدود البوابة الشبكية ‪Network /‬‬
‫ر‬ ‫ر‬ ‫‪T1599‬‬
‫ويأن ذللك بعد عملية اخباق الموجهة وتمرير البيانات لشبكات غب موثوقة‪.‬‬ ‫ي‬ ‫المفروضة‬ ‫الحماية‬ ‫وسائل‬ ‫تخط‬
‫ي‬ ‫بهدف‬ ‫‪Bridging Boundary‬‬
‫قد يقوم المهاجم بتعديل البيانات الخاصة بالعناوين الشبكية ‪ NAT‬ألجهزة الشبكة وجعلها تتواصل مع أنظمة أخرى مشبوهة‬
‫ن‬ ‫‪Network Address Translation‬‬
‫تخط بعض القيود المفروضة عل توجيه حركة البيانات داخل او خارج‬ ‫ي‬ ‫المهاجمي من‬ ‫والتعديل عل عناوين ‪ NAT‬تمكن‬ ‫‪.001 T1599‬‬
‫‪Traversal‬‬
‫قد يقوم المهاجم بعملية تشفب او ن‬ ‫تشفب الملفات و المعلومات ‪/‬‬
‫ترمب لملفاته وجعلها غب قابلة لالكتشاف من قبل أنظمة الحماية والتحليل‪ .‬وهذا األسلوب‬
‫مستخدم ر‬ ‫‪Files or Obfuscated‬‬ ‫‪T1027‬‬
‫بكبه وذلك لتفادي عملية التحليل للبيانات الشبكية‪.‬‬
‫‪62‬‬
‫قد يقوم المهاجم بإضافة بيانات غب مفيدة عل برمجياته وذلك بهدف جعلها غب مفهومة او لتصعيب عملية التحليل‪.‬‬
‫وتحدث تلك الطريقة دون التأثب عل آلية عمل برمجياتهم الضارة‪ .‬ولكن قد يزيد من حجم الملف مما يجعل أنظمة الحماية‬ ‫‪Binary Padding‬‬ ‫‪.001 T1027‬‬
‫غب قادرة عل تحليله بسبب حجمة الكبب‪.‬‬
‫والبمجيات الضارة بهم‪.‬‬ ‫ر‬ ‫األدوات‬ ‫إخفاء‬ ‫بهدف‬ ‫وذلك‬ ‫ها‬‫وتشفب‬ ‫بهم‬ ‫الخاصة‬ ‫مجيات‬ ‫والب‬‫المهاجمي بضغط الملفات ر‬ ‫ن‬ ‫قد يقوم‬
‫البمجيات وتشفبها قد تتفادى من عملية االكتشاف من خالل استخدام آليات االكتشاف باستخدام التواقيع الرقمية‪.‬‬ ‫ضغط ر‬
‫‪Software Packing‬‬ ‫‪.002 T1027‬‬
‫ومعظم عمليات فك الضغط تحدث ن يف الذاكرة العشوائية‪ .‬تقوم ‪Virtual machine software protection translates‬‬
‫بحماية الملف التنفيذي من التعديل عند التشغيل وتقوم ن يف نفس الوقت باستدعاء الدالة الخاصة به لتشغيلة‪.‬‬
‫المهاجمي باستخدام تقنيات إخفاء البيانات والمعلومات لمنع االكتشاف (‪ )Steganographic‬ويمكن إخفاء البيانات‬ ‫ن‬ ‫قد يقوم‬
‫‪Steganography‬‬ ‫‪.003 T1027‬‬
‫ونقلها من خالل صور او ملفات فيديو او مقاطع صوتية او ملفات نصية‪.‬‬
‫المهاجمي بنقل ملفاتهم قبل عملية جعلها قابله للتنفيذ (‪ )uncompiled code‬وذلك بهدف تصعيب عملية الرصد‬ ‫ن‬ ‫قد يقوم‬
‫الت تحتوي عل اكواد برمجية ضارة غب مجمعة لك تكون قابلة لتنفيذ قد تكون صعبة فن‬ ‫واالكتشاف‪ .‬ان الملفات النصية ر‬
‫ي‬ ‫ي‬ ‫ي‬ ‫‪Compile After Delivery‬‬ ‫‪.004 T1027‬‬
‫المهاجمي بنقلها اىل الجهاز المستهدف ومن ثم جمع تلك الملفات وجعلها قابلة للتنفيذ‬ ‫ن‬ ‫عمليات الرصد واالكتشاف‪ .‬ويقوم‬
‫عب أدوات متوفرة ن يف النظام المستهدف مثل ‪ csc.exe‬او ‪GCC/MinGW‬‬ ‫ر‬
‫ن‬
‫التخف قدر‬ ‫بهدف‬ ‫وذلك‬ ‫الخبيثة‬ ‫برمجياتهم‬ ‫اكتشاف‬ ‫عملية‬ ‫بعد‬ ‫بهم‬ ‫الخاصة‬ ‫اق‬ ‫ر‬
‫االخب‬ ‫ات‬ ‫المهاجمي بمج ر‬
‫مؤش‬ ‫ن‬ ‫يقوم‬ ‫قد‬
‫ي‬ ‫ي‬ ‫‪Indicator Removal from Tools‬‬ ‫‪.005 T1027‬‬
‫المستطاع‪.‬‬
‫فبة ممكنة ن يف النظام‪ .‬وتعرف هذه األنظمة‬ ‫المهاجمي باستغالل آليات اإلقالع الخاصة بالنظام كطريقة للبقاء أطول ر‬ ‫ن‬ ‫قد يقوم‬
‫نظام اقالع جاهز ‪Pre-OS Boot /‬‬ ‫‪T1542‬‬
‫باألنظمة األساسية قبل عملية اقالع نظام التشغيل‪.‬‬
‫فبة ممكنة‪ .‬ان‬ ‫الخباق النظام والبقاء أطول ر‬ ‫المهاجمي بتعديل ما يسم ب (‪ )firmware system‬وذلك بهدف ر‬ ‫ن‬ ‫قد يقوم‬
‫(‪ )Input/Output System BIOS Basic‬و ( ‪ ))Unified Extensible Firmware Interface (UEFI‬او ( ‪Extensible‬‬
‫‪ ))Firmware Interface (EFI‬جميعهم ه أنظمة تشغيله ثابته من نوع ( ‪ )firmware‬وه تعمل ما ن‬ ‫النظام الثابت ‪System Firmware /‬‬ ‫‪.001 T1542‬‬
‫بي نظام التشغيل‬ ‫ي‬ ‫ي‬
‫والعتاد الخاص بالجهاز‪.‬‬
‫‪.‬‬ ‫ر‬ ‫ر‬
‫المهاجمي بتعديل ما يسم ب (‪ )component firmware‬وذلك بهدف الخباق النظام والبقاء أطول فبة ممكنة وقد‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ر‬ ‫ن‬ ‫ً‬ ‫ن‬
‫والت تؤدي اىل تثبيت‬ ‫ي‬ ‫اق‬
‫االخب‬ ‫ف‬‫ي‬ ‫المتقدمة‬ ‫العمليات‬ ‫هذه‬ ‫مثل‬ ‫لتنفيذ‬ ‫جدا‬ ‫ومتقدمة‬ ‫معقده‬ ‫طرق‬ ‫المهاجمي‬ ‫بعض‬ ‫يستخدم‬
‫البمجية الضارة عل نظام التشغيل او النظام الخاص ب (‪ .)BISO‬ان‬ ‫(‪ )component firmware‬ضار يقوم يتنفيذ تعليمات ر‬ ‫‪Component Firmware‬‬ ‫‪.002 T1542‬‬
‫الت ال تمتلك مستوى‬ ‫ر‬ ‫ن‬ ‫ر‬
‫األساليب تتشابه مع (‪ )System Firmware‬ولكن يي تنفيذها عل بعض المكونات واالجهزة ي‬ ‫هذه‬
‫قدرات ن يف فحص مستوى سالمتها‬
‫فبة ممكنة‪ .‬ويتم استخدام (‪ )bootkits‬كطبقة‬ ‫المهاجمي باستغالل ما يسم ب (‪ )bootkits‬وذلك بهدف البقاء أطول ر‬ ‫ن‬ ‫قد يقوم‬ ‫برمجية ضارة مع اقالع النظام ‪/‬‬
‫‪.003 T1542‬‬
‫أسفل نظام التشغيل‪ .‬ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه‪.‬‬ ‫‪Bootkit‬‬
‫المهاجمي باستغالل ما يسم ب (‪ ))Monitor (ROMMON ROM‬وذلك من خالل تحميل أنظمة (‪ )firmware‬ضار‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫‪ROMMONkit‬‬ ‫‪.004 T1542‬‬
‫وذلك بهدف البقاء أطول فبة ممكنة‪ .‬ومثل هذه االستغالل صعب االكتشاف مالم يتم التحقق منه‪.‬‬
‫المهاجمي باستغالل (‪ )netbooting‬لتحميل نظام تشغيل غب مضح به من خادم نقل الملفات بواسطة بروتوكول‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫(‪ )TFTP‬يتم استخدام (‪ ))TFTP boot (netbooting‬بشكل شائع بي مدراء الشبكات لتحميل االعدادات الخاصة بأجهزة‬ ‫‪.‬‬
‫‪TFTP Boot‬‬ ‫‪.005 T1542‬‬
‫الشبكات والنسخ الصورية (‪ )Image‬من خادم مركزي او مستودع‪ .‬ان (‪ )netbooting‬هو واحد من الخيارات المسموح بها‬
‫لإلقالع الخاص بالنظام ويمكن استخدامه لتحكم واإلدارة وكذلك مركز لحفظ النسخ الصورية (‪.)Images‬‬
‫‪63‬‬
‫المهاجمي بحقن العمليات وذلك بهدف رفع الصالحيات او التهرب من االكتشاف‪ .‬وقد تستخدم حقن العمليات‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫والت قد تسمح بحقن والوصول اىل العمليات يف الذاكرة العشوائية‬ ‫ر‬ ‫‪.‬‬ ‫ن‬
‫لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬ ‫حقن العمليات ‪Process /‬‬
‫ي‬ ‫‪T1055‬‬
‫ن‬
‫المهاجمي حيث انها تعمل وكأنها‬ ‫وتعتب عملية حقن العمليات من األساليب المتبعة من قبل‬ ‫ر‬ ‫(‪ )Memory‬او النظام او الشبكة‪.‬‬ ‫‪Injection‬‬
‫عملية طبيعية وغب ضارة‪.‬‬
‫المهاجمي بحقن (‪ )libraries (DLLs dynamic-link‬داخل العمليات وذلك من اجل رفع الصالحيات او التهرب من‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪Dynamic-link Library Injection‬‬ ‫‪.001 T1055‬‬
‫االكتشاف‪ .‬ان عملية حقن ‪ DLL‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬
‫المهاجمي بحقن (‪ )PE‬داخل العمليات وذلك من اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن ‪PE‬‬ ‫ن‬ ‫قد يقوم‬ ‫البمجيات الجاهزة للعمل ‪/‬‬
‫حقن ر‬
‫ن‬ ‫‪.002 T1055‬‬
‫تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬ ‫‪Executable Injection Portable‬‬
‫الت يتم اختطافها وذلك من اجل رفع الصالحيات او التهرب‬ ‫البمجيات الضارة نف العمليات ر‬ ‫المهاجمي بحقن بعض ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫ي‬ ‫ي‬ ‫‪Thread Execution Hijacking‬‬ ‫‪.003 T1055‬‬
‫من االكتشاف‪ .‬ان عملية حقن (‪ )Thread Execution Hijacking‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‪.‬‬
‫البمجيات الضارة ن يف العمليات النشطة من خالل ( ‪asynchronous procedure call‬‬ ‫المهاجمي بحقن بعض ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫‪ (APC‬وذلك من اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )APC‬تتم لتنفيذ تعليمات ضارة يف بعض‬ ‫‪Asynchronous Procedure Call‬‬ ‫‪.004 T1055‬‬
‫العمليات النشطة‪.‬‬
‫البمجيات الضارة يف العمليات النشطة من خالل ( (‪thread local storage (TLS‬وذلك من‬ ‫ن‬ ‫ن‬
‫قد يقوم المهاجمي بحقن بعض ر‬
‫اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )TLS callback‬تتم لتنفيذ تعليمات ضارة ن يف بعض العمليات‬ ‫‪Thread Local Storage‬‬ ‫‪.005 T1055‬‬
‫النشطة‪.‬‬
‫البمجيات الضارة يف العمليات النشطة من خالل ( ‪processes via ptrace (process‬‬ ‫ن‬ ‫ن‬
‫قد يقوم المهاجمي بحقن بعض ر‬
‫‪ )system calls )trace‬وذلك من اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪)Ptrace system call‬‬ ‫‪Ptrace System Calls‬‬ ‫‪.008 T1055‬‬
‫تتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة‪.‬‬
‫عب استخدام (‪ )Proc‬لملفات النظام وذلك من اجل رفع الصالحيات او التهرب من‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪Proc Memory‬‬ ‫‪.009 T1055‬‬
‫االكتشاف‪ .‬ان عملية حقن (‪ )Proc memory‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬
‫عب استخدام (‪ )Extra windows memory EWM‬لملفات النظام وذلك من‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬ ‫‪Extra Window Memory‬‬
‫ن‬ ‫‪.011 T1055‬‬
‫اجل رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )EWM‬تتم لتنفيذ تعليمات ضارة يف بعض العمليات النشطة‬ ‫‪Injection‬‬
‫عب استخدام عمليات تم ايقافها وتسم ب (‪ )hollowed processes‬وذلك من اجل‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫رفع الصالحيات او التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )hollowed processes‬تتم لتنفيذ تعليمات ضارة يف بعض‬ ‫‪Process Hollowing‬‬ ‫‪.012 T1055‬‬
‫العمليات النشطة‬
‫عب استخدام (‪ )process doppelgänging‬وذلك من اجل رفع الصالحيات او‬ ‫قد يقوم المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬
‫‪Process Doppelgänging‬‬ ‫‪.013 T1055‬‬
‫التهرب من االكتشاف‪ .‬ان عملية حقن (‪ )process doppelgänging‬تتم لتنفيذ تعليمات ضارة ن يف بعض العمليات النشطة‬
‫عب استخدام اختطاف او انتحال (‪ )VDSO‬وذلك من اجل رفع الصالحيات او‬ ‫المهاجمي بحقن برمجيات ضارة ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫التهرب من االكتشاف‪ .‬ان عملية حقن (‪ VDSO‬او ‪ )Virtual dynamic shared object‬تتم لتنفيذ تعليمات ضارة يف بعض‬ ‫‪VDSO Hijacking‬‬ ‫‪.014 T1055‬‬
‫العمليات النشطة‬
‫احتياىل وذلك بهدف التالعب بال (‪.))Domain Controller (DC‬‬ ‫قد يقوم المهاجمي بتسجيل (‪)Controller Domain‬‬ ‫ن‬
‫ي‬ ‫‪Rogue Domain Controller‬‬ ‫‪T1207‬‬
‫والت تشتمل عل (‪)objects and schemas‬‬ ‫يقوم (‪ )DCShadow‬بإنشاء نسخة احتيالية لتالعب بالبيانات الخاصة ب ‪ .AD‬ر‬
‫ي‬
‫‪64‬‬
‫االحتياىل يستطيع ان يقوم بالتالعب بكامل البنية‬
‫ي‬ ‫من خالل محاكات نشاط وسلوك ‪ .DC‬مجرد ان تتم عملية التسجيل لل ‪DC‬‬
‫التحتية الخاصة بالدليل النشط ‪ AD‬وقد يصل اىل تغب كلمات المرور وبيانات االعتماد وبعض الوظائف‪.‬‬
‫قد يقوم المهاجم باستخدام برمجيات ‪ rootkits‬وذلك إلخفاء ملفاته وبرمجياته وأنظمة وشبكاته وغبها من عمليات‬
‫األساس وتستطيع التواصل‬
‫ي‬ ‫البمجية الضارة داخل النظام‬ ‫االكتشاف‪ .‬ان ‪ rootkits‬هو برمجية تستخدم إلخفاء التعليمات ر‬ ‫‪Rootkit‬‬ ‫‪T1014‬‬
‫البمجيات من خالل استخدام استدعاءات بواسطة ‪ API‬وغبها‪.‬‬ ‫ر‬
‫باف ر‬
‫برمجية ‪ rootkits‬مع ي‬
‫ً‬ ‫ر‬
‫الت تعتمد عل اكتشافها بالتواقيع الرقمية وذلك من خالل استخدام أجزاء تم توقيعها رقميا‪.‬‬ ‫بتخط العمليات ً ي‬
‫ي‬ ‫قد يقوم المهاجم‬
‫البمجيات‬ ‫‪.‬‬
‫الت تم توقيعها رقميا قد يتم تنفيذها عل أنظمة ويندوز ويمكن استخدام العديد من األجزاء من ر‬ ‫ر‬
‫ً‬ ‫ان بعض االج ًزاء ي‬ ‫‪Signed Binary Proxy Execution‬‬ ‫‪T1218‬‬
‫افباضيا ن يف مثل هذه الهجمات‪.‬‬ ‫رقميا نف نظام ويندوز ر‬
‫ي‬ ‫الموقعة‬
‫قد يقوم المهاجم باستغالل عملية جمع الملفات المتوفرة ن يف ‪ HTML‬بامتداد (‪ )chm.‬إلخفاء تعليمات برمجية ضارة‪ .‬ويتم‬
‫يسم (‪ .)Microsoft HTML Help system‬ويحتوي ملف‪ CHM‬عل ملفات‬ ‫ي‬ ‫التعامل مع ملفات ‪ CHM‬كجزء من ما‬ ‫تكوين مف ‪HTML / Compiled‬‬
‫‪.001 T1218‬‬
‫مضغوطة مثل ملفات ‪ HTML‬وصور وسكربتات وملفات ‪ VBA‬وجافا سكربت و‪ .ActiveX‬يتم استخدام وعرض محتويات‬ ‫‪HTML File‬‬
‫والت قد تحتوي عل ملفات تنفيذيه‪.‬‬ ‫االنبنت اكسبلورر عند تحميل صفحة بامتداد ‪ HTML.‬ر‬ ‫ملف ‪ CHM‬من خالل متصفح ر‬
‫ي‬
‫قد يقوم المهاجم باستخدام ‪ control.exe‬لتنفيذ تعليمات برمجية ضارة‪ .‬وتقوم لوحة التحكم ن يف نظام ويندوز بمعالجة وتنفيذ‬
‫ن‬ ‫لوحة التحكم ‪Control Panel /‬‬ ‫‪.002 T1218‬‬
‫وه أدوات مساعدة يتم من خاللها تعديل اعدادات الكمبيوتر وضبطه‪.‬‬ ‫عناض التحكم يف النظام ي‬
‫قد يقوم المهاجم باستخدام‪ MCSTP‬لتنفيذ تعليمات برمجية ضارة‪ .‬ويعد ‪Microsoft Connection Manager Profile‬‬
‫‪ )CMSTP.exe( Installer‬سطر أوامر يستخدم إلدارة الخدمات الخاصة بملفات التعريف‪ .‬يقوم ‪ CMSTP.exe‬بقبول‬ ‫‪CMSTP‬‬ ‫‪.003 T1218‬‬
‫والت تسمح للخدمات باالتصال عن بعد من خالل خدمة ملف التعريف‪.‬‬ ‫ر‬
‫(‪ )installation information file INF‬ي‬
‫لتنفيذ تعليمات برمجية ضارة من خالل هذه األداة وه أحد األدوات المساعدة فن‬ ‫قد يقوم المهاجم باستخدام ‪InstallUtil‬‬
‫ي‬ ‫ي‬
‫نظام ويندوز‪ .‬وطبيعة ‪ InstallUtil‬تقوم عل انها أداة مساعدة لسطر األوامر وتسمح بتثبيت المصادر من خال تنفيذ تعليمات‬
‫ً‬
‫ه أداة موقع رقميا بواسطة مايكروسوفت‬ ‫التثبيت باستخدام ‪ .‬ن‪ ،NET binaries‬ان أداة ‪ InstallUtil‬ي‬ ‫محددة عند القيام بعملية‬
‫‪InstallUtil‬‬ ‫‪.004 T1218‬‬
‫وتقع من ضمن نطاق ‪ NET.‬ن يف أنظمة ويندوز يف المسارات التالية (‪:system‬‬
‫‪C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe and‬‬
‫‪).C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe‬‬
‫المهاجمي باستغالل أداة ‪ mshta.exe‬لتنفيذ تعليمات برمجية ضارة‪ .‬بامتداد ملف ‪ hta.‬او جافا سكربت او‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫االوىل للمستهدف او استخدامها يف عملية تثبيت‬ ‫ن‬
‫‪ .VBScript‬وهناك امثله متعددة لطريقة استخدام ‪ mshta‬يف عملية الوصول‬ ‫‪Mshta‬‬ ‫‪.005 T1218‬‬
‫ي‬
‫البمجيات الضارة‪.‬‬‫ر‬
‫ه عبارة عن أداة‬ ‫‪.‬‬ ‫ن‬
‫قد يقوم المهاجمي باستغالل ‪ msiexec.exe‬لتنفيذ تعليمات برمجية ضارة ان أداة ‪ msiexec.exe‬ي‬
‫والت يتم استخدامها بشك شائع ن يف عملية تثبيت الحزم بامتداد ‪msi.‬‬ ‫ر‬
‫‪ Windows‬ي‬ ‫مساعدة لسطر األوامر رلبنامج ‪Installer‬‬ ‫‪Msiexec‬‬ ‫‪.007 T1218‬‬
‫ً‬
‫كما قامت مايكروسوفت بتوقيع ‪ msiexec‬رقميا‪.‬‬
‫ن‬
‫ه عبارة عن أداة‬ ‫قد يقوم المهاجمي باستغالل ‪ Odbcconf.exe‬لتنفيذ تعليمات برمجية ضارة‪ .‬ان أداة ‪ Odbcconf.exe‬ي‬
‫والت تحتوي عل التعاريف و بعض مصادر البيانات‬ ‫ر‬
‫‪ )ODBC‬ي‬ ‫ً‬
‫مساعدة لإلعدادات االتصال بقواعد البيانات المفتوحة (‬ ‫‪Odbcconf‬‬ ‫‪.008 T1218‬‬
‫‪ Windows‬كما قامت مايكروسوفت بتوقيع ‪ msiexec‬رقميا‪.‬‬
‫‪65‬‬
‫ه‬ ‫المهاجمي باستغالل ‪ Regasm Regsvcs and‬لتنفيذ تعليمات برمجية ضارة‪ .‬ان أداة ‪and Regasm‬‬ ‫ن‬
‫‪ Regsvcs‬ي‬ ‫ً‬
‫قد يقوم‬
‫ن‬
‫عبارة عن سطر أوامر تستخدم لتسجيل ‪ NET. Component Object Model COM‬كل االداتي تم توقيعها رقميا بواسطة‬ ‫‪.‬‬ ‫‪Regsvcs/Regasm‬‬ ‫‪.009 T1218‬‬
‫مايكروسوفت‬
‫ه عبارة عن سطر‬ ‫‪Regsvr32.exe‬‬ ‫ة‬ ‫أدا‬ ‫ان‬ ‫‪.‬‬ ‫ضارة‬ ‫برمجية‬ ‫تعليمات‬ ‫لتنفيذ‬ ‫‪Regsvr32.exe‬‬ ‫باستغالل‬ ‫المهاجمي‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫ن‬
‫أوامر تستخدم لتسجيل (‪ object linking‬و ‪ )embedding controls‬وقد تشتمل عل ‪ .DLLs‬يف بيئة الويندوز‪ .‬أداة‬ ‫‪Regsvr32‬‬ ‫‪.010 T1218‬‬
‫ً‬
‫‪ Regsvr32‬موقعه رقميا بواسطة مايكروسوفت‪.‬‬
‫المهاجمي باستغالل ‪ rundll32.exe‬لتنفيذ تعليمات برمجية ضارة‪ .‬ان أداة ‪ rundll32.exe‬قد تستخدم بشكل‬ ‫ن‬ ‫قد يقوم‬
‫الت ال‬ ‫ر‬ ‫الحماية‬ ‫أنظمة‬ ‫قبل‬ ‫من‬ ‫االكتشاف‬ ‫عمليات‬ ‫للتفادي‬ ‫استغاللها‬ ‫يتم‬ ‫قد‬ ‫ر‬
‫والت‬ ‫)‬ ‫‪Shared‬‬ ‫‪Modules‬‬ ‫(‬ ‫خالل‬ ‫من‬ ‫أي‬ ‫ثانوي‬
‫ي‬ ‫ي‬ ‫‪Rundll32‬‬ ‫‪.011 T1218‬‬
‫الت يتم تنفيذها بواسطة ‪ rundll32‬بسبب القوائم المسموح بها او اإلنذارات الخاطئة اثناء عملية التشغيل‬ ‫تراقب العمليات ر‬
‫ي‬
‫العادية‪ .‬وترتبط ‪ rundll32‬بشكل شائع اثناء تنفيذ ملفات ‪.DLL‬‬
‫المهاجمي باستغالل ‪ verclsid.exe‬لتنفيذ تعليمات برمجية ضارة‪ .‬ان أداة ‪ verclsid.exe‬والمتعارف عليها كامتداد‬ ‫ن‬ ‫قد يقوم‬
‫‪Verclsid‬‬ ‫‪.012 T1218‬‬
‫وه اإلضافة المسؤولة عن التحقق من كل االمتدادات الخاص بالمتصفح او ‪.Windows Shell‬‬ ‫‪ CLSID‬ي‬
‫ً‬ ‫ن‬
‫المهاجمي باستخدام سكربتات موقعه رقميا وموثوقة للتنفيذ تعليمات برمجية ضارة‪ .‬حيث يمكن استخدام العديد من‬ ‫قد يقوم‬
‫ً‬
‫ن‬
‫المهاجمي من تنفيذ‬ ‫افباضيا ن يف نظام ويندوز‪ .‬مما يمكن‬ ‫والت تكون مثبته ر‬
‫ي‬
‫السكرتبات النصية الموقعة من مايكروسوفت ر‬ ‫‪Signed Script Proxy Execution‬‬ ‫‪T1216‬‬
‫تعليمات برمجية ضارة من خالل استخدامها‪.‬‬
‫المهاجمي باستخدام ‪ PubPrn‬وطلك لتفادي‬ ‫ن‬ ‫المهاجمي باستغالل ‪ PubPrn‬لتنفيذ تعليمات برمجية ضارة‪ ،‬ويقوم‬ ‫ن‬ ‫قد يقوم‬
‫المبت عل التواقيع الرقمية الكتشاف التهديدات السيبانية‪ .‬وكذلك تخط وسائل الحماية المبنية عل التحكم فن‬ ‫ن‬ ‫االكتشاف‬ ‫‪PubPrn‬‬ ‫‪.001 T1216‬‬
‫ي‬ ‫ي‬ ‫ر‬ ‫ي‬
‫والت ال تتأخذ السكربتات كتطبيقات لمنعها‪.‬‬ ‫التطبيقات ر‬
‫ي‬
‫المستخدمي من نشاط ضار او عمليات غب‬ ‫ن‬ ‫الت من شانها اما تحذير‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي بإضعاف إمكانيات التقنيات األمنية ي‬
‫ر‬
‫الت تسمح لها‬ ‫موثوق بها او برمجيات مشبوهة يتم تنفيذها‪ .‬وقد تحتوي أنظمة التشغيل عل برمجيات ومنتجات األمان ي‬
‫البمجيات او المواقع الضارة وتحديد مستوى الموثوقية بها‪ .‬ومن األمثلة عليها السماح رلبنامج بالعمل بسبب انه موقع‬ ‫بتحديد ر‬ ‫‪Subvert Trust Controls‬‬ ‫‪T1553‬‬
‫ر‬ ‫ً‬
‫رقميا من قبل طرف موثوق‪ ،‬او تحذير المستخدم ان المحتوى المراد تثبيته تم تحميله من األنبنت‪ ،‬او الحصول عل تنبيه انك‬
‫عل وشك االتصال بموقع غب موثوق‪.‬‬
‫الت تسمح للنظام بمعرفة إذا كانت هذه الملفات من مصادر غب موثوقة وذلك‬ ‫المهاجمي بتعديل خصائص الملفات ر‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫ي‬
‫نظام ‪ .macOS and OS X‬حيث تعمل عند تحميل‬ ‫ي‬ ‫بهدف االحتيال عل عناض التحكم مثل ‪ Gatekeeper‬المتوفرة يف‬
‫مبة ‪ com.apple.quarantine‬ر‬ ‫برنامج او ملف من خالل ر‬
‫االنبنت بتفعيل ن‬ ‫‪Gatekeeper Bypass‬‬ ‫‪.001 T1553‬‬
‫والت تسمح رلبنامج الحماية ‪ Gatekeeper‬بتنبيه‬ ‫ي‬
‫البمجية‪.‬‬ ‫المستخدم اما بالسماح او الرفض لهذا الملف او ر‬
‫الرقم لالكواد مستوى‬ ‫المهاجمي باالستحواذ او شقة او انشاء طرق او آليات توقيع برمجياتهم الضارة‪ .‬ويوفر التوقيع‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫المهاجمي ان الشهادات الخاصة بالتواقيع يتم انشاءها او‬ ‫ن‬ ‫البمجيات موثوقة‪ .‬ومن الشائع لدى‬ ‫مصادقيه لدى المطورين ان ر‬ ‫‪Code Signing‬‬ ‫‪.002 T1553‬‬
‫شقتها‪.‬‬
‫ن‬
‫الت يتمتع بها مع نظام التشغيل وأدوات التحكم يف التطبيقات عند اجراء‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي بالتالعب باستخدام ‪ SIP‬نوالثقة ي‬
‫الرقم‬
‫ي‬ ‫التوقيع‬ ‫نشأت‬
‫ن‬
‫بالتحقق‬ ‫ويندوز‬ ‫نظام‬ ‫يقوم‬ ‫العادي‬
‫ن‬
‫المستخدم‬ ‫وف حال‬ ‫عمليات التحقق من صحة التواقيع الرقمية‪ .‬ي‬ ‫‪SIP and Trust Provider‬‬
‫‪.003 T1553‬‬
‫وكذلك سالمته‪ .‬وقد تقوم بعض المتغبات المستخدمة لتوليد الثقة يف االكواد المستخدم مثل التعاريف يف نظام ويندوز والذي‬ ‫‪Hijacking‬‬
‫يقوم بالتعامل مع التواقيع الرقمية الخاصة بها عل انها تواقيع رقمية امنة‪ .‬وتتم مرحلة التحقق من صحة التواقيع الرقمية‬
‫‪66‬‬
‫ر‬
‫والت تقبل‬
‫بواسطة تطبيق ‪ WinVerifyTrust‬باستخدام وظيفة ‪ application programming interface API‬ي‬
‫االستعالمات وتحدد المستوى المناسب من الثقة المطلوبة‪.‬‬
‫ر‬
‫المهاجمي بتثبيت (‪ )certificate root‬عل النظام المخبق وذلك لتفادي التنبيه عندما تتم عملية التحكم والسيطرة‬ ‫ن‬ ‫قد يقوم‬
‫ن‬
‫والتواصل مع النطاقات الضارة الخاصة بالمهاجم‪ .‬تستخدم (‪ )certificate root‬يف تشفبها المفتاح العام الذي تم انشاءه‬
‫البنامج او النظام بالثقة بهذه‬ ‫بواسطة (‪ ،)authority CA root certificate‬وعند تثبيت الشهادة من قبل المهاجم يقوم ر‬
‫الشهادة وه بالعادة تقوم باستخدام برتوكول ‪ TLS/SSL‬لالتصاالت من خالل متصفحات الويب‪ .‬ن‬ ‫‪Install Root Certificate‬‬ ‫‪.004 T1553‬‬
‫وف حال لم يتم تثبيت هذه‬ ‫ي‬ ‫ي‬
‫ً‬
‫الشهادة واراد المستخدم تصفح هذا الموقع ستظهر رسالة تنبيه ان علية الحذر ان الشهادة الخاصة بالموقع لم توقع رقميا‬
‫وتحتاج اىل الصالحية لتثبيتها‪.‬‬
‫المهاجمي باستغالل التنسيق الخاص بالصفحات والتحكم بها او ما يعرف ر ين (‪ .)Mark-of-the-Web MOTW‬ن يف‬ ‫ن‬ ‫قد يقوم‬
‫لك يضلل المستخدمي ان الملفات امنة‪ .‬ان السيناريو عند تحميل الملفات‬ ‫ن‬ ‫ر‬
‫نظام ويندوز وعند تحميل الملفات من االنبنت ي‬
‫يتم من خالل تصنيفها بطريقة خفية باستخدام (‪ )NTFS‬و (‪ .)Alternate Data Stream ADS‬وربطها باسم يعرف ب‬
‫ن‬
‫محم‬
‫ي‬ ‫يعت ذلك أي ملف محدد بالقيمة الخاصة ب ‪ MOTW‬هو ملف‬ ‫‪ Zone.Identifier‬مع قيمة محددة تسم ر ين ‪ .MOTW‬ي‬ ‫‪Mark-of-the-Web Bypass‬‬ ‫‪.005 T1553‬‬
‫وال يستطيع تنفيذ اال بعض الوظائف فقط‪ .‬عل سبيل المثال عند تشغيل ‪ MS Office 10‬وكان الملف المراد فتحة مربوط‬
‫مباش بل من خالل طريقة العرض المحمية (‪ )Protected View‬واي ملف يتم‬ ‫بقيمة من ‪ MOTW‬ال يمكن فتحة بشكل ر‬
‫والت تقوم بالمقارنة بالملفات‬ ‫ر‬
‫ربطة بقيمة من ‪ MOTW‬يتم معالجته من قبل (‪ )Windows Defender SmartScreen‬ي‬
‫التنفيذية المسموح بها او الغب موثوقة وتقوم بتحذير المستخدم من تفعيله او تشغيله‪.‬‬
‫البمجية الغب موقعه‪ .‬ان توقيع‬ ‫ر‬ ‫االكواد‬ ‫البمجية بهدف تفعيل خاصية تنفيذ‬ ‫ن‬
‫المهاجمي بتعديل سياسة توقيع االكواد ر‬ ‫قد يقوم‬
‫البمجية تعط مستوى من الثقة لدى مطورين التطبيقات وان التطبيق موثوق ولم يتم التالعب به‪ .‬وتستطيع تضمين‬ ‫‪Code Signing Policy‬‬
‫ي‬ ‫االكواد ر‬ ‫‪.006 T1553‬‬
‫ً‬ ‫‪Modification‬‬
‫عنض من عناض التحكم بمنع تنفيذ أي برنامج لم يتم توقيعه رقميا من العمل عل النظام الخاص بك‪.‬‬
‫المهاجمي بتعديل او انشاء قوالب ونماذج جاهزة لالستخدام لملفات (‪ )Office‬وذلك بهدف إخفاء تعليمات برمجية‬ ‫ن‬ ‫قد يقوم‬
‫ضارة او محاولة التالعب يف عملية المصادقة‪ .‬ان (‪ )Microsoft’s Office Open XML OOXML‬او ما يعرف بتنسيق‬ ‫ن‬
‫المستندات (‪ )XML‬والذي يتم استخدامه لتنسيق المحتويات ن يف الملفات (‪ )docx, xlsx, .pptx.‬وكذلك يقوم باستبدال‬ ‫‪Template Injection‬‬ ‫‪T1221‬‬
‫ً‬ ‫ر‬
‫الت تم ذكرها سابقا‪ .‬يقوم بتجميع وضغط ملفات ‪ OOXML‬داخل‬ ‫االمتدادات ي‬ ‫االمتدادات القديمة (‪ )ppt. ,doc, .xls.‬اىل‬
‫النهان الخاص بالمستند‪.‬‬ ‫ي‬ ‫والت ن يف النهاية تساعد يف تحديد الشكل والمظهر‬
‫ن‬ ‫ر‬
‫ملف ‪ ZIP‬بامتدادات ‪ XML‬ي‬
‫والت‬ ‫ر‬ ‫ن‬
‫الوظائف الضارة ني‬ ‫ر‬
‫المهاجمي باستخدام ( ‪ )signaling traffic‬بهدف إخفاء المنافذ المفتوحة او إخفاء بعض‬
‫ر‬
‫قد يقوم‬
‫ن‬
‫تستخدم بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬وتستخدم يف‬
‫والت تستخدم ما يسم ب (‪ magic value‬او تسلسل محدد) والذي‬ ‫ر‬
‫بعض األحيان من خالل سطر األوامر (‪ )line Command‬ي‬
‫لتحفب استجابة معينة‪ .‬مثل فتح او اغالق أحد المنافذ او تنفيذ بعض المهام الضارة‪ .‬وقد يقوم المهاجم بإرسال‬ ‫ن‬ ‫يتم ارساله‬
‫ر‬ ‫‪Traffic Signaling‬‬ ‫‪T1205‬‬
‫والت ستمكنه من التحكم والسيطرة عل النظام المصاب‪.‬‬ ‫ي‬ ‫المنافذ‬ ‫اغالق‬ ‫او‬ ‫فتح‬ ‫من‬ ‫عملية‬ ‫أي‬ ‫اء‬‫ر‬ ‫اج‬ ‫قبل‬ ‫الحزم‬ ‫من‬ ‫مجموعة‬
‫ن‬ ‫ً‬
‫تضمي بعض التعليمات‬ ‫وعادة ما تكون هذه السلسلة من الحرم يتم تحديدها مسبقا مثل (‪ .)Port Knocking‬ولكن قم يتم‬
‫الفريدة من نوعها بعد اكمال عملية ارسال الحزم مما يقوم بفتح المنفذ او أغالقه ن يف جدار الحماية الخاص بالمستضيف او ما‬
‫يسم ب (‪ )host-based firewall‬او من خالل تشغيل برمجية مخصصة لذلك‪.‬‬
‫المهاجمي باستخدام (‪ )port knocking‬بهدف إخفاء المنافذ المفتوحة او إخفاء بعض الوظائف الضارة ر‬
‫والت‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫‪Port Knocking‬‬ ‫‪.001 T1205‬‬
‫ر‬ ‫ر‬ ‫ن‬
‫تستخدم بهدف تنفيذ تعليمات برمجية ضارة من شأنها تأمي البقاء أطول فبة ممكنه داخل النظام المخبق‪ .‬ي‬
‫ولك يتم‬
‫‪67‬‬
‫ً‬ ‫ر‬
‫الت تم تعريفها سابقا‪ .‬او يستطيع المهاجم استخدام بعض‬ ‫المحاوالت ي‬ ‫تفعيل‪/‬اغالق المنافذ يقوم المهاجم بإرسال سلسلة من‬
‫والت من شأنها القيام بفتح المنافذ او اغالقها يف جدار الحماية الخاص بالمستضيف او ما يسم ب ( ‪host-based‬‬ ‫ن‬ ‫ر‬
‫البمجيات ي‬ ‫ر‬
‫‪)firewall‬‬
‫البمجيات الضارة الخاصة بهم‪.‬‬ ‫المهاجمي باالستفادة من أدوات المطورين الموثوق بها واستخدامها لتنفيذ وايصال ر‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ن‬ ‫ر‬ ‫ن‬
‫والت قد تكون‬‫والت يمكن استخدامها من قبل المهاجميً‪ .‬ي‬ ‫البمجيات ي‬ ‫وهناك العديد من األدوات المساعدة يف عملية تطوير ر‬ ‫‪Trusted Developer Utilities‬‬
‫‪T1127‬‬
‫أدوات مستخدمة لتصحيح األخطاء او للهندسة العكسية وغبها‪ .‬هذه األدوات قد تكون أدوات موقعه رقميا مما يريد من‬ ‫‪Proxy Execution‬‬
‫تخط عناض ووسائل الحماية الموضوعة‪.‬‬ ‫ر‬
‫ي‬ ‫والت قد تودي اىل‬‫مستوى الثقة بها‪ .‬ي‬
‫ن‬ ‫ن‬
‫ه أداة موثوقة يف أنظمة ويندوز‬ ‫قد يقوم المهاجمي باستخدام ‪ MSBuild‬لتنفيذ تعليمات برمجية ضارة‪ .‬ان أداة ‪ MSBuild‬ي‬
‫ر‬
‫والت‬
‫البمجيات الخاصة ب ‪ Visual Studio‬ي‬ ‫أساس إلنشاء وتكوين ر‬ ‫ي‬ ‫وه نظام‬ ‫وه اختصار يىل (‪ )Microsoft Build Engine‬ي‬ ‫ي‬ ‫‪MSBuild‬‬ ‫‪.001 T1127‬‬
‫ه بدورها بتحديد المتطلبات واالعدادات لألنظمة المراد انشاءها‪.‬‬ ‫تقوم‬ ‫يتم التعامل معها من خالل امتدادات ‪ XML‬ر‬
‫والت‬
‫ي‬ ‫ي‬
‫التخف من االكتشاف‪ .‬ان‬ ‫ي‬
‫ن‬ ‫المهاجمي بإنشاء نسخ من الخدمات السحابية ن يف مناطق جغرافية غب معروفة وذلك بهدف‬ ‫ن‬ ‫قد يقوم‬ ‫‪Unused/Unsupported Cloud‬‬
‫ً‬ ‫ر‬ ‫‪T1535‬‬
‫عملية الوصول لهذه الخدمات عادة ما يتم من خالل حسابات مخبقة سابقا بهدف إدارة البنية التحتية‪.‬‬ ‫‪Regions‬‬
‫المخبلة (‪ ، )password hashes‬وتذاكر ‪ ، Kerberos‬ورموز‬ ‫رن‬ ‫المهاجمي ادوات مصادقة بديلة‪ ،‬مثل كلمة المرور‬ ‫ن‬ ‫يستخدم‬ ‫‪Use Alternate Authentication‬‬
‫ن‬ ‫‪T1550‬‬
‫الوصول إىل التطبيق‪ ،‬من أجل التنقل داخل الشبكة وتجاوز تقنيات التحكم يف الوصول إىل األنظمة‪.‬‬ ‫‪Material‬‬
‫يستخدم المهاجم رموز مشوقة للوصول إىل التطبيقات لتجاوز عملية المصادقة النموذجية والوصول إىل الحسابات أو‬
‫ً‬ ‫ن‬ ‫ن‬ ‫ً‬
‫المستخدمي واستخدامها بدال‬ ‫الممبة من‬ ‫المعلومات أو الخدمات المقيدة عل األنظمة األخرى‪ .‬عادة ما تتم شقة هذه الرموز‬ ‫‪Application Access Token‬‬ ‫‪.001 T1550‬‬
‫من بيانات اعتماد تسجيل الدخول‪.‬‬
‫ن‬
‫الت تم شقتها للتحرك داخل الشبكة‪ ،‬متخطي تقنيات‬ ‫ر‬ ‫ن‬
‫المهاجمي باستخدام تقنية ‪ Hash Pass The‬مع كلمات المرور ي‬ ‫يقوم‬
‫التحكم ن‬
‫ه طريقة للمصادقة كمستخدم دون الوصول إىل كلمة مرور الغب‬ ‫ي‬ ‫‪Pass‬‬ ‫‪the‬‬ ‫‪hash‬‬ ‫‪PtH‬‬ ‫‪.‬‬ ‫األنظمة‬ ‫إىل‬ ‫الوصول‬ ‫ف‬‫ي‬
‫مشفرة التابعة للمستخدم‪ .‬تتجاوز هذه الطريقة خطوات المصادقة القياسية ر‬ ‫‪Pass the Hash‬‬ ‫‪.002 T1550‬‬
‫الت تتطلب كلمة مرور غب مشفرة ‪ ،‬واالنتقال‬ ‫ي‬
‫مخبلة‪.‬‬ ‫مباشة إىل جزء المصادقة الذي يستخدم كلمة مرور ر ن‬ ‫ر‬
‫ن‬
‫متخطي‬ ‫الت تم شقتها للتحرك داخل الشبكة‪،‬‬ ‫ر‬ ‫ن‬
‫المهاجمي باستخدام تقنية ‪ Ticket Pass the‬مع كلمات المرور ي‬ ‫قد يقوم‬
‫تقنيات التحكم ن‬
‫ه طريقة للمصادقة عل نظام يستخدم تذاكر ‪Kerberos‬‬ ‫ي‬ ‫)‬ ‫‪Pass‬‬ ‫‪the‬‬ ‫‪ticket‬‬ ‫‪(PtT‬‬ ‫‪.‬‬ ‫األنظمة‬ ‫إىل‬ ‫الوصول‬ ‫ف‬
‫ي‬ ‫‪Pass the Ticket‬‬ ‫‪.003 T1550‬‬
‫دون الوصول إىل كلمة مرور الحساب‪ .‬يمكن استخدام مصادقة ‪ Kerberos‬كخطوة أوىل للحركة داخل أنظمة أخرى ‪.‬‬
‫قد يقوم المهاجم بشقة معلومات الجلسة (‪ )session cookies‬للحصول عل صالحيات مصادقة لخدمات الويب‪ .‬تتجاوز‬
‫‪Web Session Cookie‬‬ ‫‪.004 T1550‬‬
‫الفعل بشكل سليم‪.‬‬ ‫ي‬ ‫البتوكوالت الن الجلسة تمت مصادقتها من المستخدم‬ ‫هذه التقنية بعض ر‬
‫ر‬
‫االوىل او البقاء أطول فبة ممكنه داخل‬ ‫قد يقوم المهاجم باستغالل بيانات االعتماد للحسابات الفعالة وذلك بهدف الوصول‬
‫ي‬
‫لتخط عناض‬ ‫يستخدم‬ ‫قد‬ ‫قة‬ ‫ر‬
‫المخب‬ ‫المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان بيانات االعتماد‬ ‫ر‬ ‫النظام‬
‫ي‬
‫الت تم تطبيقها عل األنظمة والموارد الخاصة بالشبكة‪ .‬وقد يتم استخدام هذه‬ ‫التحكم بالوصول (‪ )access controls‬ر‬
‫ر ن‬ ‫ي‬
‫ون او سطح المكتب البعيد من خالل المتصفح‪.‬‬ ‫البيد االلكب ي‬ ‫الحسابات للوصول لألنظمة عن بعد او الخدمات مثل ‪ VPN‬او ر‬ ‫حساب فعال ‪Valid Accounts /‬‬ ‫‪T1078‬‬
‫المخبقة لتصعيد الصالحيات ألنظمة محدد او الوصول اىل منطقة حساسة داخل الشبكة‬ ‫ر‬ ‫وقد يتم استخدام بيانات االعتماد‬
‫البمجيات الضارة‬ ‫ر‬ ‫بعض‬ ‫تبيث‬ ‫اىل‬ ‫الحاجة‬ ‫دون‬ ‫قة‬ ‫المخب‬ ‫ر‬ ‫االعتماد‬ ‫ببيانات‬ ‫الضارة‬ ‫عملياته‬ ‫بتنفيذ‬ ‫المستهدفة‪ .‬وقد يقوم المهاجم‬
‫والت قد تؤدي اىل اكتشافه‪.‬‬ ‫ر‬
‫ي‬
‫‪68‬‬
‫االوىل او البقاء أطول‬ ‫والت تمكنه من الوصول‬ ‫ر‬ ‫ن‬ ‫ر‬
‫ي‬ ‫قد يقوم المهاجم بالحصول عل بيانات االعتماد للحسابات االفباضية يف النظام ي‬
‫ر‬ ‫ر‬ ‫ر‬ ‫ر‬
‫الت يتم انشاءها‬ ‫ه ي‬ ‫االكتشاف‪ .‬ان الحسابات االفباضية ي‬ ‫المخبق او تصعيد الصالحيات او التهرب من‬ ‫فبة ممكنه داخل النظام‬
‫اض ‪Default /‬‬‫ر ن‬
‫ر‬ ‫ر‬ ‫ن‬ ‫ر ن‬ ‫حساب افب ي‬
‫تأن كذلك‬ ‫اض داخل األنظمة مثل حساب (‪ Guest‬او ‪ )Administrator‬يف نظام ويندوز‪ .‬الحسابات االفباضية قد ي‬ ‫بشكل افب ي‬ ‫‪Accounts‬‬
‫‪.001 T1078‬‬
‫والت قد تكون حساب مدير للنظام‪ .‬ان حساب مدير النظام الخاص‬ ‫ر‬ ‫من األنظمة الخاصة ببعض العتاد من ر‬
‫المصنعة‪ .‬ي‬‫ن‬
‫الشكة‬
‫اض يف (‪)Kubernetes‬‬ ‫ن‬ ‫ر‬
‫بخدمات (‪ )AWS‬وحساب الخدمات االفب ي‬
‫االوىل او‬ ‫الوصول‬ ‫من‬ ‫تمكنه‬ ‫المهاجمي باستغالل بيانات االعتماد الخاصة بمدراء النطاق (‪ )domain account‬ر‬
‫والت‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫ي‬
‫فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬ان حسابات مدراء النطاق والتر‬ ‫ر‬ ‫البقاء أطول ر‬ ‫حساب مدير النظام ‪Domain /‬‬
‫ي‬ ‫‪.002 T1078‬‬
‫والت من خاللها يتم إعطاء الصالحيات و التكوين لخدمات‬ ‫ر‬
‫يتم التحكم بها من قبل (‪ )Service Active Directory Domain‬ي‬ ‫‪Accounts‬‬
‫ن‬
‫للنظام‪ .‬ومن الممكن ان تكون حسابات مدراء‪ .‬النظام عبارة عن حسابات مستخدمي او خدمات‪.‬‬
‫االوىل‬ ‫والت تمكنه من الوصول‬ ‫ر‬ ‫ن‬
‫ي‬ ‫قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات المحلية (‪ )local account‬ي‬
‫فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬الحسابات المحلية يتم‬ ‫ر‬ ‫او البقاء أطول ر‬ ‫محل ‪Local Accounts /‬‬ ‫حساب‬ ‫‪.003 T1078‬‬
‫ي‬
‫اعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض الخدمات الوصول لألنظمة و ادارتها‪.‬‬
‫والت تمكنه‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي باستغالل بيانات االعتماد الخاصة بالحسابات عل الخدمات السحابية (‪ )cloud account‬ي‬
‫االوىل او البقاء أطول فبة ممكنه داخل النظام المخبق او تصعيد الصالحيات او التهرب من االكتشاف‪ .‬حسابات‬ ‫ر‬ ‫ر‬ ‫من الوصول‬
‫ي‬ ‫حساب الخدمات الحسابية ‪Cloud /‬‬
‫الخدمات السحابية قد يتم انشاءها واعدادها من قبل المنظمة بهدف تقديم خدمات الدعم لألنظمة عن بعد او لتفعيل بعض‬ ‫‪.004 T1078‬‬
‫الخدمات الوصول لألنظمة وادارتها او التطبيقات‪ .‬قد يتم توحيد الحسابات الخاصة بالخدمات السحابية مع الحسابات ن يف‬
‫النطاقات (‪)Window Active Directory‬‬
‫ر‬
‫والت تشتمل عمليات التحليل يف البيئة االفباضية‪ .‬وقد يقوم‬ ‫ن‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي بإنشاء وسائل مختلفة لتهرب من االكتشاف ي‬
‫البمجية الضارة فعند وجود داللة عل‬ ‫الت يقوم بقراءتها عند تشغيل ر‬ ‫ر‬
‫البمجية الضارة بناء عل المعطيات ي‬ ‫المهاجم بتغب سلوك ر‬
‫‪Virtualization/Sandbox‬‬
‫البنامج‪ .‬وعادة ما يستخدم المهاجمين‬ ‫الت يقوم بها ر‬ ‫ر‬ ‫ر‬
‫ه افباضية يقوم بحماية نفسه او إخفاء الوظائف الرئيسية ي‬ ‫نان هذه البيئة ي‬ ‫‪Evasion‬‬
‫‪T1497‬‬
‫ماه‬‫ي‬ ‫الكتشاف‬ ‫وذلك‬ ‫التشغيل‬ ‫عملية‬ ‫د‬ ‫عن‬ ‫تلقان‬
‫ي‬ ‫بشكل‬ ‫)‬‫‪Virtualization/Sandbox‬‬ ‫‪Evasion‬‬ ‫(‬ ‫ب‬ ‫يسم‬ ‫يف برمجياتهم ما‬
‫البمجية الضارة بها‪.‬‬ ‫البيئة المراد تشغيل ر‬
‫والت تشتمل عمليات فحص النظام وحال وجد انه ن يف البيئة‬ ‫ر‬
‫قد يقوم المهاجمي بإنشاء وسائل مختلفة لتهرب من االكتشاف ي‬
‫ن‬
‫البمجية الضارة‬ ‫الت يقوم بقراءتها عند تشغيل ر‬ ‫ر‬ ‫االفباضية‪ .‬وقد يقوم المهاجم بتغب سلوك ر‬ ‫ر‬
‫البمجية الضارة بناء عل المعطيات ي‬
‫البنامج‪ .‬وعادة‬ ‫الت يقوم بها ر‬ ‫ر‬ ‫ر‬ ‫فحص النظام ‪System Checks /‬‬
‫ه افباضية يقوم بحماية نفسه او إخفاء الوظائف الرئيسية ي‬ ‫ان هذه البيئة ي‬ ‫ن‬
‫فعند وجود داللة عل‬ ‫‪.001 T1497‬‬
‫تلقان عند عملية التشغيل‬ ‫ما يستخدم المهاجمي يف برمجياتهم ما يسم ب (‪ )Virtualization/Sandbox Evasion‬بشكل‬ ‫ن‬
‫ي‬
‫البمجية الضارة بها‪.‬‬ ‫ماه البيئة المراد تشغيل ر‬ ‫وذلك الكتشاف ي‬
‫والت تشتمل عمليات فحص سلوك المستخدم وحال وجد انه‬ ‫ر‬ ‫ن‬
‫نقد يقوم المهاجمي بإنشاء وسائل مختلفة لتهرب من االكتشاف ي‬
‫الت يقوم بقراءتها عند تشغيل‬ ‫ر‬ ‫االفباضية‪ .‬وقد يقوم المهاجم بتغب سلوك ر‬ ‫ف البيئة ر‬
‫مجية الضارة بناء عل المعطيات ي‬ ‫الب‬ ‫ي‬
‫الت يقوم بها‬ ‫ر‬ ‫ر‬
‫ه افباضية يقوم بحماية نفسه او إخفاء الوظائف الرئيسية ي‬ ‫البمجية الضارة فعند وجود داللة عل نان هذه البيئة ي‬ ‫ر‬ ‫‪User Activity Based Checks‬‬ ‫‪.002 T1497‬‬
‫تلقان عند‬ ‫المهاجمي يف برمجياتهم ما يسم ب (‪ )Virtualization/Sandbox Evasion‬بشكل‬ ‫ن‬ ‫البنامج‪ .‬وعادة ما يستخدم‬ ‫ر‬
‫ي‬
‫البمجية الضارة بها‪.‬‬ ‫ماه البيئة المراد تشغيل ر‬ ‫ي‬ ‫الكتشاف‬ ‫وذلك‬ ‫التشغيل‬ ‫عملية‬
‫ن‬ ‫الت من شانها اكتشاف انه داخل بيئة ر‬ ‫قد يقوم المهاجم بتنفيذ بعض الطرق ر‬
‫وف بعض االحيان‬ ‫التالعب بالوقت ن‪ .‬ي‬ ‫افباضية مثل‬ ‫ي‬ ‫‪Time Based Evasion‬‬ ‫‪.003 T1497‬‬
‫افباضية او‬ ‫يقوم المهاجم بتحليل البنية الخاصة بالنظام ومعرفة اوقت وساعة النظام وذلك بهدف معرفة نف حال كان ف بيئة ر‬
‫ي‬ ‫ي‬
‫‪69‬‬
‫(‪ )SandBox‬وحمايته نفسه من تنفيذ تعليمات برمجية قد تفضح األساليب المستخدمة‪ .‬وقد تكون تلك العمليات محدده‬
‫بوقت او تعمل ن يف بداية التشغيل‪.‬‬
‫قد يقوم المهاجم ر‬ ‫التشفب الضعيف ‪Weaken /‬‬
‫تخط التشفب وقراءة البيانات المارة‪.‬‬
‫ي‬ ‫باخباق أجهزة التشفب عل مستوى الشبكة بهدف‬ ‫‪T1600‬‬
‫‪Encryption‬‬
‫قد يقوم المهاجم بتقليل حجم الجهد المطلوب لكش التشفب وذلك من خالل تقليل قوة التشفب قبل نقلها عل الشبكة‪.‬‬ ‫‪Reduce Key Space‬‬ ‫‪.001 T1600‬‬
‫قد يقوم المهاجم بتعطيل أجهزة تشفب البيانات عل مستوى الشبكة وذلك بهدف االستفادة وتقليل وقت كش التشفب والقدرة‬
‫‪Disable Crypto Hardware‬‬ ‫‪.002 T1600‬‬
‫عل جمع البيانات المارة ومعالجتها واستخراج المفيد منها‪.‬‬
‫ن‬ ‫ر‬
‫البمجيات او اعباضها من خالل تضمي سكربتات‬ ‫ن‬
‫المهاجمي بحجب بعض عناض التحكم باألمان من التحقق من ر‬ ‫قد يقوم‬
‫ن‬
‫داخل ملفات ‪ .XSL‬ان (‪ )Extensible Stylesheet Language XSL‬ملفات تستخدم بشكل شائع يف وصف العمليات‬ ‫‪XSL Script Processing‬‬ ‫‪T1220‬‬
‫ر‬ ‫ً‬ ‫ن‬
‫البمجية‪.‬‬ ‫وعرض البيانات يف ملفات ‪ .XML‬يتضمن معيار ‪ XSL‬دعما لقراءة السكربتات ي‬
‫الت يتم تضمينها بمختلف اللغات ر‬
‫‪70‬‬
‫الحصول عل بيانات االعتماد ‪Credential Access /‬‬
‫ن‬
‫المستخدمي وكلمات المرور‪،‬‬ ‫الحصول عل بيانات االعتماد‪ :‬تتم من خالل اتباع أساليب وتقنيات يقوم بها المهاجم بهدف شقة أسماء‬
‫وتشتمل األساليب والتقنيات للحصول عل بيانات االعتماد بطرق مختلفة منها مسجل نضبات المفاتيح او سحب كلمات المرور‪ .‬ومن‬
‫وه صعوبة اكتشافه‬ ‫ن‬ ‫خالل استخدام بيانات اعتماد صحيحة وفعالة قد تمكن المهاجم من ر‬
‫اخباق األنظمة ر‬
‫تعط المهاجم مبة ي‬
‫ي‬ ‫والت‬
‫ي‬
‫وتعطيه الصالحية كذلك ن يف انشاء حسابات أخرى‪.‬‬
‫‪71‬‬
‫الفرع‬
‫المهاجمي تقنيات القوة الغاشمة للوصول إىل بيانات االعتماد عندما تكون كلمات المرور غب معروفة أو عند الحصول عل هاش‬ ‫ن‬ ‫قد يستخدم‬
‫منهج باستخدام‬ ‫ر ي‬ ‫لكلمات المرور‪ .‬بدون معرفة كلمة المرور لحساب أو مجموعة من بيانات االعتماد‪ ،‬قد يخمن المهاجم كلمة المرور بشكل‬ ‫كش كلمات المرور ‪/‬‬
‫ر‬ ‫‪T1110‬‬
‫الت سوف تتحقق من صحة بيانات االعتماد‬ ‫آلية برمجية لتجربة عدة محاوالت‪ .‬كش كلمات المرور تعمل من خالل التفاعل مع الخدمة ي‬ ‫‪Brute Force‬‬
‫لبيانات االعتماد‪.‬‬
‫ر‬
‫المهاجمي الذين ليس لديهم معرفة مسبقة ببيانات االعتماد الحساب المشوعة داخل النظام أو البيئة قد يخمنون كلمات المرور لمحاولة‬ ‫ن‬
‫منهج باستخدام آلية برمجية‬ ‫ن‬
‫تخمي كلمة المرور بشكل‬ ‫الوصول إىل الحسابات‪ .‬بدون معرفة كلمة المرور للحساب‪ ،‬قد يختار المهاجم‬ ‫ن‬
‫تخمي كلمة المرور ‪/‬‬
‫ر ي‬
‫لتجربة عدة محاوالت‪ .‬قد يخمن المهاجم بيانات اعتماد الحساب لتسجيل الدخول دون معرفة مسبقة بكلمات مرور النظام أو البيئة أثناء‬ ‫‪Password‬‬ ‫‪.001 T1110‬‬
‫بعي االعتبار سياسات الهدف بشأن استخدام‬ ‫تخمي كلمة المرور ن‬
‫ن‬ ‫العملية باستخدام قائمة من كلمات المرور الشائعة‪ .‬قد يبحث المهاجم عند‬ ‫‪Guessing‬‬
‫الت قد تغلق الحسابات بعد عدد من المحاوالت الفاشلة‪.‬‬ ‫ر‬
‫تقنية تعقيد كلمة المرور أو استخدام السياسات ي‬
‫هاجمي باستخدام هجمات كش لمحاولة استعادة كلمات المرور المحفوظة من غب تشفب‪ ،‬وقد يقوم المهاجم باستخدام كلمات‬ ‫ن‬ ‫قد يقوم الم‬
‫المرور المشفرة كذلك يف هجمات أخرى مثل (‪ .)Pass The Hash‬وقد يتم استخدام هجمات أخرى للحصول عل كلمات المرور مثل‬ ‫ن‬ ‫كش كلمات المرور ‪/‬‬
‫‪.002 T1110‬‬
‫‪ .Rainbow table‬وعادة ما يتم استخدام مثل هذه الهجمة ن يف كش كلمات المرور عل أنظمة يقوم المهاجم بالتحكم بها خارج الشبكة‬ ‫‪Password Cracking‬‬
‫والت قد تستخدم لتسجيل الوصول لألنظمة والخدمات المستهدفة‪.‬‬ ‫ر‬
‫المستهدفة‪ .‬وقد ينتج عنها كش كلمات المرور ي‬
‫المهاجمي قائمة واحدة أو صغبة من كلمات المرور شائعة االستخدام ضد العديد من الحسابات المختلفة لمحاولة الحصول‬ ‫ن‬ ‫قد يستخدم‬
‫عل بيانات حساب المستخدم الصالحة‪ .‬يستخدم كش كلمة المرور كلمة مرور واحدة (مثل "‪ ، )"Password01‬أو قائمة صغبة من كلمات‬
‫ر‬ ‫كش كلمات المرور‬
‫والت قد تتطابق مع سياسة االمنية الخاصة بالضحية‪ .‬تتم محاولة تسجيل الدخول باستخدام كلمة المرور هذه ضد‬ ‫المرور شائعة االستخدام‪ ،‬ي‬ ‫‪.003 T1110‬‬
‫ً‬ ‫ر‬ ‫‪Password Spraying‬‬
‫الت تحدث عادة عند فرض حساب واحد باستخدام العديد من‬ ‫العديد من الحسابات المختلفة عل الشبكة لتجنب عمليات إغالق الحساب ي‬
‫كلمات المرور‪.‬‬
‫الت تم الحصول عليها من عمليات ‪ Dumping‬للحسابات غب ذات الصلة للوصول إىل الحسابات‬ ‫المهاجمي بيانات الحسابات ر‬
‫ن‬ ‫قد يستخدم‬
‫ي‬
‫ر‬
‫عب اإلنبنت عند‬ ‫ن‬ ‫ن‬
‫المستهدفة من خالل تداخل بيانات الحسابات‪ .‬من حي آلخر‪ ،‬يتم تشيب عدد كبب من اسماء المستخدمي وكلمات المرور ر‬
‫اخباق موقع ويب أو خدمة والوصول إىل بيانات حسابات المستخدم‪ .‬قد تكون المعلومات مفيدة للمهاجم لمحاولة ر‬ ‫ر‬ ‫‪Credential Stuffing‬‬ ‫‪.004 T1110‬‬
‫اخباق الحسابات من‬
‫ن‬
‫المستخدمي إىل استخدام نفس كلمات المرور يف الحسابات الشخصية والتجارية‪.‬‬ ‫ن‬ ‫خالل االستفادة من عادة‬
‫ن‬
‫اجمي عن مواقع يتم فيها تخزين كلمات المرور الشائعة للحصول عل بيانات حسابات المستخدمي‪ .‬يتم تخزين كلمات المرور‬ ‫ن‬ ‫قد يبحث المه‬
‫ً‬ ‫ً‬
‫ن يف عدة أماكن عل النظام‪ ،‬اعتمادا عل نظام التشغيل أو التطبيق الذي يحمل بيانات حسابات المستخدم‪ .‬هناك أيضا تطبيقات محددة تخزن‬ ‫‪Credentials from‬‬
‫ن‬ ‫‪.004 T1555‬‬
‫المستخدمي‪ .‬بمجرد الحصول عل بيانات الحسابات ‪ ،‬يمكن استخدامها ألداء التنقل داخل‬ ‫كلمات المرور لتسهيل إدارتها وصيانتها عل‬ ‫‪Password Stores‬‬
‫الشبكة والوصول إىل المعلومات المحمية‪.‬‬
‫ه‬ ‫المفاتيح‬ ‫سالسل‬ ‫‪.‬‬ ‫ن‬
‫المستخدمي‬ ‫حسابات‬ ‫بيانات‬ ‫عل‬ ‫للحصول‬ ‫النظام‬ ‫من‬ ‫المفاتيح‬ ‫سلسلة‬ ‫المهاجمي بجمع بيانات تخزين‬ ‫ن‬ ‫قد يقوم‬
‫ي‬
‫ن‬ ‫ن‬
‫الطريقة المضمنة لنظام ‪ macOS‬لتتبع كلمات مرور المستخدمي وبيانات حساباتهم للعديد من الخدمات والمبات مثل كلمات مرور ‪WiFi‬‬
‫ومواقع الويب والمالحظات اآلمنة والشهادات و ‪ .Kerberos‬توجد ملفات ‪ Keychain‬ن يف ~ ‪ / Library / Keychains /‬و ‪Library / /‬‬ ‫‪Keychain‬‬ ‫‪.001 T1555‬‬
‫اضيا‪ ،‬طريقة مفيدة إلدارة‬‫افب ً‬ ‫‪ / Keychains‬و ‪ ./ Network / Library / Keychains /‬توفر أداة سطر أوامر األمان‪ ،‬المضمنة نف ‪ macOS‬ر‬
‫ي‬
‫ن‬
‫المستخدمي هذه‪.‬‬ ‫بيانات حسابات‬
‫‪72‬‬
‫عب الذاكرة للعثور‬ ‫قد يحصل المهاجم عل حق الوصول إىل صالحية المسؤول (مما يسمح له بقراءة ذاكرة ‪ ، )securityd‬ثم يمكنه المسح ر‬
‫نسبيا من المحاوالت لفك تشفب سلسلة مفاتيح تسجيل دخول المستخدم‪ .‬هذا يوفر للمهاجم‬ ‫ً‬ ‫عل التسلسل الصحيح للمفاتيح ن يف عدد قليل‬ ‫‪Securityd Memory‬‬ ‫‪.002 T1555‬‬
‫البيد‪ ،‬المتصفحات‪ ،‬الشهادات‪ ،‬المالحظات المحمية‪ ،‬إلخ‪.‬‬ ‫ن‬
‫للمستخدمي‪ ، WiFi ،‬ر‬ ‫جميع كلمات مرور الغب مشفرة‬
‫ً‬ ‫ن‬
‫المهاجمي عل بيانات االعتماد من متصفحات الويب من خالل قراءة الملفات الخاصة بالمستعرض الخاص بالهدف‪ .‬عادة ما‬ ‫قد يحصل‬ ‫كلمات المرور من‬
‫ن‬ ‫ً‬
‫مستخدم مواقع الويب وكلمات المرور بحيث ال تحتاج إىل إدخالها يدويا يف المستقبل‪.‬‬ ‫تحفظ مستعرضات الويب بيانات اعتماد مثل أسماء‬ ‫المتصفحات ‪/‬‬
‫ي‬ ‫‪.003 T1555‬‬
‫عادة ما تقوم متصفحات الويب بتخزين بيانات االعتماد بتنسيق مشفر داخل متجر بيانات الحسابات؛ ومع ذلك‪ ،‬توجد هناك طرق الستخراج‬ ‫‪from Credentials‬‬
‫بيانات االعتماد الغب مشفرة من متصفحات الويب‪.‬‬ ‫‪Web Browsers‬‬
‫المهاجمي عل بيانات الحسابات من مدير بيانات الحسابات لنظام التشغيل ويندوز‪ .‬يخزن مدير حسابات بيانات االعتماد‬ ‫ن‬ ‫قد يحصل‬ ‫‪Windows‬‬
‫ن‬
‫الت تطلب المصادقة من خالل ‪ NTLM‬أو ‪ Kerberos‬يف خزائن بيانات‬ ‫لتسجيل الدخول إىل مواقع الويب والتطبيقات و أو األجهزة ر‬ ‫‪Credential‬‬ ‫‪.004 T1555‬‬
‫ي‬ ‫ً‬
‫سابقا باسم ‪.)Vaults Windows‬‬ ‫الحسابات (المعروفة‬ ‫‪Manager‬‬
‫التابعي لجهات خارجية‪ .‬تعد إدارة كلمات المرور تطبيقات‬ ‫ن‬ ‫المهاجمي عل بيانات حساب المستخدم من مديري كلمات المرور‬ ‫ن‬ ‫قد يحصل‬
‫ً‬ ‫ن‬ ‫ً‬
‫‪.‬‬
‫مصممة لتخزين بيانات اعتماد المستخدم‪ ،‬عادة يف قاعدة بيانات مشفرة يمكن الوصول إىل بيانات االعتماد عادة بعد أن يوفر المستخدم‬ ‫‪Password‬‬
‫ن‬ ‫‪.005 T1555‬‬
‫تأمي قاعدة البيانات‪ ،‬قد يتم نسخ بيانات االعتماد هذه إىل الذاكرة‪ .‬يمكن تخزين قواعد‬ ‫كلمة مرور رئيسية تفتح قاعدة البيانات‪ .‬بعد إلغاء‬ ‫‪Managers‬‬
‫البيانات هذه كملفات عل القرص الصلب‪.‬‬
‫ن‬ ‫ن‬ ‫ن‬
‫البنامج عندما يستغل‬ ‫البامج يف محاولة لجمع بيانات االعتماد للحسابات‪ .‬يحدث استغالل ثغرة يف ر‬ ‫المهاجمي نقاط ضعف ر‬ ‫قد يستغل‬
‫برمج يف برنامج أو خدمة أو داخل برنامج نظام التشغيل أو النواة نفسها لتنفيذ تعليمات برمجية يتحكم فيها المهاجم‪ .‬قد يتم‬ ‫ن‬ ‫المهاجم خطأ‬
‫ير‬
‫المهاجمي كوسيلة للوصول إىل بيانات اعتماد الحسابات المفيدة أو التحايل عل‬ ‫ن‬ ‫استهداف آليات االعتماد والمصادقة لالستغالل من قبل‬ ‫‪Exploitation for‬‬
‫ن‬ ‫ر‬ ‫‪.003 T1212‬‬
‫عملية الوصول إىل األنظمة‪ .‬أحد األمثلة عل ذلك هو ‪ ، MS14-068‬والذي يستهدف ‪ Kerberos‬ويمكن استخدامه لبوير تذاكر ‪Kerberos‬‬ ‫‪Credential Access‬‬
‫باستخدام أذونات مستخدم نف الشبكة‪ .‬قد يؤدي استغالل الوصول إىل بيانات االعتماد ً‬
‫أيضا إىل تصعيد االمتياز ً‬
‫بناء عل العملية المستهدفة‬ ‫ي‬
‫الت تم الحصول عليها‪.‬‬ ‫ر‬
‫أو بيانات االعتماد ي‬
‫ً‬
‫المهاجمي بجمع مواد االعتماد عن طريق استدعاء أو إجبار المستخدم عل تقديم معلومات المصادقة تلقائيا من خالل آلية يمكنهم‬ ‫ن‬ ‫قد يقوم‬ ‫‪Forced‬‬
‫ر‬ ‫‪.003 T1187‬‬
‫االعباض‪.‬‬ ‫من خاللها‬ ‫‪Authentication‬‬
‫غالبا ما تستخدم تطبيقات‬ ‫ببوير مواد اعتماد يمكن استخدامها للوصول إىل تطبيقات الويب أو خدمات ر‬
‫اإلنبنت‪ً .‬‬ ‫المهاجمي ر ن‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫ن‬ ‫‪Forge Web‬‬
‫وخدمات الويب (المستضافة يف بيئات ‪ SaaS‬السحابية أو الخوادم المحلية) ملفات تعريف االرتباط للجلسة أو الرموز الممبة أو المواد األخرى‬ ‫‪.003 T1606‬‬
‫لمصادقة وصول المستخدم وتفويضه‪.‬‬
‫ً‬ ‫ر‬
‫الت يمكن استخدامها للوصول إىل تطبيقات الويب أو خدمات اإلنبنت‪ .‬غالبا ما‬ ‫ر‬ ‫ن رن‬
‫قد يقوم المهاجمي ببوير ملفات تعريف ارتباط نالويب ي‬ ‫ن‬
‫كوكب من الويب ‪/‬‬
‫تستخدم تطبيقات وخدمات الويب (المستضافة يف بيئات ‪ SaaS‬السحابية أو الخوادم المحلية) ملفات تعريف االرتباط للجلسة لمصادقة‬ ‫‪.001 T1606‬‬
‫‪Web Cookies‬‬
‫وصول المستخدم وتفويضه‪.‬‬
‫الممبة مع أي مطالبات أذونات لمدى الحياة إذا كان يمتلك شهادة توقيع رمز ‪ SAML‬صالحة‪ .‬العمر‬ ‫ن‬ ‫ببوير رموز ‪SAML‬‬ ‫المهاجمي ر ن‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫‪...‬‬ ‫ر‬ ‫ن‬ ‫ر‬
‫اض لرمز ‪ SAML‬الممب هو ساعة واحدة‪ ،‬ولكن يمكن تحديد فبة الصالحية يف قيمة ‪ NotOnOrAfter‬للشوط عنض يف الرمز‬ ‫ن‬ ‫ر‬
‫االفب ن‬
‫ّ‬ ‫ي‬ ‫‪SAML Tokens‬‬ ‫‪.002 T1606‬‬
‫ن‬
‫للمهاجمي‬ ‫الممب‪ .‬يمكن تغيب هذه القيمة باستخدام ‪ AccessTokenLifetime‬ن يف ‪ .LifetimeTokenPolicy‬تمكن رموز ‪ SAML‬المزورة‬ ‫ن‬
‫الت تستخدم ‪ SAML 2.0‬كآلية ‪( SSO‬تسجيل دخول فردي)‪.‬‬ ‫ر‬
‫الخدمات ي‬‫ً‬
‫عب‬
‫من المصادقة ر‬
‫قد يستخدم المهاجمي طرقا اللتقاط مدخالت المستخدم للحصول عل بيانات االعتماد أو جمع المعلومات‪ .‬أثناء االستخدام العادي للنظام‪،‬‬ ‫ن‬
‫‪Input Capture‬‬ ‫‪T1056‬‬
‫غالبا ما يوفر المستخدمون بيانات اعتماد لمواقع مختلفة ‪ ،‬مثل صفحات‪/‬بوابات تسجيل الدخول أو ن يف النظام‪ .‬قد تكون آليات التقاط‬ ‫ً‬
‫‪73‬‬
‫المدخالت شفافة للمستخدم (مثل ربط واجهة برمجة تطبيقات بيانات االعتماد) أو تعتمد عل خداع المستخدم لتقديم مدخالت فيما‬
‫يعتقدون أنه خدمة أصلية (مثل ‪.)Web Portal Capture‬‬
‫ر‬
‫المهاجمي بتسجيل ضغطات مفاتيح المستخدم العباض بيانات االعتماد أثناء قيام المستخدم بكتابتها‪ .‬من المحتمل استخدام‬ ‫ن‬ ‫قد يقوم‬
‫تسجيل كلمات المرور ‪/‬‬
‫‪ Keylogging‬للحصول عل بيانات اعتماد لفرص وصول جديدة عندما ال تكون جهود سحب بيانات اعتماد نظام التشغيل فعالة‪ ،‬وقد‬ ‫‪.001 T1056‬‬
‫اعباض ضغطات المفاتيح عل النظام ر‬ ‫تتطلب من المهاجم ر‬ ‫‪Keylogging‬‬
‫لفبة طويلة من الوقت قبل التمكن من التقاط بيانات االعتماد بنجاح‪.‬‬
‫ن‬
‫المستخدمي ببيانات االعتماد مع مطالبة تبدو‬ ‫المهاجمي مكونات واجهة المستخدم الرسومية لنظام التشغيل الشائعة لمطالبة‬ ‫ن‬ ‫يحاك‬ ‫قد‬
‫ن‬ ‫ي‬
‫الحاىل‪ ،‬فمن الشائع لنظام التشغيل‬ ‫الت تحتاج إىل امتيازات إضافية غب الموجودة يف سياق المستخدم‬ ‫ر‬ ‫‪.‬‬ ‫ر‬
‫ي‬ ‫البامج ي‬
‫مشوعة عندما يتم تنفيذ ر‬ ‫‪GUI Input Capture‬‬ ‫‪.002 T1056‬‬
‫مطالبة المستخدم ببيانات االعتماد المناسبة لتفويض االمتيازات المرتفعة للمهمة (عل سبيل المثال‪ :‬تجاوز تحكم حساب المستخدم)‬
‫ن‬
‫المستخدمي‬ ‫المهاجمي بتثبيت برمجية عل بوابات خارجية‪ ،‬مثل صفحة تسجيل الدخول إىل ‪ ،VPN‬اللتقاط ونقل بيانات اعتماد‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫‪Web Portal‬‬
‫الذين يحاولون تسجيل الدخول إىل الخدمة‪ .‬عل سبيل المثال ‪ ،‬قد تسجل صفحة تسجيل الدخول المخبقة بيانات اعتماد المستخدم‬ ‫‪.003 T1056‬‬
‫‪Capture‬‬
‫المقدمة قبل تسجيل دخول المستخدم إىل الخدمة‪.‬‬
‫المهاجمي بوظائف واجهة برمجة تطبيقات ‪ )Windows (API‬لجمع بيانات اعتماد المستخدم‪ .‬قد تلتقط آليات الربط الضارة‬ ‫ن‬ ‫قد يرتبط‬
‫ر‬ ‫‪Credential API‬‬
‫الت تتضمن معلمات تكشف عن بيانات اعتماد مصادقة المستخدم‪ .‬عل عكس ‪ ، Keylogging‬تركز‬ ‫ي‬ ‫التطبيقات‬ ‫برمجة‬ ‫واجهة‬ ‫استدعاءات‬ ‫‪.004 T1056‬‬
‫ر‬ ‫ر‬ ‫‪Hooking‬‬
‫الت تكشف عن بيانات اعتماد المستخدم‪.‬‬ ‫الت تتضمن المعلمات ي‬ ‫هذه التقنية بشكل خاص عل وظائف ‪ API‬ي‬
‫أكب من األجهزة المتصلة بالشبكة باستخدام تقنية ‪)man-in-the-middle (MiTM‬‬ ‫بي جهازين أو ر‬ ‫المهاجمي وضع أنفسهم ن‬
‫ن‬ ‫قد يحاول‬
‫ن‬ ‫ن‬
‫لدعم سلوكيات المتابعة مثل التجسس يف الشبكة أو التعديل عل البيانات المنقولة‪ .‬من خالل إساءة استخدام مبات بروتوكوالت الشبكات‬ ‫‪Man-in-the-‬‬
‫ً‬ ‫ن‬ ‫ر‬ ‫‪T1557‬‬
‫المهاجمي جهازا عل االتصال‬ ‫يجب‬
‫الت يمكنها تحديد تدفق حركة مرور الشبكة (مثل ‪ ARP‬و ‪ DNS‬و ‪ LLMNR‬وما إىل ذلك) ‪ ،‬قد ر‬ ‫الشائعة ي‬ ‫‪Middle‬‬
‫ر‬
‫من خالل نظام يتم التحكم فيه من ِقبل المهاجم حت يتمكنوا من جمع المعلومات أو تنفيذ اهداف إضافية‪.‬‬
‫ً‬ ‫ً‬ ‫ن‬ ‫‪LLMNR/NBT-NS‬‬
‫مصدرا موثوقا لتحليل االسم لفرض االتصال بنظام يتم‬ ‫المهاجمي‬ ‫من خالل االستجابة لحركة مرور شبكة ‪ ، LLMNR/NBT-NS‬قد ينتحل‬
‫‪Poisoning and‬‬ ‫‪.001 T1557‬‬
‫التحكم فيه من قبل الخصم‪ .‬يمكن استخدام هذا النشاط لجمع أو نقل مواد المصادقة‪.‬‬
‫‪SMB Relay‬‬
‫بي اتصال جهازين أو ر‬
‫أكب من األجهزة المتصلة بالشبكة‪ .‬يمكن استخدام‬ ‫المهاجمي بروتوكول تحليل العنوان (‪ )ARP‬لوضع أنفسهم ن‬
‫ن‬ ‫قد يسمم‬ ‫‪ARP Cache‬‬
‫ن‬ ‫ن‬ ‫‪.002 T1557‬‬
‫لتمكي سلوكيات المتابعة مثل التجسس يف الشبكة أو التعديل عل البيانات المنقولة‪.‬‬ ‫هذا النشاط‬ ‫‪Poisoning‬‬
‫المبر إىل الحسابات‪ .‬تتم‬ ‫ن‬
‫تمكي الوصول غب ر‬ ‫ن‬
‫المهاجمي بتعديل آليات وعمليات المصادقة للوصول إىل بيانات اعتماد المستخدم أو‬ ‫قد يقوم‬
‫المحل (‪ )LSASS‬ومدير حسابات األمان (‪ )SAM‬عل‬ ‫ي‬ ‫معالجة عملية المصادقة من خالل آليات‪ ،‬مثل عملية خادم مصادقة األمان‬ ‫‪Modify‬‬
‫البخيص اإلضافية عل أنظمة‬ ‫‪ ،Windows‬ووحدات المصادقة القابلة للتوصيل (‪ )PAM‬عل األنظمة المستندة إىل ‪ ، Unix‬ومكونات ر‬ ‫‪Authentication‬‬ ‫‪T1556‬‬
‫‪ ،MacOS‬المسؤولة لجمع بيانات االعتماد وتخزينها والتحقق منها‪ .‬من خالل تعديل عملية المصادقة‪ ،‬قد يكون المهاجم ً‬
‫قادرا عل المصادقة‬ ‫‪Process‬‬
‫عل خدمة أو نظام دون استخدام حسابات صالحة‪.‬‬
‫ن‬
‫وتمكي الوصول إىل‬ ‫المهاجمي بتصحيح عملية المصادقة عل ‪ Domain Controller‬لتجاوز آليات المصادقة النموذجية‬ ‫ن‬ ‫قد يقوم‬ ‫‪Domain Controller‬‬
‫‪.001 T1556‬‬
‫الحسابات‪.‬‬ ‫‪Authentication‬‬
‫الديناميك (‪ )DLL‬لتصفية كلمات المرور الضارة ن يف عملية المصادقة للحصول عل بيانات اعتماد‬
‫ي‬ ‫االرتباط‬ ‫مكتبات‬ ‫ن‬
‫المهاجمي‬ ‫قد يسجل‬ ‫‪Password Filter‬‬
‫‪.002 T1556‬‬
‫المستخدم بمجرد التحقق من صحتها‪.‬‬ ‫‪DLL‬‬
‫‪74‬‬
‫المبر إىل الحسابات‪.‬‬ ‫تمكي الوصول غب ر‬ ‫ن‬ ‫المهاجمي بتعديل وحدات المصادقة (‪ )PAM‬للوصول إىل بيانات اعتماد المستخدم أو‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫‪Pluggable‬‬
‫‪.‬‬
‫والت توجه المصادقة للعديد من الخدمات وحدة المصادقة‬ ‫‪ PAM‬هو ًنظام معياري لملفات التكوين والمكتبات والملفات القابلة للتنفيذ ي‬ ‫‪Authentication‬‬ ‫‪.003 T1556‬‬
‫باسبداد معلومات مصادقة الحساب وتعيينها والتحقق منها ن يف ‪ etc/passwd /‬و ‪/‬‬ ‫والت تقوم ر‬ ‫ر‬
‫ه ‪ ، pam_unix.so‬ي‬ ‫األكب شيوعا ي‬
‫ر‬
‫‪Modules‬‬
‫‪.etc/shadow‬‬
‫وبالتاىل تجاوز آليات المصادقة األصلية للحسابات‬ ‫ن‬
‫قد يستخدم المهاجمي ‪ Patch System Image‬لتشفب كلمة مرور يف نظام التشغيل‪،‬‬ ‫ن‬ ‫‪Network Device‬‬
‫ي‬ ‫‪.004 T1556‬‬
‫المحلية عل أجهزة الشبكة‪.‬‬ ‫‪Authentication‬‬
‫عب‬ ‫ر‬ ‫ن‬ ‫ن‬
‫الت يتم تمريرها ر‬ ‫قد يتجسس المهاجمي عل حركة مرور الشبكة اللتقاط معلومات حول بيئة الضحية‪ ،‬بما يف ذلك مواد المصادقة ي‬
‫السلك‪ .‬قد‬
‫ي‬ ‫سلك أو‬
‫ي‬ ‫عب اتصال‬ ‫الشبكة‪ .‬يشب تجسس الشبكة إىل استخدام وضعية الشبكة عل نظام لمراقبة أو التقاط المعلومات المرسلة ر‬ ‫التجسس عل الشبكة ‪/‬‬
‫‪T1040‬‬
‫عب الشبكة‪ ،‬أو استخدام منافذ‬ ‫تفاعل إىل البيانات أثناء النقل ر‬ ‫ي‬ ‫يضع المهاجم وضعية الشبكة ن يف الوضع ‪ promiscuous‬للوصول بشكل غب‬ ‫‪Network Sniffing‬‬
‫أكب من البيانات‪.‬‬
‫‪ span‬اللتقاط كمية ر‬
‫ً‬
‫المهاجمي سحب بيانات االعتماد للحصول عل تسجيل الدخول إىل الحساب ومواد بيانات االعتماد‪ ،‬عادة ن يف شكل كلمات مرور‬ ‫ن‬ ‫قد يحاول‬ ‫سحب كلمات المرور ‪/‬‬
‫والبامج يمكن بعد ذلك استخدام بيانات االعتماد إلجراء للتنقل داخل الشبكة والوصول‬ ‫‪.‬‬ ‫مخبلة أو كلمة مرور غب مشفرة‪ ،‬من نظام التشغيل ر‬ ‫رن‬ ‫‪OS Credential‬‬ ‫‪T1003‬‬
‫إىل المعلومات المقيد الوصول لها‪.‬‬ ‫‪Dumping‬‬
‫المهاجمي الوصول إىل مواد االعتماد المخزنة ن يف ذاكرة العملية الخاصة بخدمة (‪ .)LSASS‬بعد أن يقوم المستخدم بتسجيل‬ ‫ن‬ ‫قد يحاول‬
‫ن‬
‫الدخول‪ ،‬يقوم النظام بإنشاء وتخزين مجموعة متنوعة من مواد االعتماد يف ذاكرة عملية ‪ .LSASS‬يمكن جمع مواد االعتماد هذه بواسطة‬ ‫‪LSASS Memory‬‬ ‫‪.001 T1003‬‬
‫مستخدم يحمل صالحية مدير مسؤول أو حساب نظام واستخدامها إلجراء تنقالت داخل الشبكة باستخدام استخدام مواد المصادقة البديلة‪.‬‬
‫المهاجمي استخراج مواد االعتماد من قاعدة بيانات إدارة حساب األمان (‪ )SAM‬إما من خالل تقنيات الذاكرة أو من خالل سجل‬ ‫ن‬ ‫قد يحاول‬
‫ر‬ ‫ً‬ ‫‪Security Account‬‬
‫الت يتم‬‫ي‬ ‫تلك‬ ‫عادة‬ ‫للنظام‪،‬‬ ‫محلية‬ ‫حسابات‬ ‫عل‬ ‫يحتوي‬ ‫بيانات‬ ‫قاعدة‬ ‫ملف‬ ‫هو‬ ‫‪SAM.‬‬ ‫‪SAM‬‬ ‫بيانات‬ ‫قاعدة‬ ‫تخزين‬ ‫يتم‬ ‫حيث‬ ‫‪Windows‬‬ ‫‪.002 T1003‬‬
‫‪Manager‬‬
‫العثور عليها باستخدام األمر ‪ .net user‬يتطلب جميع قاعدة بيانات ‪ SAM‬الوصول إىل مستوى النظام‪.‬‬
‫المهاجمي الوصول إىل أو إنشاء نسخة من قاعدة بيانات مجال ‪ Active Directory‬لشقة معلومات االعتماد‪ ،‬وكذلك الحصول‬ ‫ن‬ ‫قد يحاول‬
‫اض‪ ،‬يوجد ملف ‪NTDS‬‬ ‫ن‬ ‫ر‬
‫افب‬ ‫بشكل‬ ‫‪.‬‬ ‫الوصول‬ ‫وحقوق‬ ‫ن‬
‫والمستخدمي‬ ‫األجهزة‬ ‫مثل‬ ‫الشبكة‬ ‫ف‬ ‫ن‬ ‫الحسابات‬ ‫حول‬ ‫أخرى‬ ‫معلومات‬ ‫عل‬ ‫‪NTDS‬‬ ‫‪.003 T1003‬‬
‫ي‬ ‫ي‬ ‫ن‬
‫‪ )(NTDS.dit‬يف‪ \NTDS\Ntds.dit ٪SystemRoot ٪‬لوحدة ‪.Domain Controller‬‬
‫والت يمكن أن تحتوي عل مجموعة متنوعة من‬ ‫المهاجمي الذين لديهم وصول ‪ SYSTEM‬نف شبكة الضحية الوصول إىل (‪ ،)LSA‬ر‬ ‫ن‬ ‫قد يحاول‬
‫ن‬ ‫ي‬ ‫ن‬ ‫ي‬
‫مواد االعتماد المختلفة‪ ،‬مثل بيانات اعتماد حسابات الخدمة‪ .‬يتم تخزين أ شار ‪ LSA‬يف التسجيل يف \‪HKEY_LOCAL_MACHINE‬‬ ‫‪LSA Secrets‬‬ ‫‪.004 T1003‬‬
‫أيضا التخلص من أشار ‪ LSA‬من الذاكرة‪.‬‬ ‫‪ .SECURITY \Policy\Secrets‬يمكن ً‬
‫ً‬
‫مؤقتا المستخدمة للسماح بحدوث المصادقة ن يف حالة عدم توفر ‪Domain‬‬ ‫المهاجمي الوصول إىل بيانات اعتماد المجال المخزنة‬ ‫ن‬ ‫قد يحاول‬ ‫‪Cached Domain‬‬
‫‪.005 T1003‬‬
‫‪.Controller‬‬ ‫‪Credentials‬‬
‫المهاجمي الوصول إىل بيانات االعتماد والمعلومات الحساسة األخرى عن طريق إساءة استخدام واجهة برمجة تطبيقات‬ ‫ن‬ ‫قد يحاول‬
‫‪DCSync‬‬ ‫‪.006 T1003‬‬
‫‪ )Windows Domain Controller (API‬لمحاكاة عملية النسخ المتماثل من شبكة تحكم خارجية باستخدام تقنية تسم ‪.DCSync‬‬
‫المهاجمي بجمع بيانات االعتماد من المعلومات المخزنة ن يف نظام ملفات ‪ Proc‬أو ‪ .proc/‬يحتوي نظام ملفات ‪ Proc‬عل ‪Linux‬‬ ‫ن‬ ‫قد يقوم‬
‫الت تعمل بامتيازات مدير المسؤول استخدام‬ ‫ر‬ ‫للعمليات‬ ‫يمكن‬ ‫‪.‬‬ ‫التشغيل‬ ‫قيد‬ ‫الت‬‫ر‬ ‫التشغيل‬ ‫نظام‬ ‫بحالة‬ ‫المتعلقة‬ ‫المعلومات‬ ‫من‬ ‫كبب‬ ‫قدر‬ ‫عل‬
‫ي‬ ‫ي‬ ‫‪Proc Filesystem‬‬ ‫‪.007 T1003‬‬
‫البامج بتخزين كلمات المرور بكلمة مرور غب مشفرة أو‬ ‫‪.‬‬
‫الت قيد التشغيل إذا قامت أي من هذه ر‬ ‫ر‬ ‫ن‬
‫للبامج ي‬ ‫هذه المبة لكشف الذاكرة الحية ر‬
‫عندئذ جمع هذه كلمات المرور لالستخدام أو لعمل هجوم القوة الغاشمة‪.‬‬ ‫ٍ‬ ‫مخبلة ن يف الذاكرة‪ ،‬فيمكن‬ ‫كلمات مرور ر ن‬
‫‪75‬‬
‫باإلنبنت‪ .‬تستخدم‬‫ر‬ ‫لتمكي ر‬
‫اخباق كلمات المرور دون اتصال‬ ‫ن‬ ‫ن‬
‫المهاجمي تفري غ محتويات ‪ etc/passwd /‬و ‪etc/ shadow /‬‬ ‫قد يحاول‬
‫ن‬ ‫‪/etc/passwd and‬‬
‫‪/‬‬ ‫‪/‬‬ ‫‪/‬‬
‫معظم أنظمة تشغيل ‪ Linux‬الحديثة مجموعة من ‪ etc / passwd‬و ‪ shadow etc‬لتخزين معلومات حساب المستخدم بما يف ذلك‬ ‫‪.008 T1003‬‬
‫مخبلة نف ‪ .etc/shadow /‬ر‬
‫افب ً‬ ‫كلمة مرور ر ن‬ ‫‪/etc/shadow‬‬
‫اضيا‪ ،‬ال يمكن قراءة ‪ etc/shadow /‬إال بواسطة مستخدم مدير المسؤول‪.‬‬ ‫ي‬
‫ن‬
‫للمهاجمي شقة رموز الوصول إىل تطبيق المستخدم كوسيلة للحصول عل بيانات اعتماد للوصول إىل األنظمة والموارد البعيدة‪ .‬يمكن‬ ‫يمكن‬ ‫‪Steal Application‬‬
‫‪T1528‬‬
‫أن يحدث هذا من خالل الهندسة االجتماعية وعادة ما يتطلب إجراء المستخدم لمنح حق الوصول‪.‬‬ ‫‪Access Token‬‬
‫ن‬ ‫ن‬ ‫‪Steal or Forge‬‬
‫لتمكي تمرير التذكرة‪.‬‬ ‫المهاجمي تخريب مصادقة ‪ Kerberos‬عن طريق شقة أو تزوير تذاكر ‪Kerberos‬‬ ‫قد يحاول‬ ‫‪T1558‬‬
‫‪Kerberos Tickets‬‬
‫ببوير تذاكر منح تذكرة ‪ ،)Kerberos (TGT‬والمعروفة ً‬ ‫مخبلة لحساب ‪ KRBTGT‬ر ن‬ ‫المهاجمي الذين لديهم كلمة مرور ر ن‬ ‫ن‬
‫أيضا باسم‬ ‫قد يقوم‬
‫ن‬ ‫ن‬ ‫‪Golden Ticket‬‬ ‫‪.001 T1558‬‬
‫المهاجمي من إنشاء مواد توثيق ألي حساب يف ‪.Active Directory‬‬ ‫التذكرة الذهبية‪ .‬تمكن التذاكر الذهبية‬
‫مخبلة لحساب خدمة خاص بالضحية (مثل ‪ )MSSQL ،SharePoint‬قد يزورون تذاكر خدمة منح تذاكر‬ ‫المهاجمي الذين لديهم كلمة مرور ر ن‬ ‫ن‬
‫ً‬ ‫ُ‬ ‫ً‬ ‫‪Silver Ticket‬‬ ‫‪.002 T1558‬‬
‫‪ ، )Kerberos (TGS‬والمعروفة أيضا باسم التذاكر الفضية‪ .‬تعرف أيضا تذاكر ‪ Kerberos TGS‬بتذاكر الخدمة‪.‬‬
‫المهاجمي استخدام بطاقة منح تذكرة ‪ Kerberos‬صالحة ( ‪ )TGT‬أو التنصت ن يف حركة مرور الشبكة للحصول عل تذكرة خدمة‬ ‫ن‬ ‫يسء‬
‫قد ي‬
‫ر‬ ‫‪Kerberoasting‬‬ ‫‪.003 T1558‬‬
‫الت قد تكون عرضة ل ‪.Brute Force‬‬ ‫ي‬ ‫)‬ ‫‪TGS‬‬ ‫(‬ ‫التذاكر‬ ‫منح‬
‫الت عطلت مصادقة ‪ Kerberos‬عن طريق مهاجمة كلمة المرور لرسائل ‪.Kerberos‬‬ ‫ر‬ ‫ن‬
‫قد يكشف المهاجمي عن بيانات اعتماد الحسابات ي‬ ‫‪AS-REP Roasting‬‬ ‫‪.004 T1558‬‬
‫ر‬
‫قد يشق المهاجم ملفات تعريف ارتباط تطبيقات الويب أو جلسة الخدمة ويستخدمها للوصول إىل تطبيقات الويب أو خدمات اإلنبنت‬
‫كمستخدم مصادق عليه دون الحاجة إىل بيانات اعتماد‪ً .‬‬ ‫‪Steal Web Session‬‬
‫غالبا ما تستخدم تطبيقات وخدمات الويب ملفات تعريف االرتباط للجلسة كرمز‬ ‫‪T1539‬‬
‫ن‬ ‫‪Cookie‬‬
‫ممب للمصادقة بعد مصادقة المستخدم عل موقع ويب‪.‬‬
‫الت يمكن استخدامها‬ ‫ر‬ ‫ن‬ ‫ن‬
‫قد يستهدف المهاجمي آليات المصادقة ذات العاملي ‪ ،FA2‬مثل البطاقات الذكية‪ ،‬للوصول إىل بيانات االعتماد ي‬ ‫‪Two-Factor‬‬
‫للوصول إىل األنظمة والخدمات وموارد الشبكة‪ .‬يوض باستخدام مصادقة ثنائية أو متعددة العوامل (‪ FA2‬أو ‪ )MFA‬وتوفر مستوى أعل من‬
‫الت يمكن استخدامها ر‬ ‫ر‬ ‫ن‬ ‫‪Authentication‬‬ ‫‪T1111‬‬
‫العباض‬ ‫األمان من أسماء المستخدمي وكلمات المرور وحدها‪ ،‬ولكن يجب أن تكون المؤسسات عل دراية بالتقنيات ي‬ ‫‪Interception‬‬
‫آليات األمان هذه وعمل آلية دفاعية لمنعها‪.‬‬
‫المخبقة للعثور عل بيانات اعتماد مخزنة بشكل غب آمن والحصول عليها‪ .‬يمكن تخزين بيانات االعتماد‬ ‫ر‬ ‫المهاجمي عن األنظمة‬ ‫ن‬ ‫قد يبحث‬
‫ن‬ ‫ن‬ ‫ن‬ ‫‪Unsecured‬‬
‫هذه أو وضعها يف غب مكانها يف العديد من المواقع عل النظام‪ ،‬بما يف ذلك ملفات الغب مشفرة (مثل ‪ ، )Bash History‬أو نظام التشغيل أو‬ ‫‪T1552‬‬
‫المستودعات الخاصة بالتطبيق (مثل بيانات االعتماد ن يف التسجيل)‪ ،‬أو الملفات‪/‬العناض المتخصصة األخرى (مثل المفاتيح الخاصة)‪.‬‬
‫الت تحتوي عل بيانات اعتماد مخزنة بشكل‬ ‫ر‬ ‫ن‬ ‫ن‬
‫قد يقوم المهاجمي بالبحث يف أنظمة الملفات المحلية ومشاركات الملفات البعيدة عن الملفات ي‬ ‫بيانات االعتماد داخل‬
‫ر‬ ‫ر‬
‫الت أنشأها المستخدمون لتخزين بيانات االعتماد الخاصة بهم‪ ،‬أو مخازن بيانات االعتماد المشبكة‬ ‫غب آمن‪ .‬يمكن أن تكون هذه الملفات ي‬ ‫الملف ‪Credentials /‬‬ ‫‪.001 T1552‬‬
‫الت تحتوي عل‬ ‫الت تحتوي عل كلمات مرور لنظام أو خدمة ‪ ،‬أو شفرة المصدر أو الملفات الثنائية ر‬ ‫لمجموعة من األفراد‪ ،‬أو ملفات التكوين ر‬
‫ي‬ ‫ي‬ ‫‪In Files‬‬
‫كلمات مرور مضمنة‪.‬‬
‫ً‬ ‫ر‬ ‫ن‬ ‫ن‬
‫المهاجمي بالبحث يف السجل عل األنظمة المخبقة بحثا عن بيانات اعتماد مخزنة بشكل غب آمن‪ .‬يخزن سجل ‪Windows‬‬ ‫قد يقوم‬
‫ً‬ ‫ن‬ ‫ر‬
‫المهاجمي من السجل بحثا عن بيانات االعتماد وكلمات‬ ‫البامج األخرى‪ .‬قد يستفش‬ ‫ر‬ ‫أو‬ ‫النظام‬ ‫يستخدمها‬ ‫أن‬ ‫يمكن‬ ‫الت‬ ‫ي‬ ‫التكوين‬ ‫معلومات‬ ‫‪Credentials in‬‬
‫‪.002 T1552‬‬
‫الت تم تخزينها لالستخدام من قبل برامج أو خدمات أخرى‪ .‬ن يف بعض األحيان يتم استخدام بيانات االعتماد هذه لعمليات تسجيل‬ ‫ر‬
‫المرور ي‬ ‫‪Registry‬‬
‫الدخول التلقائية‪.‬‬
‫ً‬ ‫ر‬ ‫ن‬ ‫ن‬
‫‪.‬‬
‫قد يبحث المهاجمي يف محفوظات أوامر ‪ bash‬عل األنظمة المخبقة بحثا عن بيانات اعتماد مخزنة بشكل غب آمن يتتبع ‪ Bash‬األوامر‬
‫‪Bash History‬‬ ‫‪.003 T1552‬‬
‫الت يكتبها المستخدمون ن يف سطر األوامر باستخدام األداة المساعدة "‪ ."history‬بمجرد تسجيل خروج المستخدم‪ ،‬يتم مسح السجل إىل‬ ‫ي‬
‫ر‬
‫‪76‬‬
‫ً‬
‫ملف ‪ bash_history.‬الخاص بالمستخدم‪ .‬لكل مستخدم‪ ،‬يوجد هذا الملف ن يف نفس الموقع‪ .bash_history. / ~ :‬عادة ما يتتبع هذا‬
‫ر‬
‫والت يتم‬ ‫ن‬ ‫ن‬ ‫الملف آخر ‪ 500‬أمر للمستخدم‪ً .‬‬
‫للبامج‪ ،‬ي‬ ‫المستخدمي وكلمات المرور يف سطر األوامر كمعلمات ر‬ ‫غالبا ما يكتب المستخدمون أسماء‬
‫حفظها بعد ذلك ن يف هذا الملف عند تسجيل الخروج‪ .‬يمكن للمهاجمي إساءة استخدام هذا من خالل البحث يف الملف عن بيانات االعتماد‬
‫ن‬ ‫ن‬
‫المحتملة‪.‬‬
‫‪ُ.‬‬ ‫ر‬ ‫ن‬
‫قد يبحث المهاجمي عن ملفات شهادة المفتاح الخاص عل األنظمة المخبقة للحصول عل بيانات اعتماد مخزنة بشكل غب آمن تستخدم‬
‫مفاتيح وشهادات التشفب الخاصة للمصادقة والتشفب أو فك التشفب والتوقيعات الرقمية‪ .‬تتضمن امتدادات ملفات الشهادة والمفتاح‬ ‫‪Private Keys‬‬ ‫‪.004 T1552‬‬
‫الشائعة‪..asc ،.p7b ،.cer ،.pfx ،.pem ،.p12 ،.ppk. ،.gpg ،pgp . ، key. :‬‬
‫ن‬ ‫‪Cloud Instance‬‬
‫المهاجمي الوصول إىل ‪ Instance Metadata API Cloud‬لجمع بيانات االعتماد والبيانات الحساسة األخرى‪.‬‬ ‫قد يحاول‬ ‫‪.005 T1552‬‬
‫‪Metadata API‬‬
‫ن‬
‫للمسؤولي‬ ‫ه أدوات تسمح‬ ‫ن‬ ‫ن‬
‫قد يحاول المهاجمي العثور عل بيانات اعتماد غب آمنة يف أعدادات (‪ Group Policy Preferences). GPP‬ي‬ ‫‪Group Policy‬‬
‫‪.006 T1552‬‬
‫ن‬ ‫ن‬
‫بإنشاء سياسات داخل المنظومة باستخدام بيانات االعتماد المضمنة‪ .‬تسمح هذه السياسات للمسؤولي بتعيي حسابات محلية‪.‬‬ ‫‪Preferences‬‬
‫ن‬
‫عب واجهات برمجة التطبيقات ‪ API‬داخل بيئة حاويات‪ .‬تسمح واجهات برمجة التطبيقات يف هذه‬ ‫ن‬
‫المهاجمي بيانات االعتماد ر‬ ‫قد يجمع‬
‫ُ‬ ‫‪Container API‬‬ ‫‪.007 T1552‬‬
‫البيئات ‪ ،‬مثل ‪ Docker API‬و ‪ ، Kubernetes APIs‬للمستخدم بإدارة موارد الحاوية ومكونات المجموعة عن بعد‪.‬‬
‫‪77‬‬
‫االستطالع واالكتشاف ‪Discovery /‬‬
‫ر‬
‫المخبقة‪.‬‬ ‫الت تمكنهم من االستطالع واالكتشاف داخل النظام او الشبكة‬ ‫المهاجمي باستخدام األساليب والتقنيات ر‬
‫ن‬ ‫االستطالع‪ :‬قد يقوم‬
‫ي‬
‫المهاجمي ن يف استطالع األنظمة للبيئة المستهدفة وتعطيهم األفضلية ن يف اتخاذ القرارات قبل القيام او تثبيت‬
‫ن‬ ‫ان هذه األساليب تدعم‬
‫ن‬
‫للمهاجمي من االطالع عل ما يمكنهم الوصول الية او التحكم به‪ ،‬وقد‬ ‫البمجيات او التنقل داخل الشبكة‪ .‬وتسمح كذلك هذه األساليب‬ ‫ر‬
‫ن‬
‫تأن مع األنظمة او برمجيات غب ضارة لالستفادة منها يف عمليات االستطالع واالكتشاف‪.‬‬ ‫ر‬
‫يقوم المهاجم باستخدام أدوات ي‬
‫‪78‬‬
‫الفرع‬
‫ن‬ ‫االستطالع بحث عن‬
‫المهاجمي الحصول عل قائمة بالحسابات عل نظام أو داخل البيئة المستهدفة‪ .‬يمكن أن تساعد هذه المعلومات‬ ‫قد يحاول‬
‫الحسابات ‪Account /‬‬ ‫‪T1087‬‬
‫المهاجمي ن يف تحديد الحسابات الموجودة للمساعدة يف متابعة سلوكها‪.‬‬
‫ن‬ ‫ن‬
‫‪Discovery‬‬
‫المهاجمي ن يف تحديد الحسابات‬
‫ن‬ ‫المهاجمي الحصول عل قائمة بحسابات النظام الداخلية‪ .‬يمكن أن تساعد هذه المعلومات‬ ‫ن‬ ‫قد يحاول‬ ‫محل ‪Local /‬‬
‫ي‬ ‫حساب‬
‫‪.001 T1087‬‬
‫الداخلية الموجودة عل النظام للمساعدة ن يف متابعة سلوكها‪.‬‬ ‫‪Account‬‬
‫المهاجمي ن يف‬
‫ن‬ ‫ر‬
‫المخبقة‪ .‬يمكن أن تساعد هذه المعلومات‬ ‫الت داخل الشبكة‬ ‫ر‬
‫الحسابات ي‬ ‫المهاجمي الحصول عل قائمة بكل‬‫ن‬ ‫قد يحاول‬ ‫حساب مدير النظام ‪/‬‬
‫ن‬ ‫‪.002 T1087‬‬
‫تحديد الحسابات الموجودة داخل الشبكة للمساعدة يف متابعة سلوكها‪.‬‬ ‫‪Domain Account‬‬
‫ن‬
‫المهاجمي سحب قوائم عناوين‬ ‫ون والحسابات‪ .‬قد يحاول‬ ‫ر ن‬ ‫ن‬ ‫البيد ‪Email /‬‬
‫البيد اإللكب ي‬ ‫المهاجمي الحصول عل قائمة بعناوين ر‬ ‫قد يحاول‬ ‫حساب ر‬
‫‪.003 T1087‬‬
‫‪ Exchange‬مثل قوائم العناوين العمومية (‪.)GALs‬‬ ‫‪Account‬‬
‫ر‬ ‫ن‬
‫الت تم إنشاؤها وتكوينها‬
‫ه تلك الحسابات ي‬‫السحابية‪ .‬الحسابات السحابية ي‬
‫ُ‬
‫المهاجمي الحصول عل قائمة بالحسابات‬ ‫قد يحاول‬
‫حساب الخدمات السحابية ‪/‬‬
‫بواسطة رشكة الستخدامها من قبل المستخدمي أو الدعم عن بعد أو الخدمات أو إلدارة الموارد داخل مزود خدمة سحابية أو تطبيق‬
‫ن‬ ‫‪.004 T1087‬‬
‫‪Cloud Account‬‬
‫‪.SaaS‬‬
‫ن‬ ‫برمجيات اكتشاف الويندوز ‪/‬‬
‫المهاجمي الحصول عل قائمة برمجيات الويندوز المفتوحة‪ .‬يمكن أن تنقل قوائم الويندوز معلومات حول كيفية استخدام‬ ‫قد يحاول‬
‫ر‬ ‫ً‬ ‫‪Window Application‬‬ ‫‪T1010‬‬
‫الت تم جمعها بواسطة ‪.keylogger‬‬ ‫ي‬ ‫للمعلومات‬ ‫ا‬‫سياق‬ ‫تعط‬
‫ي‬ ‫النظام أو‬
‫المهاجمي بجمع اإلشارات المرجعية للمتصفح لمعرفة المزيد حول الضحية‪ .‬قد تكشف إشارات المتصفح المرجعية عن‬ ‫ن‬ ‫قد يقوم‬ ‫استطالع المفضلة ن يف المتصفح‬
‫االجتماع ‪ ،‬وما إىل ذلك) باإلضافة‬ ‫‪:‬‬ ‫ن‬
‫معلومات شخصية عن المستخدمي (مثل المواقع المضفية ‪ ،‬واالهتمامات ‪ ،‬ووسائل التواصل‬ ‫‪Bookmark Browser /‬‬ ‫‪T1217‬‬
‫ي‬
‫إىل تفاصيل حول موارد الشبكة الداخلية مثل الخوادم أو األدوات أو لوحات المعلومات أو البنية التحتية األخرى ذات الصلة‪.‬‬ ‫‪Discovery‬‬
‫اكتشاف واستطالع البنية‬
‫قد يحاول المهاجم اكتشاف الموارد المتاحة داخل بيئة البنية التحتية للمنظمة مثال كخدمة (‪ .)IaaS‬يتضمن ذلك موارد خدمة‬
‫التحتية للخدمات السحابية ‪/‬‬
‫االفباضية والنسخ االحتياطية باإلضافة إىل موارد الخدمات األخرى بما ن يف ذلك خدمات التخزين‬
‫الحوسبة مثل الطابعات واألنظمة ر‬ ‫‪T1580‬‬
‫‪Cloud Infrastructure‬‬
‫وقواعد البيانات‪.‬‬
‫قد يستخدم المهاجم واجهة المستخدم الرسومية ‪ GUI‬للوحة المراقبة للخدمة السحابية مع بيانات اعتماد مشوقة للحصول عل‬
‫معلومات مفيدة من بيئة سحابية تشغيلية‪ ،‬مثل خدمات وموارد ن‬ ‫لوحة المراقبة للخدمات‬
‫ومبات محددة‪ .‬عل سبيل المثال‪ ،‬يمكن استخدام ‪GCP‬‬
‫السحابية ‪Service Cloud /‬‬ ‫‪T1538‬‬
‫وماه نتائج المخاطر األمنية المحتملة‪ ،‬وإلجراء استعالمات إضافية‪ ،‬مثل البحث عن‬
‫ي‬ ‫‪ Command Center‬لعرض جميع األصول‪،‬‬
‫‪Dashboard‬‬
‫عناوين ‪ IP‬العامة والمنافذ المفتوحة‪.‬‬
‫‪.‬‬
‫الت تعمل عل أي نظام بعد الدخول عليه يمكن أن تختلف هذه األساليب من النظام‬ ‫ر‬
‫قد يحاول المهاجم جمع الخدمات السحابية ي‬ ‫استطالع الخدمات السحابية ‪/‬‬
‫عب مختلف‬ ‫البامج كخدمة (‪ .)SaaS‬توجد العديد من الخدمات ر‬ ‫األساس كخدمة (‪ ،)PaaS‬إىل البنية التحتية كخدمة (‪ ،)IaaS‬أو ر‬
‫ي‬ ‫‪T1526‬‬
‫‪Discovery Cloud Service‬‬
‫موفري السحابة ويمكن أن تشمل التكامل المستمر والتسليم المستمر (‪ )CI / CD‬ووظائف ‪ Lambda‬و ‪ Azure AD‬وما إىل ذلك‪.‬‬
‫ن‬
‫المهاجمي اكتشاف المستودعات والموارد األخرى المتوفرة داخل بيئة المستودعات‪ .‬قد تتضمن الموارد األخرى الصور‬ ‫قد يحاول‬ ‫‪Container and Resource‬‬
‫ُ‬ ‫وعمليات ر‬ ‫‪T1613‬‬
‫النش والبودات والعقد ومعلومات أخرى مثل حالة ‪.Cluster‬‬ ‫‪Discovery‬‬
‫‪79‬‬
‫الت يمكن استخدامها لتحديد فرص التنقل داخل الشبكة ن يف بيئات‬ ‫ر‬
‫قد يحاول المهاجمي جمع معلومات حول عالقات ثقة النطاق ي‬
‫ن‬
‫ً‬
‫‪ Windows‬متعددة النطاقات توفر عالقات الثقة بالنطاق آلية للنطاق للسماح بالوصول إىل الموارد بناء عل إجراءات المصادقة‬ ‫‪.‬‬
‫لمستخدم النطاق الموثوق به بالوصول إىل الموارد ن يف نطاق الثقة‪ .‬قد تساعد‬ ‫ي‬ ‫الخاصة ن يف نطاق آخر‪ .‬تسمح عالقات الثقة بالنطاق‬ ‫استطالع الثقة ن‬
‫بي النطاقات ‪/‬‬
‫‪T1482‬‬
‫المعلومات المكتشفة للمهاجم ن يف إجراء ‪ ،SID-History Injection‬وتمرير التذكرة‪ ،‬و ‪ .Kerberoasting‬يمكن تعداد عالقات الثقة‬ ‫‪Discovery Domain Trust‬‬
‫بالنطاق باستخدام استدعاء ‪ DSEnumerateDomainTrusts () Win32 API‬وأساليب ‪ NET.‬و ‪ .LDAP‬من المعروف أن األداة‬
‫المهاجمي بجمع النطاقات الموثوقة‪.‬‬ ‫ن‬ ‫المساعدة ل ‪ Windows Nltest‬يتم استخدامها من قبل‬
‫المهاجمي بجمع الملفات واألدلة أو البحث ن يف مواقع محددة يف نظام ضحية أو مجلدات المشاركة يف الشبكة عن معلومات‬
‫ن‬ ‫ن‬ ‫ن‬ ‫قد يقوم‬ ‫االستطالع للملفات‬
‫اآلىل لمعرفة سلوكيات‬ ‫االكتشاف‬ ‫أثناء‬ ‫والدليل‬ ‫الملفات‬ ‫استطالع‬ ‫من‬ ‫المعلومات‬ ‫ن‬
‫المهاجمي‬ ‫يستخدم‬ ‫قد‬ ‫‪.‬‬ ‫ملفات‬ ‫نظام‬ ‫داخل‬ ‫معينة‬ ‫والمجلدات ‪File and /‬‬ ‫‪T1083‬‬
‫ي‬
‫المتابعة‪ ،‬بما ن يف ذلك ما إذا كان المهاجم يصيب الهدف بالكامل أم ال أو يحاول اتخاذ اهداف محددة‪.‬‬ ‫‪Directory Discovery‬‬
‫الت قد تكون عرضة الستغالل‬ ‫ر‬ ‫ن‬ ‫ن‬ ‫ر‬ ‫ن‬ ‫استطالع خدمات الشبكة ‪/‬‬
‫الت تعمل يف األنظمة عن بعد‪ ،‬بما يف ذلك تلك ي‬ ‫قد يحاول المهاجمي الحصول عل قائمة بالخدمات ي‬
‫البامج عن ُبعد‪ .‬تتضمن طرق الحصول عل هذه المعلومات عمليات فحص المنافذ ومسح الثغرات األمنية باستخدام األدوات التر‬ ‫ر‬ ‫‪Network Service‬‬ ‫‪T1046‬‬
‫ي‬
‫تبيلها ن يف النظام‪.‬‬ ‫يتم ن ن‬ ‫‪Scanning‬‬
‫الت تعمل عن بعد كوسيلة لتحديد مصادر‬ ‫ر‬ ‫ر‬ ‫ن‬
‫قد يبحث المهاجمي عن المجلدات ومحركات األقراص الصلبة المشبكة عل األنظمة ي‬ ‫استطالع ملفات المشاركة ‪/‬‬
‫ً‬
‫المعلومات لتجميعها كمقدمة للتجميع ولتحديد األنظمة المحتملة ذات األهمية للتنقل داخل الشبكة‪ .‬غالبا ما تحتوي الشبكات عل‬
‫ر‬ ‫ن‬ ‫ّ‬ ‫ن‬ ‫ر‬ ‫‪Network Share‬‬ ‫‪T1135‬‬
‫الت تحتوي عل ملفات عل أنظمة‬ ‫محركات أقراص صلبة ومجلدات مشبكة يف الشبكة تمكن المستخدمي من الوصول إىل مجلدات ي‬ ‫‪Discovery‬‬
‫عب الشبكة‪.‬‬ ‫مختلفة ر‬
‫عب الشبكة‪.‬‬ ‫تمريرها‬ ‫يتم‬ ‫الت‬ ‫ر‬ ‫المصادقة‬ ‫مواد‬ ‫ذلك‬ ‫ف‬ ‫المهاجمي عل حركة مرور الشبكة لجمع معلومات حول بيئة ما‪ ،‬بما ن‬ ‫ن‬ ‫يتجسس‬ ‫قد‬
‫ر‬ ‫ي‬ ‫ي‬
‫السلك‪ .‬قد يضع‬ ‫ي‬ ‫سلك أو‬
‫ي‬ ‫عب اتصال‬ ‫يشب تجسس الشبكة إىل استخدام واجهة الشبكة عل نظام لمراقبة أو التقاط المعلومات المرسلة ر‬ ‫التجسس عل الشبكة ‪/‬‬
‫‪T1040‬‬
‫عب الشبكة‪ ،‬أو استخدام منافذ‬ ‫تفاعل إىل البيانات أثناء تنقلها ر‬ ‫ي‬ ‫المهاجم واجهة الشبكة ن يف الوضع ‪ promiscuous‬للوصول بشكل غب‬ ‫‪Network Sniffing‬‬
‫أكب من البيانات‪.‬‬
‫‪ span‬اللتقاط كمية ر‬
‫المهاجمي الوصول إىل معلومات مفصلة حول سياسة كلمة المرور المستخدمة داخل شبكة الضحية‪ .‬سياسات كلمات‬ ‫ن‬ ‫قد يحاول‬
‫ر‬
‫ه طريقة لفرض كلمات مرور معقدة يصعب تخمينها أو اخباقها من خالل القوة العائمة‪ .‬سيساعد هذا المهاجم عل‬ ‫للشبكات‬ ‫المرور‬ ‫االطالع عل سياسة كلمات‬
‫ي‬
‫الت تلبم بالسياسة (عل سبيل المثال ‪ ،‬إذا كان الحد‬ ‫ن‬ ‫ر‬ ‫ر‬ ‫المرور ‪Policy Password /‬‬
‫إنشاء قائمة بكلمات المرور الشائعة وإطالق القاموس أو هجمات القوة العائمة ي‬ ‫‪T1201‬‬
‫أكب من ‪ 4-3‬كلمات مرور لكل‬ ‫األدن لطول كلمة المرور هو ‪ ،8‬فال تحاول استخدام كلمات مرور مثل '‪ 'pass123‬؛ عدم التحقق من ر‬ ‫ن‬ ‫‪Discovery‬‬
‫تعيي القفل عل ‪ 6‬لعدم قفل الحسابات)‪.‬‬ ‫ن‬ ‫حساب إذا تم‬
‫قد يحاول المهاجمي جمع معلومات حول األجهزة الطرفية والمكونات المتصلة بنظام الكمبيوتر‪ .‬يمكن أن تتضمن األجهزة الطرفية‬ ‫ن‬
‫موارد إضافية تدعم مجموعة متنوعة من الوظائف مثل لوحات المفاتيح أو الطابعات أو الكامبات أو قارئات البطاقات الذكية أو‬ ‫‪Peripheral Device‬‬
‫‪T1120‬‬
‫وحدات التخزين القابلة لإلزالة‪ .‬يمكن استخدام المعلومات لتعزيز وعيهم بالنظام وبيئة الشبكة أو يمكن استخدامها لمزيد من‬ ‫‪Discovery‬‬
‫اإلجراءات‬
‫ن‬ ‫المهاجمي العثور عل إعدادات المجموعات والصالحيات ن يف نطاق الشبكة‪ .‬يمكن أن تساعد هذه المعلومات‬ ‫ن‬ ‫قد يحاول‬ ‫استطالع الصالحيات‬
‫ر‬
‫الت‬ ‫ن‬ ‫ن ن‬ ‫ن‬ ‫للمجموعات ‪Permission /‬‬
‫تحديد حسابات المستخدمي والمجموعات المتاحة‪ ،‬وعضوية المستخدمي يف مجموعات معينة‪ ،‬والمستخدمي والمجموعات ي‬ ‫‪T1069‬‬
‫لديها صالحيات عالية‪.‬‬ ‫‪Groups Discovery‬‬
‫‪80‬‬
‫المهاجمي العثور عل مجموعات النظام المحلية وإعدادات الصالحيات‪ .‬يمكن أن تساعد معرفة صالحية مجموعات ن يف‬ ‫ن‬ ‫قد يحاول‬
‫ن‬ ‫ن‬ ‫ن‬ ‫ن‬ ‫المجموعات المحلية ‪Local /‬‬
‫‪.‬‬
‫المحل المهاجمي يف تحديد المجموعات الموجودة وأي المستخدمي ينتمون إىل مجموعة معينة قد يستخدم المهاجمي هذه‬ ‫ي‬ ‫النظام‬ ‫‪.001 T1069‬‬
‫ن‬ ‫ن‬ ‫ن‬ ‫‪Groups‬‬
‫المحليي‪.‬‬ ‫المستخدمي الموجودين ضمن مجموعة مدراء النظام‬ ‫المستخدمي الذين لديهم صالحيات عالية‪ ،‬مثل‬ ‫المعلومات لتحديد‬
‫المهاجمي العثور عل مجموعات عل مستوى النطاق وإعدادات الصالحيات‪ .‬يمكن أن تساعد معرفة مجموعات مع‬ ‫ن‬ ‫قد يحاول‬
‫ن‬ ‫ن‬ ‫ن‬ ‫مجموعة مدراء النظام ‪/‬‬
‫الصالحية الممنوحة عل مستوى النطاق المهاجمي يف تحديد المجموعات الموجودة وأي المستخدمي ينتمون إىل مجموعة معينة‪.‬‬ ‫‪.002 T1069‬‬
‫ن‬ ‫ن‬ ‫‪Domain Groups‬‬
‫المستخدمي الذين لديهم صالحيات عالية‪ ،‬مثل مدراء أنظمة النطاق‪.‬‬ ‫المهاجمي هذه المعلومات لتحديد‬ ‫قد يستخدم‬
‫‪.‬‬
‫قد يحاول المهاجمي العثور عل مجموعات الخدمات السحابية وإعدادات الصالحيات يمكن أن تساعد معرفة صالحيات مجموعات‬ ‫ن‬
‫مجموعة الخدمات السحابية ‪/‬‬
‫ن‬
‫تبطي‬ ‫ن‬
‫المستخدمي المر‬ ‫ن‬
‫للمستخدمي والمجموعات داخل بيئة ما‪ ،‬باإلضافة إىل‬ ‫المهاجمي ن يف تحديد األدوار المحددة‬ ‫ن‬ ‫السحابية‬ ‫‪.003 T1069‬‬
‫‪Cloud Groups‬‬
‫بمجموعة معينة‪.‬‬
‫ر‬ ‫ن‬
‫الت تم الحصول عليها‬ ‫قد يحاول المهاجمي الحصول عل معلومات حول العمليات الجارية عل النظام‪ .‬يمكن استخدام المعلومات ي‬
‫ن‬
‫الت تعمل عل األنظمة داخل الشبكة‪ .‬قد يستخدم المهاجمي المعلومات من عملية االكتشاف‬ ‫ر‬
‫ن‬ ‫البامج أو التطبيقات الشائعة ي‬ ‫لفهم ر‬
‫‪Process Discovery‬‬ ‫‪T1057‬‬
‫اآلىل لتشكيل سلوكيات المتابعة‪ ،‬بما يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يحاول تنفيذ‬ ‫أثناء االكتشاف ي‬
‫أهداف محددة‪.‬‬
‫والبامج المثبتة‪.‬‬‫قد يتفاعل المهاجمي مع سجل ‪ Windows‬لجمع معلومات حول النظام والتكوين ر‬ ‫ن‬ ‫‪Query Registry‬‬ ‫‪T1012‬‬
‫المهاجمي الحصول عل قائمة باألنظمة األخرى حسب عنوان ‪ IP‬أو اسم الجهاز أو أي معرف آخر عل شبكة يمكن‬ ‫ن‬ ‫قد يحاول‬
‫ن‬ ‫ُ‬
‫الحاىل يمكن أن توجد الوظائف داخل أدوات الوصول عن بعد لتمكي ذلك‪ ،‬ولكن يمكن‬ ‫‪.‬‬ ‫استخدامها للتنقل داخل الشبكة من النظام‬ ‫اكتشاف واالستطالع للخدمات‬
‫المهاجمي ً‬ ‫ي‬ ‫ً‬
‫أيضا‬ ‫ن‬ ‫أيضا استخدام األدوات المساعدة المتاحة عل نظام التشغيل مثل ‪ Ping‬أو ‪ net view‬باستخدام ‪ .Net‬قد يستخدم‬ ‫عن بعد ‪System Remote /‬‬ ‫‪T1018‬‬
‫ملفات المضيف المحلية (عل سبيل المثال‪ C:\Windows\System32\Drivers\etc\ hosts :‬أو ‪ )etc/hosts /‬من أجل‬ ‫‪Discovery‬‬
‫اكتشاف اسم المضيف لتعيينات عناوين ‪ IP‬لألنظمة البعيدة‪.‬‬
‫ن‬
‫المهاجمي‬ ‫والبامج المثبتة عل نظام أو ن يف بيئة سحابية‪ .‬قد يستخدم‬ ‫البامج ر‬ ‫المهاجمي الحصول عل قائمة بإصدارات ر‬ ‫ن‬ ‫قد يحاول‬
‫ن‬ ‫البمجيات ‪/‬‬
‫استطالع ر‬
‫اآلىل لتشكيل سلوكيات المتابعة‪ ،‬بما يف ذلك ما إذا كان المهاجم ينوي أصابة‬ ‫المعلومات من ‪ Software Discovery‬أثناء االكتشاف ي‬ ‫‪T1518‬‬
‫‪Software Discovery‬‬
‫الهدف بالكامل أم ال أو يسىع اىل عمل أهداف محددة‪.‬‬
‫المهاجمي الحصول عل قائمة رببامج األمان والتكوينات واألدوات الدفاعية وأجهزة االستشعار المثبتة عل نظام أو ن يف بيئة‬ ‫ن‬ ‫قد يحاول‬
‫ن‬ ‫استطالع برمجيات الحماية ‪/‬‬
‫سحابية‪ .‬قد يشمل ذلك أشياء مثل قواعد جدار الحماية ومكافحة الفبوسات‪ .‬قد يستخدم المهاجمي المعلومات من ‪Security‬‬
‫‪Software Security‬‬ ‫‪.001 T1518‬‬
‫اآلىل لتشكيل سلوكيات المتابعة‪ ،‬بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل‬ ‫‪ Software Discovery‬أثناء االكتشاف ي‬ ‫‪Discovery‬‬
‫أم ال أو يسىع اىل عمل أهداف محددة‪.‬‬
‫ن‬
‫قد يحاول المهاجم الحصول عل معلومات مفصلة حول نظام التشغيل واألجهزة‪ ،‬بما يف ذلك اإلصدار والتصحيحات واإلصالحات‬ ‫االطالع عل معلومات النظام ‪/‬‬
‫اآلىل لتشكيل‬ ‫ن‬ ‫وحزم الخدمة والبنية‪.‬‬
‫قد يستخدم المهاجمي المعلومات من ‪ System Information Discovery‬أثناء االكتشاف ي‬ ‫‪Information System‬‬ ‫‪T1082‬‬
‫سلوكيات المتابعة‪ ،‬بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يسىع اىل عمل أهداف محددة‪.‬‬ ‫‪Discovery‬‬
‫المهاجمي المعلومات من‬ ‫ن‬ ‫اف لجهاز الضحية‪ .‬قد يستخدم‬ ‫ن‬ ‫ن‬ ‫ن‬
‫ن‬ ‫قد يقوم المهاجمي بجمع المعلومات يف محاولة لحساب الموقع الجغر ي‬ ‫‪System Location‬‬
‫اآلىل لتشكيل سلوكيات المتابعة‪ ،‬بما يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف‬ ‫‪ Location Discovery System‬أثناء االكتشاف ي‬ ‫‪T1614‬‬
‫بالكامل أم ال أو يسىع اىل عمل أهداف محددة‪.‬‬
‫‪81‬‬
‫الت يصلون إليها أو من خالل اكتشاف معلومات األنظمة‬ ‫ر‬ ‫ن‬
‫قد يبحث المهاجمي عن تفاصيل حول تكوين الشبكة وإعدادات األنظمة ي‬ ‫االطالع عل اعدادات الشبكة‬
‫‪.‬‬ ‫ر‬
‫الت يمكن استخدامها لجمع هذه المعلومات تتضمن األمثلة ‪ Arp‬و ‪ipconfig /‬‬ ‫البعيدة‪ .‬توجد العديد من أدوات إدارة نظام التشغيل ي‬ ‫‪Network System /‬‬ ‫‪T1016‬‬
‫‪ ifconfig‬و ‪ nbtstat‬و ‪.route‬‬ ‫‪Configuration Discovery‬‬
‫اآلىل ويمكن تحقيقه بعدة طرق مثل‬ ‫االكتشاف‬ ‫أثناء‬ ‫ذلك‬ ‫اء‬
‫ر‬ ‫إج‬ ‫يمكن‬ ‫‪.‬‬ ‫نت‬ ‫المخبقة اىل ر‬
‫اإلنب‬ ‫ر‬ ‫األنظمة‬ ‫وصول‬ ‫ن‬
‫المهاجمي من‬ ‫قد يتحقق‬ ‫‪Internet Connection‬‬
‫ي‬ ‫‪.001 T1016‬‬
‫استخدام طلبات ‪ Ping‬و ‪ tracert‬و ‪ GET‬إىل مواقع الويب‪.‬‬ ‫‪Discovery‬‬
‫االطالع عل االتصاالت‬
‫حاليا أو من األنظمة البعيدة‬ ‫ر‬
‫المخبق الذي يصلون إليه ً‬ ‫ن‬
‫المهاجمي الحصول عل قائمة باتصاالت الشبكة من أو إىل النظام‬ ‫قد يحاول‬ ‫الخاصة بنظام الشبكات ‪/‬‬
‫‪T1049‬‬
‫عب الشبكة‪.‬‬
‫عن طريق االستعالم عن المعلومات ر‬ ‫‪System Network‬‬
‫‪Connections Discovery‬‬
‫نظاما بشكل‬‫ً‬ ‫الت تستخدم‬ ‫ن ر‬ ‫ً‬ ‫ن‬
‫األساس‪ ،‬أو المستخدم المسجل حاليا‪ ،‬أو مجموعة المستخدمي ي‬ ‫ي‬ ‫المهاجمي تحديد المستخدم‬ ‫قد يحاول‬
‫ر‬
‫شائع‪ ،‬أو ما إذا كان المستخدم يستخدم النظام بشكل نشط‪ .‬يمكنهم القيام بذلك‪ ،‬عل سبيل المثال‪ ،‬عن طريق اسبداد أسماء‬
‫مستخدم الحساب أو باستخدام جمع بيانات األعتماد نظام التشغيل‪ .‬يمكن جمع المعلومات بعدة طرق مختلفة باستخدام تقنيات‬ ‫ي‬ ‫االطالع عل بيانات مالك‬
‫منتشة ن يف جميع أنحاء النظام وتشمل ملكية عمليات النظام الجارية‪،‬‬ ‫االكتشاف األخرى ‪ ،‬ألن تفاصيل المستخدم واسم المستخدم ر‬ ‫العنوان ‪System /‬‬ ‫‪T1033‬‬
‫وملكية الملف‪/‬الدليل‪ ،‬ومعلومات الجلسة‪ ،‬وسجالت النظام‪ .‬قد يستخدم المهاجم المعلومات من مالك النظام واكتشاف المستخدم‬ ‫‪Owner/User Discovery‬‬
‫اآلىل لتشكيل سلوكيات المتابعة‪ ،‬بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يسىع اىل عمل‬ ‫أثناء االكتشاف ي‬
‫أهداف محددة‪.‬‬
‫الت‬ ‫الت قد تحصل عل معلومات حول الخدمات ر‬ ‫المهاجمي الحصول عل معلومات حول الخدمات المسجلة‪ .‬األوامر ر‬ ‫ن‬ ‫قد يحاول‬
‫ي‬ ‫ي‬ ‫االطالع عل خدمات النظام ‪/‬‬
‫ه "‪ "sc‬و "‪ "Tasklist / svc‬باستخدام ‪ Tasklist‬و "‪ "net start‬باستخدام ‪ ،Net‬ولكن قد يستخدم‬ ‫أدوات نظام التشغيل ي‬ ‫تستخدم‬
‫ن‬ ‫المهاجمي ً‬
‫ن‬ ‫‪System Service‬‬ ‫‪T1007‬‬
‫اآلىل لتشكيل‬‫ي‬ ‫االكتشاف‬ ‫أثناء‬ ‫‪System‬‬ ‫‪Service‬‬ ‫‪Discovery‬‬ ‫من‬ ‫المعلومات‬ ‫المهاجمي‬ ‫يستخدم‬ ‫قد‬ ‫‪.‬‬ ‫أخرى‬ ‫أدوات‬ ‫ا‬‫أيض‬
‫سلوكيات المتابعة‪ ،‬بما ن يف ذلك ما إذا كان المهاجم ينوي أصابة الهدف بالكامل أم ال أو يسىع اىل عمل أهداف محددة‪.‬‬
‫تعيي وقت النظام وتخزينه بواسطة‬ ‫ن‬ ‫محل أو عن بعد‪ .‬يتم‬ ‫قد يجمع المهاجم معلومات مثل وقت النظام أو المنطقة الزمنية من نظام‬ ‫االطالع عل وقت النظام ‪/‬‬
‫ي‬ ‫‪T1124‬‬
‫بي األنظمة والخدمات ن يف الشبكة‪.‬‬ ‫‪ Windows Time Service‬داخل نطاق للحفاظ عل مزامنة الوقت ن‬ ‫‪Discovery System Time‬‬
‫ر‬
‫المهاجمي وسائل مختلفة الكتشاف وتجنب بيئات المحاكاة االفباضية والتحليل‪ .‬قد يشمل ذلك تغيب سلوك المهاجم‬ ‫ن‬ ‫قد يستخدم‬
‫ر‬
‫الت تشب وجوده عل بيئة اآللة االفباضية (‪ )VME‬أو ‪ .Sandbox‬إذا اكتشف المهاجم‬ ‫ر‬ ‫األدلة‬ ‫وجود‬ ‫من‬ ‫التحقق‬ ‫عمليات‬ ‫نتائج‬ ‫ً‬
‫بناء عل‬
‫ً‬ ‫ي‬ ‫‪Virtualization/Sandbox‬‬
‫للبمجية الخبيثة‪ .‬يمكنهم أيضا‬ ‫وجود ‪ ،VME‬قد يقوم بتغيب برمجياته الخبيثة لقطع االتصال بالضحية أو إخفاء الوظائف األساسية ر‬ ‫‪T1497‬‬
‫البحث عن أدوات ‪ VME‬قبل ن ن‬ ‫‪Evasion‬‬
‫تبيل برمجيات خبيثة ثانوية أو إضافية‪ .‬قد يستخدم األعداء المعلومات المستفادة من‬
‫اآلىل لمعرفة سلوكيات المتابعة‪.‬‬‫‪ Evasion Virtualization/Sandbox‬أثناء االكتشاف ي‬
‫ر‬
‫المهاجمي فحوصات مختلفة للنظام الكتشاف وتجنب بيئات المحاكاة االفباضية والتحليل‪ .‬قد يشمل ذلك تغيب سلوك‬ ‫ن‬ ‫قد يستخدم‬
‫ر‬
‫الت تشب بأنه عل بيئة اآللة االفباضية ( ‪ )VME‬أو ‪ .Sandbox‬إذا اكتشف‬ ‫ر‬ ‫األدلة‬ ‫وجود‬ ‫من‬ ‫التحقق‬ ‫عمليات‬ ‫نتائج‬ ‫عل‬ ‫المهاجم ً‬
‫بناء‬
‫ي‬
‫للبمجية الخبيثة‪ .‬يمكنهم‬ ‫المهاجم وجود ‪ ،VME‬قد يقوم بتغيب برمجياته الخبيثة لقطع االتصال بالضحية أو إخفاء الوظائف األساسية ر‬ ‫‪System Checks‬‬ ‫‪.001 T1497‬‬
‫أيضا البحث عن أدوات ‪ VME‬قبل ن ن‬ ‫ً‬
‫تبيل برمجيات خبيثة ثانوية أو إضافية‪ .‬قد يستخدم األعداء المعلومات المستفادة من‬
‫اآلىل لمعرفة سلوكيات المتابعة‪.‬‬ ‫‪ Evasion Virtualization/Sandbox‬أثناء االكتشاف ي‬
‫‪.‬‬ ‫ر‬
‫المهاجمي فحوصات مختلفة لنشاط المستخدم الكتشاف وتجنب بيئات المحاكاة االفباضية والتحليل قد يشمل ذلك‬ ‫ن‬ ‫قد يستخدم‬ ‫‪User Activity Based‬‬
‫ر‬ ‫ر‬ ‫تغيب السلوك ً‬ ‫‪.002 T1497‬‬
‫الت تدل عل بيئة اآللة االفباضية (‪ )VME‬أو ‪ .sanbox‬إذا اكتشف‬ ‫ي‬ ‫دالئل‬ ‫وجود‬ ‫من‬ ‫التحقق‬ ‫عمليات‬ ‫نتائج‬ ‫عل‬ ‫بناء‬ ‫‪Checks‬‬
‫‪82‬‬
‫الت‬‫ر‬
‫للبمجية الخبيثة ي‬ ‫المهاجم وجود ‪ ،VME‬قد يقوم بتغيب برمجياته الخبيثة لقطع االتصال عن الضحية أو إخفاء الوظائف األساسية ر‬
‫تم زراعتها‪ .‬يمكنهم ً‬
‫ن‬
‫المهاجمي المعلومات المستفادة‬ ‫تبيل برمجيات ثانوية أو إضافية‪ .‬قد يستخدم‬‫أيضا البحث عن أدوات ‪ VME‬قبل ن ن‬
‫اآلىل لتشكيل سلوكيات المتابعة‪.‬‬
‫‪ Sandbox Evasion‬أثناء االكتشاف ي‬ ‫من ‪/ Virtualization‬‬
‫طرقا مختلفة تستند إىل الوقت الكتشاف وتجنب بيئات المحاكاة ر‬ ‫ً‬ ‫ن‬
‫االفباضية والتحليل‪ .‬قد يشمل ذلك جمع‬ ‫المهاجمي‬ ‫قد يستخدم‬
‫الخصائص المستندة إىل الوقت‪ ،‬مثل مدة تشغيل النظام أو ساعة النظام‪ ،‬باإلضافة إىل استخدام أجهزة ضبط الوقت أو المشغالت‬ ‫‪Time Based Evasion‬‬ ‫‪.003 T1497‬‬
‫لفبة محدودة من الوقت‪.‬‬ ‫تلقائيا أو تعمل فقط ر‬
‫ً‬ ‫ر‬ ‫ً‬
‫الت تعمل‬
‫األخرى لتجنب بيئة الجهاز الظاهري ( ‪ )VME‬أو ‪ ،Sandbox‬وتحديدا تلك ي‬
‫‪83‬‬
‫التنقل داخل الشبكة ‪Lateral Movement /‬‬
‫المهاجمي بالتنقل داخل الشبكة باستخدام أساليب وتقنيات مختلفة تمكنه من التحكم والتنقل ن يف األنظمة‬
‫ن‬ ‫التنقل داخل الشبكة‪ :‬يقوم‬
‫المهاجمي بمحاولة االستطالع واالكتشاف داخل الشبكة ومن ثم التنقل ن‬
‫ن‬ ‫ً‬ ‫ر‬
‫بي األنظمة‪ .‬ومن النتائج المرجوة‬ ‫المخبقة عن بعد‪ .‬وغالبا يقوم‬
‫من عمليات االستطالع واالكتشاف هو المقدرة عل التنقل للنظام او الحسابات المكتشفة‪ .‬وقد يلجأ المهاجم اىل تثبيت برمجيات‪/‬أدوات‬
‫ن‬
‫المهاجمي حسابات فعالة وحقيقة‬ ‫تمكنه من التحكم والسيطرة عل األنظمة عن بعد وتتيح له فرصة التنقل ما ن‬
‫بي األنظمة‪ .‬وقد يستخدم‬
‫والت قد تصعب عمليات االكتشاف‪.‬‬ ‫ر‬
‫لعمليات التنقل داخل الشبكة واألنظمة ي‬
‫‪84‬‬
‫الفرع‬
‫ع إىل األنظمة الداخلية بمجرد دخوله الشبكة‪ .‬يتم استغالل‬ ‫ر‬
‫للحصول عل وصول غب ش ن ي‬ ‫يستغل المهاجم خدمات الوصول عن ُبعد‬ ‫ر‬
‫ن‬ ‫ن‬ ‫اخباق الخدمات عن بعد ‪/‬‬
‫بالبنامج أو خدمة أو يف برمجيات نظام التشغيل أو نواة التشغيل نفسها لتنفيذ‬ ‫برمج يف ر‬‫البنامج عندما يكون هناك خطأ ر ي‬ ‫الثغرة يف ر‬
‫ر‬ ‫ُ‬ ‫ر‬ ‫‪Exploitation of‬‬ ‫‪T1210‬‬
‫الت تتيح الوصول عن بعد بعد االخباق هو التنقل‬ ‫برمجيات خبيثة يتحكم فيها من خالل المهاجم‪ .‬الهدف الشائع الستغالل الخدمات ي‬ ‫‪Remote Services‬‬
‫ن‬
‫لتمكي الوصول إىل أنظمة أخرى‪.‬‬ ‫داخل الشبكة‬
‫ن‬
‫مستخدمي آخرين داخل شبكة الضحية بعد أن يكون‬ ‫الداخل للوصول إىل معلومات إضافية أو استغالل‬ ‫التصيد‬ ‫المهاجم‬ ‫يستخدم‬
‫ي‬
‫الداخل هو هجوم متعدد المراحل حيث ممكن أن يكون حساب‬ ‫ي‬ ‫لديهم حق الوصول إىل الحسابات أو األنظمة داخل الشبكة‪ .‬التصيد‬ ‫الداخل ‪/‬‬
‫ي‬ ‫التصيد‬
‫ً‬
‫مسبقا أو عن طريق ر‬
‫اخباق بيانات اعتماد‬ ‫ون مفعل ن يف جهاز المستخدم والتحكم فيه يتم عن طريق برامج خبيثة مثبته‬ ‫ر ن‬
‫البيد اإللكب ي‬‫ر‬ ‫‪Internal‬‬ ‫‪T1534‬‬
‫ن‬
‫داخل موثوق به لزيادة احتمالية خداع الضحية للوقوع يف محاولة التصيد‬ ‫حساب‬ ‫من‬ ‫االستفادة‬ ‫ن‬
‫المهاجمي‬ ‫يحاول‬ ‫‪.‬‬ ‫المستخدم‬ ‫حساب‬ ‫‪Spearphishing‬‬
‫ي‬
‫االحتياىل‪.‬‬
‫ي‬
‫حت‬‫المخبقة نف الشبكة‪ .‬يقوم المهاجم بنسخ الملفات من نظام إىل آخر ر‬ ‫ر‬ ‫األنظمة‬ ‫المهاجمي بنقل أدوات أو ملفات مختلفة ن‬
‫بي‬ ‫ن‬ ‫يقوم‬
‫ي‬ ‫ن‬
‫ن‬ ‫‪.‬‬
‫يضمن بقاء الملفات واالدوات طوال بقائة يف الشبكة يقوم المهاجم بنسخ الملفات بي األنظمة المصابة الداخلية لدعم التنقل داخل‬
‫عب ‪ SMB‬لمشاركة الشبكة المتصلة أو مع االتصاالت‬ ‫الشبكة باستخدام بروتوكوالت مشاركة الملفات الموجودة مثل مشاركة الملفات ر‬ ‫‪Lateral Tool Transfer‬‬ ‫‪T1570‬‬
‫المصادق عليها مع ‪ SMB / Windows Admin Shares‬أو ‪ .Protocol Remote Desktop‬ويمكن ً‬
‫نظام‬
‫ي‬ ‫عل‬ ‫الملفات‬ ‫نسخ‬ ‫ا‬‫أيض‬
‫‪ Mac‬و ‪ Linux‬باستخدام أدوات مثل ‪ scp‬و ‪ rsync‬و ‪.sftp‬‬
‫ً‬
‫ن‬
‫للمستخدمي‬ ‫من الشائع ان يتحكم المهاجم ن يف الجلسات الموجودة مسبقا مع خدمات الوصول عن ُبعد للتنقل داخل الشبكة‪ .‬يسمح‬
‫ُ‬ ‫ً‬ ‫اختطاف الخدمات عن بعد‬
‫استخدام بيانات وثوق صالحة لتسجيل الدخول إىل خدمة مصممة خصيصا لقبول االتصاالت عن بعد ‪ ،‬مثل ‪ telnet‬و ‪ SSH‬و ‪.RDP‬‬
‫‪Remote Service /‬‬ ‫‪T1563‬‬
‫عندما يقوم المستخدم بتسجيل الدخول إىل إحدى الخدمات‪ ،‬سيتم إنشاء جلسة تسمح له بالحفاظ عل جلسة تفاعلية مع تلك‬
‫‪Session Hijacking‬‬
‫الخدمة‪.‬‬
‫الفعل للتنقل داخل الشبكة‪ .‬يعد ‪ )Secure Shell (SSH‬وسيلة للوصول‬ ‫ر‬
‫يقوم المهاجم بالدخول الغب مشوع لجلسة ‪ SSH‬للمستخدم‬
‫ي‬
‫عب ممر مشفر‪ ،‬وعادة ما يتم المصادقة عليه من خالل‬ ‫عن ُبعد عل أنظمة ‪ Linux‬و ‪ .macOS‬يسمح للمستخدم باالتصال بنظام آخر ر‬ ‫‪SSH Hijacking‬‬ ‫‪.001 T1563‬‬
‫كلمة مرور أو شهادة أو استخدام انواع مفاتيح تشفب غب متماثل‪.‬‬
‫ن‬
‫ع للتنقل داخل الشبكة‪ .‬يعد جلسة سطح المكتب مبة شائعة‬ ‫ر‬
‫يقوم المهاجم باختطاف جلسة سطح المكتب تفاعلية للمستخدم الش ي‬
‫ن يف أنظمة التشغيل‪ .‬يسمح للمستخدم بتسجيل الدخول إىل جلسة تفاعلية باستخدام واجهة مستخدم رسومية لسطح مكتب عل نظام‬ ‫‪RDP Hijacking‬‬ ‫‪.002 T1563‬‬
‫عن بعد‪ .‬تشب ‪ Microsoft‬إىل تنفيذها رلبوتوكول سطح المكتب البعيد ‪ RDP‬عل أنه خدمات سطح المكتب البعيد (‪)RDS‬‬
‫خصيصا لقبول االتصاالت عن ُبعد‪ ،‬مثل ‪ telnet‬و ‪ SSH‬و‬ ‫ً‬ ‫يستخدم المهاجم الحسابات الصالحة لتسجيل الدخول إىل خدمة مصممة‬ ‫الخدمات المتصلة عن بعد‬
‫‪T1021‬‬
‫‪ .VNC‬قد يقوم المهاجم بعد ذلك بتنفيذ عمليات بانتحاله صفة المستخدم الذي قام بتسجيل الدخول‪.‬‬ ‫‪Remote Services /‬‬
‫سطح المكتب البعيد ‪/‬‬
‫يستخدم المهاجم حسابات صالحة لتسجيل الدخول إىل جهاز كمبيوتر باستخدام بروتوكول سطح المكتب البعيد (‪ .)RDP‬قد يقوم‬
‫‪Remote Desktop‬‬ ‫‪.001 T1021‬‬
‫المهاجم بعد ذلك بتنفيذ عمليات بانتحاله صفة المستخدم الذي قام بتسجيل الدخول‪.‬‬
‫‪Protocol‬‬
‫‪85‬‬
‫مشاركة الملفات للويندوز ‪/‬‬
‫يستخدم المهاجم الحسابات الصالحة للتفاعل مع مشاركة شبكة بعيدة باستخدام ‪ )Server Message Block (SMB‬ويقوم المهاجم‬
‫‪SMB/Windows‬‬ ‫‪.002 T1021‬‬
‫بعد ذلك بتنفيذ إجراءات بصفته المستخدم الذي قام بتسجيل الدخول‪.‬‬
‫‪Admin Shares‬‬
‫‪Distributed‬‬
‫يستخدم المهاجم الحسابات الصالحة للتفاعل مع األجهزة البعيدة من خالل االستفادة من ‪Distributed Component Object‬‬
‫‪Component Object‬‬ ‫‪.003 T1021‬‬
‫‪ )Mode (DCOM‬و يقوم المهاجم بعد ذلك بتنفيذ إجراءات بصفته المستخدم الذي قام بتسجيل الدخول‪.‬‬
‫‪Model‬‬
‫يستخدم المهاجم الحسابات الصالحة لتسجيل الدخول إىل األجهزة البعيدة باستخدام ‪ .)Secure Shell (SSH‬و يقوم المهاجم بعد ذلك‬
‫‪SSH‬‬ ‫‪.004 T1021‬‬
‫بتنفيذ إجراءات بصفته المستخدم الذي قام بتسجيل الدخول‬
‫االفباضية ‪ VNC‬ويقوم المهاجم بعد ذلك‬ ‫يستخدم المهاجم الحسابات الصالحة للتحكم عن بعد نف األجهزة باستخدام حوسبة الشبكة ر‬
‫ي‬ ‫‪VNC‬‬ ‫‪.005 T1021‬‬
‫الفعل الذي قام بتسجيل الدخول‪.‬‬ ‫ي‬ ‫بتنفيذ إجراءات بصفته المستخدم‬
‫يستخدم المهاجم الحسابات الصالحة للتفاعل مع األنظمة البعيدة باستخدام‪)Windows Remote Management (WinRM‬‬ ‫‪Windows Remote‬‬
‫‪.006 T1021‬‬
‫الفعل الذي قام بتسجيل الدخول‪.‬‬ ‫ي‬ ‫ويقوم المهاجم بعد ذلك بتنفيذ إجراءات بصفته المستخدم‬ ‫‪Management‬‬
‫البامج‬
‫ينتقل المهاجمون إىل االنظمة عن طريق شبكات قد تكون غب متصلة أو مفصولة تماما عن بعضها‪ ،‬وذلك يتم عن طريق نسخ ر‬
‫النسخ المتماثل من خالل‬
‫التلقان عند إدخال الوسائط ن يف النظام وتشغيلها‪ .‬ن يف حالة التنقل داخل‬ ‫ي‬
‫الضارة إىل وسائط قابلة لإلزالة واالستفادة من ن‬
‫مبات التشغيل‬
‫الوسائط القابلة لإلزالة ‪/‬‬
‫البامج الضارة‬‫الشبكة‪ ،‬قد يحدث هذا من خالل تعديل الملفات القابلة للتنفيذ المخزنة عل وسائط قابلة لإلزالة أو عن طريق نسخ ر‬ ‫‪T1091‬‬
‫‪Replication Through‬‬
‫األوىل‪ ،‬قد يحدث هذا من‬ ‫ي‬
‫ر‬
‫االخباق‬ ‫المستخدمي لتنفيذه عل نظام منفصل‪ .‬ن يف حالة‬‫ن‬ ‫ع لخداع‬ ‫ر‬
‫وإعادة تسميتها لتبدو وكأنها ملف ش ي‬
‫ن‬ ‫‪Removable Media‬‬
‫البمجيات األساسية للوسائط نفسها‪.‬‬ ‫خالل التعديل اليدوي للوسائط‪ ،‬أو تعديل األنظمة المستخدمة يف تهيئة الوسائط‪ ،‬أو التعديل عل ر‬
‫والنش‪ ،‬واستخدامها للتنقل‬ ‫ر‬ ‫يتمكن المهاجم من الوصول إىل برامج الطرف الثالث المثبتة داخل الشبكة‪ ،‬مثل أنظمة اإلدارة والمراقبة‬ ‫البامج ‪/‬‬‫أدوات تطوير ر‬
‫البامج التابعة لطرف ثالث قيد االستخدام ن يف بيئة الشبكة ألغراض إدارية (عل سبيل‬ ‫ر‬ ‫نش‬ ‫ر‬ ‫وأنظمة‬ ‫تطبيقات‬ ‫تكون‬ ‫قد‬ ‫‪.‬‬ ‫الشبكة‬ ‫داخل‬ ‫‪Software‬‬ ‫‪T1072‬‬
‫المثال ‪ ، Altiris ، HBSS ،SCCM ،‬إلخ)‪.‬‬ ‫‪Tools Deployment‬‬
‫المشبكة‪ ،‬مثل محركات أقراص‬ ‫ر‬ ‫قد يقوم المهاجم بتسليم ‪ Payloads‬إىل األنظمة البعيدة عن طريق إضافة محتوى إىل مواقع التخزين‬
‫مشبكة أخرى غب سليم‬ ‫البمجيات الداخلية‪ .‬قد يكون المحتوى المخزن عل محركات أقراص الشبكة أو نف مواقع ر‬ ‫الشبكة أو مستودعات ر‬
‫ي‬
‫‪( Taint Shared Content‬مضاف اليها برمجيات خبيثة) عن طريق إضافة برامج أو نصوص برمجية ضارة أو برمجية الستغالل ملفات سليمة‪ .‬بمجرد أن يفتح‬ ‫‪T1080‬‬
‫البنامج الضار عل نظام البعيد‪ .‬وقد يستخدم المهاجم ادوات مشبوه وضاره للتنقل داخل‬ ‫المستخدم المحتوى المعدل يبدا تشغيل ر‬
‫ادوات المصادقة البديلة ‪/‬‬
‫ن‬ ‫ر‬
‫يستخدم المهاجمي ادوات مصادقة بديلة‪ ،‬مثل كلمة المرور المخبلة (‪ ، )password hashes‬وتذاكر ‪ ، Kerberos‬ورموز الوصول إىل‬ ‫ن‬ ‫‪Use Alternate‬‬
‫‪T1550‬‬
‫التطبيق‪ ،‬من أجل التنقل داخل الشبكة وتجاوز تقنيات التحكم ن يف الوصول إىل األنظمة‪.‬‬ ‫‪Authentication‬‬
‫‪Material‬‬
‫رمز الوصول اىل التطبيق ‪ /‬يستخدم المهاجم رموز مشوقة للوصول إىل التطبيقات لتجاوز عملية المصادقة النموذجية والوصول إىل الحسابات أو المعلومات أو‬
‫ً‬ ‫ن‬ ‫ن‬ ‫ً‬
‫المستخدمي واستخدامها بدال من بيانات اعتماد‬ ‫الممبة من‬ ‫الخدمات المقيدة عل األنظمة األخرى‪ .‬عادة ما تتم شقة هذه الرموز‬ ‫‪Access Application‬‬ ‫‪.001 T1550‬‬
‫تسجيل الدخول‪.‬‬ ‫‪Token‬‬
‫متخطي تقنيات التحكم فن‬
‫ن‬ ‫الت تم شقتها للتحرك داخل الشبكة‪،‬‬ ‫ر‬ ‫ن‬
‫ي‬ ‫يقوم المهاجمي باستخدام تقنية ‪ Hash Pass The‬مع كلمات المرور ي‬ ‫‪Pass the Hash‬‬ ‫‪.002 T1550‬‬
‫ه طريقة للمصادقة كمستخدم دون الوصول إىل كلمة مرور الغب مشفرة التابعة‬ ‫الوصول إىل األنظمة‪ Pass the hash PtH .‬ي‬
‫‪86‬‬
‫الت تتطلب كلمة مرور غب مشفرة ‪ ،‬واالنتقال ر‬‫ر‬
‫مباشة إىل جزء المصادقة‬ ‫للمستخدم‪ .‬تتجاوز هذه الطريقة خطوات المصادقة القياسية ي‬
‫الذي يستخدم كلمة مرور ر ن‬
‫مخبلة‪.‬‬
‫ن‬
‫متخطي تقنيات‬ ‫الت تم شقتها للتحرك داخل الشبكة‪،‬‬‫ر‬ ‫ن‬
‫قد يقوم ن المهاجمي باستخدام تقنية ‪ Ticket Pass the‬مع كلمات المرور ي‬
‫ه طريقة للمصادقة عل نظام يستخدم تذاكر ‪ Kerberos‬دون الوصول إىل‬ ‫التحكم يف الوصول إىل األنظمة‪ )Pass the ticket (PtT .‬ي‬ ‫‪Pass the Ticket‬‬ ‫‪.003 T1550‬‬
‫كلمة مرور الحساب‪ .‬يمكن استخدام مصادقة ‪ Kerberos‬كخطوة أوىل للحركة داخل أنظمة أخرى ‪.‬‬
‫ن‬
‫للمهاجمي استخدام ملفات تعريف ارتباط الجلسة المشوقة للمصادقة عل تطبيقات وخدمات الويب‪ .‬تتخط هذه التقنية‬ ‫يمكن‬
‫بعض بروتوكوالت المصادقة متعددة العوامل ً‬ ‫‪Web Session Cookie‬‬ ‫‪.004 T1550‬‬
‫نظرا ألن الجلسة قد تمت مصادقتها بالفعل‪.‬‬
‫‪87‬‬
‫جمع البيانات الهامة ‪Collection /‬‬
‫المهاجمي ن يف هذه المرحلة بجمع المعلومات الهامة عن الهدف‪ .‬ان التقنيات واألساليب ن يف عملية جمع المعلومات‬
‫ن‬ ‫جمع البيانات‪ :‬يقوم‬
‫ن‬ ‫ر‬
‫ه المرحلة األوىل قبل عملية تشيب وشقة‬ ‫الت لدى المهاجمي‪ .‬وتكون مرحلة جمع البيانات ي‬ ‫متعددة وتختلف باختالف األهداف ي‬
‫البيد‬ ‫البيانات‪ .‬وقد يتم جمع البيانات من مصادر مختلفة اما من األقراص الصلبة او المتصفحات او ملفات فيديو او صوت او ر‬
‫حت ر‬
‫ون وقد تتضمن عملية جمع المعلومات تصوير الشاشة او تسجيل نضبات المفاتيح‪.‬‬ ‫ر ن‬
‫االلكب ي‬
‫‪88‬‬
‫الفرع‬
‫ر‬ ‫ن‬ ‫ر‬ ‫ن‬
‫الت تم جمعها قبل تشيبها‪ .‬يمكن أن يساعد أرشفة البيانات يف تعتيم البيانات ي‬
‫الت تم تجميعها‬ ‫يقوم المهاجم يف أرشفة أو تشفب البيانات ي‬ ‫سحب البيانات‬
‫ر‬
‫الت يتم تشيبها من عملية االكتشاف أو جعل‬ ‫عب الشبكة‪ .‬يمكن استخدام التشفب إلخفاء المعلومات ي‬ ‫وتقليل كمية البيانات المرسلة ر‬ ‫المؤرشفة ‪Archive /‬‬ ‫‪T1560‬‬
‫وضوحا عند الفحص بواسطة المحلل‪.‬‬ ‫ً‬ ‫التطفل أقل‬ ‫‪Data Collected‬‬
‫‪.‬‬
‫الت تم جمعها قبل سحبها من الضحية باستخدام أدوات مساعدة تابعة لطرف ثالث توجد‬ ‫ر‬
‫قد يقوم المهاجم بضغط أو تشفب البيانات ي‬ ‫اداة االرشفة ‪Archive‬‬
‫الت يمكنها أرشفة البيانات‪ ،‬بما ن يف ذلك ‪ Zip-7‬و ‪ WinRAR‬و ‪.WinZip‬تتضمن معظم األدوات المساعدة‬ ‫ر‬
‫العديد من األدوات المساعدة ي‬ ‫‪.001 T1560‬‬
‫‪via Utility‬‬
‫وظائف لتشفب أو ضغط البيانات‪.‬‬
‫الت تم جمعها قبل سحبها من الضحية باستخدام مكتبات الطرف الثالث‪ .‬توجد العديد من‬ ‫ر‬
‫قد يقوم المهاجم بضغط أو تشفب البيانات ي‬ ‫االرشفة بواسطة‬
‫الت يمكنها أرشفة البيانات‪ ،‬بما ن يف ذلك ‪ Python rarfile‬و ‪ libzip‬و ‪.zlib‬تتضمن معظم المكتبات وظائف لتشفب أو ضغط‬ ‫ر‬
‫المكتبات ي‬ ‫البمجية ‪/‬‬ ‫المكتبات ر‬ ‫‪.002 T1560‬‬
‫البيانات‪.‬‬ ‫‪via Library Archive‬‬
‫ن‬ ‫ر‬ ‫ن‬ ‫االرشفة بواسطة طرق‬
‫المهاجمي‬ ‫الت تم جمعها قبل سحبها من الضحية باستخدام طريقة مخصصة‪ .‬قد يختار‬ ‫قد يقوم المهاجم يف ضغط أو تشفب البيانات ي‬
‫ر‬ ‫مخصصة ‪Archive /‬‬
‫الت يتم تنفيذها بدون مراجع مكتبة‬‫استخدام أساليب أرشفة مخصصة‪ ،‬مثل التشفب باستخدام ‪ XOR‬أو استخدام ‪ ciphers stream‬ي‬ ‫‪.003 T1560‬‬
‫‪Custom via‬‬
‫خارجية أو أداة مساعدة‪ .‬كما ايضا قد يتم استخدام تطبيقات مخصصة لخوارزميات الضغط المعروفة‪.‬‬
‫‪Method‬‬
‫يمكن للمهاجم االستفادة من األجهزة الطرفية للكمبيوتر (مثل الميكروفونات وكامبات الويب) أو التطبيقات (مثل خدمات مكالمات‬ ‫تسجيل االصوات ‪/‬‬
‫‪T1123‬‬
‫الصوت والفيديو) اللتقاط التسجيالت الصوتية بغرض االستماع إىل المحادثات الحساسة لجمع المعلومات‪.‬‬ ‫‪Audio Capture‬‬
‫بمجرد إنشائه داخل نظام أو شبكة‪ ،‬قد يستخدم المهاجم تقنيات آلية لجمع البيانات الداخلية‪ .‬يمكن أن تتضمن طرق تنفيذ هذه التقنية‬ ‫آىل‬ ‫بشكل‬ ‫نن‬
‫تبيل البيانات‬
‫ي‬
‫الت تناسب معايب المجموعة مثل نوع‪,‬موقع أو االسم الملف ن يف رفبات‬ ‫ر‬
‫األوامر والنصوص للبحث عن نالمعلومات ونسخها ي‬
‫استخدام ر‬
‫مبجم‬ ‫‪Automated /‬‬ ‫‪T1119‬‬
‫ُ‬ ‫ن‬ ‫ً‬
‫زمنية محددة‪ .‬يمكن أيضا تضمي هذه الوظيفة يف أدوات الوصول عن بعد‪.‬‬ ‫‪Collection‬‬
‫البيانات المنسوخة ‪/‬‬
‫بي التطبيقات‪.‬‬ ‫المستخدمي الذين يقومون بنسخ المعلومات داخل أو ن‬
‫ن‬ ‫المهاجمي بجمع البيانات المخزنة ن يف ‪ clipboard‬من‬
‫ن‬ ‫قد يقوم‬ ‫‪T1115‬‬
‫‪Clipboard Data‬‬
‫البيانات المخزنة ن يف‬
‫المخازن السحابية ‪/‬‬
‫َّ‬
‫المؤمن بطريقة غب صحيحة‪.‬‬ ‫الت ن يف التخزين السحابية‬
‫ر‬ ‫ن‬
‫قد يصل المهاجمي إىل البيانات ي‬ ‫‪T1530‬‬
‫‪Data from Cloud‬‬
‫‪Storage Object‬‬
‫بيانات االعدادات‬
‫المهاجمي بجمع البيانات المتعلقة باألجهزة ُ‬
‫ن‬ ‫المخزنة ن يف المستودعات‬
‫المدارة من المستودعات‪ .‬يتم استخدام المستودعات بواسطة أنظمة اإلدارة من أجل‬ ‫قد يقوم‬
‫ُ‬ ‫ً‬ ‫‪Data from /‬‬ ‫‪T1602‬‬
‫تكوين البيانات وإدارتها والتحكم فيها عل األنظمة البعيدة‪ .‬قد تسهل المستودعات أيضا الوصول عن بعد وإدارة األجهزة‪.‬‬
‫‪Configuration‬‬
‫‪Repository‬‬
‫المهاجمي قاعدة المعلومات اإلدارية (‪ )MIB‬لجمع أو استخراج معلومات قيمة ن يف شبكة ُمدارة باستخدام‬
‫ن‬ ‫قد يستهدف‬
‫)‪SNMP (MIB Dump‬‬ ‫‪.001 T1602‬‬
‫بروتوكول(‪.)SNMP‬‬
‫‪89‬‬
‫تبيل اعدادات اجهزة‬ ‫نن‬
‫ن‬
‫المهاجمي إىل ملفات تكوين الشبكة لجمع بيانات حساسة حول الجهاز والشبكة‪ .‬تكوين الشبكة عبارة عن ملف يحتوي عل‬ ‫قد يصل‬
‫ن‬ ‫ً‬ ‫الشبكات المخزنة ‪/‬‬
‫معلمات تحدد تشغيل الجهاز‪ .‬يخزن الجهاز عادة نسخة يف الذاكرة من التكوين أثناء التشغيل‪ ،‬وتكوين منفصل عل وحدة تخزين غب‬
‫ن‬ ‫‪Network Device‬‬ ‫‪.002 T1602‬‬
‫للمهاجمي فحص ملفات التكوين للكشف عن معلومات حول الشبكة المستهدفة‬ ‫مستقرة للتحميل بعد إعادة ضبط الجهاز‪ .‬يمكن‬
‫ً‬ ‫ر‬ ‫‪Configuration‬‬
‫وتخطيطها‪ ،‬وجهاز الشبكة وبرامجه‪ ،‬أو تحديد الحسابات وبيانات االعتماد الشعية الستخدامها الحقا‪.‬‬
‫‪Dump‬‬
‫ن‬ ‫البيانات المتوفرة ن يف‬
‫ه أدوات تسمح بتخزين المعلومات‪،‬‬
‫المهاجمي فن‬ ‫قد ًيستفيد المهاجمي من مستودعات البيانات الستخراج المعلومات القيمة‪ .‬مستودعات البيانات ي‬ ‫المستودعات ‪Data /‬‬
‫ن‬ ‫ر‬
‫الت قد تساعد‬ ‫ن‬ ‫ن‬
‫ي‬ ‫عادة لتسهيل التعاون أو مشاركة المعلومات بي المستخدمي‪ ،‬ويمكن تخزين مجموعة متنوعة من البيانات ي‬ ‫‪from Information‬‬
‫‪T1213‬‬
‫ر‬
‫المباش إىل المعلومات الهدف‪.‬‬ ‫أهداف أخرى‪ ،‬أو الوصول‬
‫‪Repositories‬‬
‫جنبا إىل جنب مع‬ ‫ن‬
‫غالبا ما توجد ف بيئات التطوير ً‬
‫المهاجمي من مستودعات ‪ Confluence‬الستخراج المعلومات القيمة‪ً .‬‬‫ن‬ ‫قد يستفيد‬
‫ي‬
‫‪ ،Atlassian JIRA‬يتم استخدام ‪ Confluence‬بشكل عام لتخزين الوثائق المتعلقة بالتنمية‪ ،‬ومع ذلك‪ ،‬قد تحتوي بشكل عام عل فئات‬ ‫مذكرة ‪Confluence /‬‬ ‫‪.001 T1213‬‬
‫أكب ً‬
‫تنوعا من المعلومات المفيدة‪.‬‬ ‫ر‬
‫المهاجمي من مستودع ‪ SharePoint‬كمصدر الستخراج المعلومات القيمة‪ً .‬‬
‫غالبا ما يحتوي ‪ SharePoint‬عل معلومات‬ ‫ن‬ ‫قد يستفيد‬
‫نظام ‪Sharepoint /‬‬ ‫‪.002 T1213‬‬
‫مفيدة للمهاجم للتعرف عل بنية ووظائف الشبكة واألنظمة الداخلية‪.‬‬
‫ن‬ ‫البيانات من النظام‬
‫المحل‪ ،‬مثل أنظمة الملفات أو قواعد البيانات المحلية‪ ،‬للعثور عل الملفات ذات األهمية‬
‫ي‬ ‫المهاجمي عن مصادر النظام‬ ‫قد يبحث‬
‫المحل ‪Data from /‬‬ ‫ي‬ ‫‪T1005‬‬
‫والبيانات الحساسة قبل عملية االستخراج‪.‬‬
‫‪Local System‬‬
‫ر‬
‫الت تهمهم‪ .‬يمكن جمع البيانات‬ ‫ر‬
‫الت قاموا باخباقها للعثور عل الملفات ي‬
‫ر‬ ‫ن‬
‫قد يبحث المهاجمي عن مشاركات الشبكة عل أجهزة الكمبيوتر ي‬ ‫البيانات المتوفرة ن يف‬
‫ر‬
‫الت يمكن‬ ‫ر‬ ‫ر‬ ‫مجلدات المشاركة ‪/‬‬
‫عب محركات أقراص الشبكة المشبكة(الدليل ن المشبك المضيف‪ ،‬خادم ملفات الشبكة‪ ،‬إلخ) ي‬ ‫الحساسة من أنظمة خارج الشبكة ر‬
‫‪T1039‬‬
‫‪.‬‬
‫الحاىل قبل تشيبها اىل خارج الشبكة قد تكون األوامر يف الطرفية التفاعلية قيد االستخدام‪ ،‬ويمكن استخدام‬
‫ي‬ ‫الوصول إليها من النظام‬ ‫‪Data from Network‬‬
‫الوظائف الشائعة داخل ‪ cmd‬لجمع المعلومات‪.‬‬ ‫‪Shared Drive‬‬
‫ر‬ ‫ر‬ ‫ر‬ ‫ن‬ ‫البيانات من وسائط‬
‫الت تهمهم‪ .‬يمكن‬
‫الت قاموا باخباقها للعثور عل الملفات ي‬
‫قد يبحث المهاجمي عن الوسائط القابلة لإلزالة المتصلة عل أجهزة الكمبيوتر ي‬
‫ر‬ ‫التخزين المتنقلة ‪Data /‬‬
‫جمع البيانات الحساسة من أي وسائط قابلة لإلزالة (محرك األقراص الضوئية ‪ ،‬ذاكرة ‪ ، USB‬إلخ) متصلة بالنظام المخبق قبل عملية‬ ‫‪T1025‬‬
‫‪from Removable‬‬
‫االستخراج‪ .‬قد تكون األوامر من الطرفية التفاعلية قيد االستخدام‪ ،‬ويمكن استخدام الوظائف الشائعة داخل ‪ cmd‬لجمع المعلومات‪.‬‬
‫‪Media‬‬
‫الت تم جمعها ن يف مسار مركزي أو مجلد قبل عملية تشيبها اىل خارج الشبكة‪ .‬يمكن االحتفاظ‬ ‫ر‬ ‫ن‬
‫قد يقوم نالمهاجمي بتنظيم البيانات ني‬ ‫البيانات المخزنة ‪/‬‬
‫بالبيانات يف ملفات منفصلة أو دمجها يف ملف واحد من خالل تقنيات مثل أرشفة البيانات ‪ .Archive‬يمكن استخدام األوامر الطرفية‬ ‫‪T1074‬‬
‫‪Data Staged‬‬
‫تجريت‪.‬‬
‫ري‬ ‫التفاعلية‪ ،‬ويمكن استخدام الوظائف الشائعة داخل ‪ cmd‬و ‪ bash‬لنسخ البيانات إىل موقع‬
‫المحل قبل عملية تشيبها اىل خارج الشبكة‪ .‬يمكن‬
‫ي‬ ‫الت تم جمعها ن يف موقع مركزي أو مجلد عل النظام‬ ‫ر‬ ‫ن‬
‫قد يقوم المهاجمي نبوضع البيانات ي‬ ‫ً‬
‫ن‬ ‫البيانات المخزنة محليا ‪/‬‬
‫‪.‬‬
‫االحتفاظ بالبيانات يف ملفات منفصلة أو دمجها يف ملف واحد من خالل تقنيات مثل أرشفة البيانات ‪ Archive‬يمكن استخدام األوامر‬ ‫‪.001 T1074‬‬
‫‪Staging Local Data‬‬
‫تجريت‪.‬‬
‫ري‬ ‫الطرفية التفاعلية‪ ،‬ويمكن استخدام الوظائف الشائعة داخل ‪ cmd‬و ‪ bash‬لنسخ البيانات إىل موقع‬
‫بي جهازين أو ر‬ ‫المهاجمي وضع أنفسهم ن‬
‫ن‬ ‫البيانات المخزنة عن بعد‬
‫أكب من األجهزة المتصلة بالشبكة باستخدام تقنية ‪)man-in-the-middle (MiTM‬‬ ‫قد يحاول‬
‫ن‬ ‫ن‬
‫لدعم سلوكيات المتابعة مثل التنصت ف الشبكة أو التالعب ف البيانات المنقولة‪ .‬من خالل إساءة استخدام ن‬ ‫‪Remote Data /‬‬ ‫‪.002 T1074‬‬
‫مبات بروتوكوالت الشبكات‬ ‫ي‬ ‫ي‬ ‫‪Staging‬‬
‫‪90‬‬
‫ً‬ ‫ن‬ ‫ر‬
‫المهاجمي جهازا عل االتصال‬ ‫يجب‬ ‫الت يمكنها تحديد تدفق حركة مرور الشبكة (مثل ‪ ARP‬و ‪ DNS‬و ‪ LLMNR‬وما إىل ذلك)‪ ،‬قد ر‬ ‫الشائعة ي‬
‫حت يتمكنوا من جمع المعلومات أو تنفيذ اهداف إضافية‪.‬‬ ‫من خالل نظام يتم التحكم فيه من ِقبل المهاجم ر‬
‫ر ن‬ ‫ر ن‬ ‫ن‬
‫ون عل بيانات حساسة‪ ،‬بما‬ ‫البيد اإللكب ي‬ ‫ون للمستخدم لجمع معلومات حساسة‪ .‬قد تحتوي رسائل ر‬ ‫البيد اإللكب ي‬ ‫المهاجمي ر‬ ‫قد يستهدف‬
‫ون ‪/‬‬‫ر ن‬ ‫نن‬
‫ون أو إعادة‬ ‫ن‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫الب‬
‫ر‬ ‫جمع‬ ‫ن‬
‫للمهاجمي‬ ‫يمكن‬ ‫‪.‬‬ ‫ن‬
‫للمهاجمي‬ ‫مفيدة‬ ‫تكون‬ ‫أن‬ ‫يمكن‬ ‫ر‬
‫والت‬ ‫الشخصية‪،‬‬ ‫المعلومات‬ ‫أو‬ ‫التجارية‬ ‫ار‬
‫ش‬ ‫ن يف ذلك األ‬ ‫البيد االلكب ي‬
‫تبيل ر‬
‫‪T1114‬‬
‫ي‬ ‫ي‬ ‫‪Email Collection‬‬
‫البيد أو العمالء‪.‬‬ ‫توجيهه من خوادم ر‬
‫ر ن‬ ‫الداخل ‪/‬‬ ‫البيد‬ ‫نن‬
‫تبيل ر‬
‫ر‬ ‫ن‬ ‫ي‬
‫ون للمستخدم عل األنظمة المحلية لجمع معلومات حساسة‪ .‬يمكن الحصول عل الملفات ي‬
‫الت‬ ‫البيد اإللكب ي‬ ‫المهاجمي ر‬ ‫قد يستهدف‬
‫‪Local Email‬‬ ‫‪.001 T1114‬‬
‫المحل للمستخدم‪ ،‬مثل تخزين ‪ Outlook‬أو ملفات ذاكرة التخزين المؤقت‪.‬‬ ‫النظام‬ ‫من‬ ‫ون‬ ‫ن‬ ‫ر‬
‫اإللكب‬ ‫يد‬ ‫الب‬ ‫بيانات‬ ‫تحتوي عل‬
‫ي‬ ‫ي‬ ‫ر‬
‫‪Collection‬‬
‫ن‬ ‫ر ن‬ ‫ن‬
‫المهاجمي استخدام قواعد إعادة‬ ‫ون لجمع المعلومات الحساسة‪ .‬قد ي‬
‫يسء‬ ‫البيد اإللكب ي‬ ‫المهاجمي بإعداد قواعد إعادة توجيه ر‬
‫ن‬
‫قد يقوم‬
‫ون لمراقبة أنشطة الضحية‪ ،‬وشقة المعلومات‪ ،‬واكتساب المزيد من المعلومات االستخبارية عن الضحية أو منظمة‬ ‫ر‬
‫البيد اإللكب ي‬ ‫توجيه ر‬
‫ن‬
‫للمستخدمي‬ ‫الضحية الستخدامها كجزء من عمليات استغالل أو عمليات أخرى‪ .‬يسمح ‪ Outlook‬و ‪)Outlook Web App (OWA‬‬ ‫البيد عن بعد ‪/‬‬ ‫نن‬
‫تبيل ر‬
‫لمستخدم أو‬
‫ي‬ ‫ون المختلفة‪ ،‬بما ن يف ذلك إعادة التوجيه إىل مستلم مختلف‪ .‬وبالمثل ‪ ،‬يمكن‬ ‫ر ن‬
‫البيد اإللكب ي‬ ‫بإنشاء قواعد علبة الوارد لوظائف ر‬ ‫‪Remote Email‬‬ ‫‪.002 T1114‬‬
‫عب واجهة ويب ‪ .Google Workspace‬يمكن إعادة توجيه الرسائل‬ ‫البيد ر‬‫مسؤوىل ‪ Workspace Google‬إعداد قواعد إعادة توجيه ر‬ ‫ي‬ ‫‪Collection‬‬
‫للمسؤولي ً‬
‫ن‬ ‫ن‬ ‫ن‬ ‫ن‬
‫أيضا إنشاء قواعد إعادة التوجيه لحسابات‬ ‫خارجيي‪ ،‬وال توجد قيود تحد من مدى هذه القاعدة‪ .‬يمكن‬ ‫داخليي أو‬ ‫مستلمي‬ ‫إىل‬
‫المستخدمي بنفس االعتبارات والنتائج‪.‬‬ ‫ن‬
‫ً‬ ‫ن‬
‫المهاجمي طرقا لجمع مدخالت المستخدم للحصول عل بيانات الحسابات أو جمع المعلومات‪ .‬أثناء االستخدام العادي‬ ‫قد يستخدم‬
‫للنظام‪ً ،‬‬ ‫البيد ‪/‬‬
‫قواعد تمرير ر‬
‫غالبا ما يوفر المستخدمون بيانات اعتماد لمواقع مختلفة ‪ ،‬مثل صفحات أو بوابات تسجيل الدخول أو مربعات حوار النظام‪ .‬قد‬
‫‪Email Forwarding‬‬ ‫‪.003 T1114‬‬
‫تكون آليات الجمع ا لمدخالت شفافة للمستخدم (مثل ربط واجهة برمجة تطبيقات بيانات الحسابات) أو تعتمد عل خداع المستخدم‬
‫‪Rule‬‬
‫لتقديم مدخالت فيما يعتقدون أنه خدمة أصلية (مثل ‪.)Portal Capture Web‬‬
‫‪.‬‬
‫عباض بيانات االعتماد أثناء قيام المستخدم بكتابتها من المحتمل أن يتم‬ ‫المهاجمي بتسجيل نضبات مفاتيح المستخدم ال ر‬ ‫ن‬ ‫قد يقوم‬
‫تسجيل وجمع‬
‫استخدام ‪ Keylogging‬للحصول عل بيانات حسابات المستخدم لفرص وصول جديدة عندما ال تكون عملية ‪ Dumping‬بيانات‬
‫اعباض نضبات المفاتيح عل النظام ر‬ ‫حسابات نظام التشغيل فعالة‪ ،‬وقد تتطلب من المهاجم ر‬ ‫المدخالت ‪Input /‬‬ ‫‪T1056‬‬
‫لفبة طويلة من الوقت قبل التمكن من‬
‫‪Capture‬‬
‫التقاط بيانات الحسابات المستخدم بنجاح‪.‬‬
‫العباض بيانات حسابات المستخدم أثناء قيامه بكتابتها‪ .‬من المحتمل أن يتم‬ ‫المهاجمي بتسجيل نضبات مفاتيح المستخدم ر‬ ‫ن‬ ‫قد يقوم‬
‫استخدام ‪ Keylogging‬للحصول عل بيانات حسابات المستخدم لفرص وصول جديدة عندما ال تكون عملية ال‪ Dumping‬بيانات‬ ‫تسجيل نضبات المفاتيح‬
‫اعباض نضبات المفاتيح عل النظام ر‬ ‫حسابات مستخدم نظام التشغيل فعالة‪ ،‬وقد تتطلب من المهاجم ر‬ ‫‪.001 T1056‬‬
‫لفبة طويلة من الوقت قبل التمكن‬ ‫‪Keylogging /‬‬
‫ن‬
‫المستخدمي بنجاح‪.‬‬ ‫من التقاط بيانات حسابات‬
‫ن‬
‫المهاجمي مكونات واجهة المستخدم الرسومية ‪ GUI‬لنظام التشغيل الشائعة لمطالبة المستخدمي ببيانات حسابات الوصول‬ ‫ن‬ ‫يحاك‬ ‫قد‬
‫ن‬ ‫ي‬ ‫تسجيل واجهة‬
‫الحاىل‪ ،‬فمن الشائع‬ ‫المستخدم‬ ‫سياق‬ ‫ف‬ ‫الموجودة‬ ‫غب‬ ‫إضافية‬ ‫ات‬‫ز‬‫امتيا‬ ‫إىل‬ ‫تحتاج‬ ‫الت‬ ‫ر‬ ‫امج‬ ‫الب‬
‫ر‬ ‫تنفيذ‬ ‫يتم‬ ‫عندما‬ ‫‪.‬‬ ‫وعة‬ ‫مش‬ ‫مع مطالبة تبدو ر‬
‫ي‬ ‫ي‬ ‫ي‬ ‫التطبيقات ‪GUI /‬‬ ‫‪.002 T1056‬‬
‫لنظام التشغيل مطالبة المستخدم ببيانات حساب الوصول المناسبة لتفويض االمتيازات للمهمة (عل سبيل المثال‪ :‬تجاوز التحكم ن يف‬
‫‪Input Capture‬‬
‫حساب المستخدم)‪.‬‬
‫المهاجمي بتثبيت برمجية عل بوابات خارجية‪ ،‬مثل صفحة تسجيل الدخول إىل ‪ ،VPN‬اللتقاط ونقل بيانات حسابات الوصول‬ ‫ن‬ ‫قد يقوم‬
‫ر‬ ‫ن‬ ‫‪Web Portal‬‬
‫‪.‬‬
‫للمستخدمي الذين يحاولون تسجيل الدخول إىل الخدمة عل سبيل المثال‪ ،‬قد تسجل صفحة تسجيل الدخول المخبقة بيانات حساب‬ ‫‪.003 T1056‬‬
‫‪Capture‬‬
‫المستخدم قبل تسجيل دخول المستخدم إىل الخدمة‪.‬‬
‫‪91‬‬
‫المهاجمي بوظائف واجهة برمجة تطبيقات ‪ )Windows (API‬لجمع بيانات حسابات الوصول للمستخدم‪ .‬قد تلتقط آليات‬ ‫ن‬ ‫قد يرتبط‬
‫الربط الضارة استدعاءات واجهة برمجة التطبيقات ‪ API‬ر‬ ‫شقة بيانات ‪API /‬‬
‫الت تتضمن معلمات تكشف عن بيانات حسابات الوصول لمصادقة المستخدم‪.‬‬ ‫ي‬
‫الت تتضمن المعلمات ر‬
‫عل عكس ‪ ،Keylogging‬تركز هذه التقنية بشكل خاص عل وظائف ‪ API‬ر‬ ‫‪Credential API‬‬ ‫‪.004 T1056‬‬
‫الت تكشف عن بيانات حسابات‬ ‫ي‬ ‫ي‬ ‫‪Hooking‬‬
‫المستخدم‪.‬‬
‫ن‬
‫قد يرتبط المهاجمي بوظائف واجهة برمجة تطبيقات ‪ )Windows (API‬لجمع بيانات حسابات المستخدم‪ .‬قد تلتقط آليات الربط‬ ‫ر‬
‫اعباض البيانات من‬
‫الت تتضمن معلمات تكشف عن بيانات حسابات مصادقة المستخدم‪ .‬عل عكس ‪ ،Keylogging‬تركز هذه‬ ‫ر‬ ‫خالل المتصفح ‪Man /‬‬
‫الضارة استدعاءات ‪ API‬ي‬ ‫‪T1185‬‬
‫الت تكشف عن بيانات حسابات المستخدم‪.‬‬ ‫ر‬ ‫ر‬
‫الت تتضمن المعلمات ي‬‫التقنية بشكل خاص عل وظائف ‪ API‬ي‬ ‫‪the Browser in‬‬
‫ر‬ ‫ن‬ ‫ن‬
‫للمهاجمي االستفادة من الثغرات األمنية والوظائف الرئيسية يف برنامج المتصفح لتغيب المحتوى وتعديل السلوك واعباض‬ ‫يمكن‬ ‫ا ر‬
‫عباض البيانات ‪/‬‬
‫‪T1557‬‬
‫المعلومات كجزء من تقنيات ‪.Man in The browser‬‬ ‫‪Man-in-the-Middle‬‬
‫ً‬ ‫ً‬ ‫ن‬ ‫‪LLMNR/NBT-NS‬‬
‫مصدرا موثوقا لتحليل االسم لفرض االتصال بنظام‬ ‫المهاجمي‬ ‫من خالل االستجابة لحركة مرور شبكة ‪ ، NBT-NS / LLMNR‬قد ينتحل‬
‫‪Poisoning and SMB‬‬ ‫‪.001 T1557‬‬
‫يتم التحكم فيه من قبل المهاجم‪ .‬يمكن استخدام هذا النشاط لجمع أو نقل مواد المصادقة‪.‬‬
‫‪Relay‬‬
‫أكب من األجهزة المتصلة بالشبكة‪ .‬يمكن استخدام هذا النشاط‬ ‫بي اتصال جهازين أو ر‬ ‫المهاجمي بروتوكول(‪ )ARP‬لوضع أنفسهم ن‬‫ن‬ ‫قد يسمم‬ ‫‪ARP Cache‬‬
‫ن‬ ‫ن‬ ‫ن‬ ‫‪.002 T1557‬‬
‫لتمكي سلوكيات المتابعة مثل التنصت يف الشبكة أو التالعب يف البيانات المنقولة‪.‬‬ ‫‪Poisoning‬‬
‫تضمي وظيفة التقاط الشاشة كمبةن‬ ‫ن‬ ‫ن‬
‫قد يحاول المهاجمي أخذ لقطات شاشة لسطح المكتب لجمع المعلومات عل مدار العملية‪ .‬قد يتم‬
‫ً‬ ‫ً‬ ‫تسجيل الشاشة ‪/‬‬
‫االخباق‪ .‬عادة ما يكون التقاط لقطة شاشة ممكنا من خالل األدوات المساعدة‬ ‫ر‬ ‫ألداة الوصول عن بعد المستخدمة ن يف عمليات ما بعد‬ ‫‪T1113‬‬
‫‪Screen Capture‬‬
‫األصلية أو استدعاءات واجهة برمجة التطبيقات ‪ ،‬مثل ‪ CopyFromScreen‬أو ‪ xwd‬أو ‪.screencapture‬‬
‫يمكن للمهاجم االستفادة من األجهزة الطرفية للكمبيوتر (عل سبيل المثال ‪ ،‬الكامبات المدمجة أو كامبات الويب) أو التطبيقات (مثل‬
‫خدمات مكالمات الفيديو) اللتقاط تسجيالت الفيديو بغرض جمع المعلومات‪ .‬يمكن ً‬ ‫تسجيل الفيديو ‪/‬‬
‫أيضا التقاط الصور من األجهزة أو التطبيقات‪ ،‬ن يف‬ ‫‪T1125‬‬
‫ً‬ ‫‪Video Capture‬‬
‫رفبات زمنية محددة‪ ،‬بدال من ملفات الفيديو‪.‬‬
‫‪92‬‬
‫التحكم والسيطرة ‪Command and Control /‬‬
‫التحكم والسيطرة‪ :‬يقوم المهاجم باستخدام وسائل متعددة لتحكم والسيطرة بالنظام المستهدف وتختلف التقنيات واألساليب المتبعة ن يف‬
‫المهاجمي باستخدام طرق متقدمة لمحاكات حركة المرور الطبيعية لتجنب عمليات الرصد واالكتشاف‪.‬‬ ‫ن‬ ‫هذه المرحلة‪ .‬وعادة ما يقوم‬
‫لك يقوم بإنشاء قناة مخفية لتحكم والسيطرة عل البنية التحتية‬ ‫ر‬
‫الت يستطيع المهاجم استخدامها ي‬
‫وهناك العديد من األساليب والتقنيات ي‬
‫وال يتم اكتشافها من قبل أجهزة وأنظمة وبرمجيات الحماية‪.‬‬
‫‪93‬‬
‫الفرع‬
‫التخف مع‬
‫ي‬
‫ن‬ ‫المهاجمي باستخدام بروتوكوالت ل‪ Application Layer‬لتجنب الكشف‪ /‬الحجب ن يف الشبكة عن طريق‬ ‫ن‬ ‫قد يتواصل‬ ‫برتوكوالت التطبيقات ‪/‬‬
‫بي العميل‬ ‫البوتوكول ن‬ ‫مرور‬ ‫كة‬‫حر‬ ‫ف‬ ‫ن‬ ‫مضمنة‬ ‫ا‬ ‫ً‬
‫غالب‬ ‫األوامر‬ ‫هذه‬ ‫ونتائج‬ ‫لألنظمة‪،‬‬ ‫بعد‬ ‫عن‬ ‫أوامر‬ ‫ن‬
‫تضمي‬ ‫سيتم‬ ‫‪.‬‬ ‫الحالية‬ ‫المرور‬ ‫حركة‬ ‫‪Application Layer‬‬ ‫‪T1071‬‬
‫ر‬ ‫ي‬
‫والخادم‪.‬‬ ‫‪Protocol‬‬
‫المهاجمي باستخدام بروتوكوالت ‪ Application Layer‬المرتبطة بحركة مرور الويب لتجنب الكشف ‪ /‬الحجب ن يف‬ ‫ن‬ ‫قد يتواصل‬
‫برتوكوالت الويب ‪Web /‬‬
‫غالبا مضمنة ن يف حركة مرور‬ ‫تضمي أوامر عن بعد لألنظمة‪ ،‬ونتائج هذه األوامر ً‬ ‫ن‬ ‫التخف مع حركة المرور الحالية‪ .‬سيتم‬ ‫ي‬
‫ن‬ ‫الشبكة من خالل‬ ‫‪.001 T1071‬‬
‫البوتوكول ن‬ ‫‪Protocols‬‬
‫بي العميل والخادم‪.‬‬ ‫ر‬
‫ن‬
‫المهاجمي باستخدام بروتوكوالت ‪ Application Layer‬المرتبطة بنقل الملفات لتجنب الكشف ‪ /‬الحجب يف الشبكة عن‬ ‫ن‬ ‫قد يتواصل‬ ‫بروتوكول نقل الملفات ‪/‬‬
‫البوتوكول‬ ‫ن‬ ‫تضمي أوامر عن بعد لألنظمة‪ ،‬ونتائج هذه األوامر ً‬ ‫ن‬ ‫التخف مع حركة المرور الحالية‪ .‬سيتم‬ ‫ن‬
‫غالبا مضمنة يف حركة مرور ر‬ ‫ي‬ ‫طريق‬ ‫‪File Transfer‬‬ ‫‪.002 T1071‬‬
‫بي العميل والخادم‪.‬‬ ‫ن‬ ‫‪Protocols‬‬
‫ون لتجنب الكشف ‪ /‬الحجب فن‬ ‫ر ن‬ ‫ن‬
‫ي‬ ‫ن‬ ‫البيد اإللكب ي‬ ‫المهاجمي باستخدام بروتوكوالت ‪ Application Layer‬المرتبطة بتسليم ر‬ ‫قد يتواصل‬
‫البيد ‪Mail‬‬
‫بروتوكول ر‬
‫ً‬ ‫ن‬
‫التخف مع حركة المرور الحالية‪ .‬سيتم تضمي أوامر عن بعد لألنظمة‪ ،‬ونتائج هذه األوامر غالبا مضمنة يف حركة مرور‬ ‫ن‬ ‫طريق‬ ‫عن‬ ‫الشبكة‬ ‫‪.003 T1071‬‬
‫ي‬ ‫‪Protocols‬‬
‫بي العميل والخادم‪.‬‬ ‫البوتوكول ن‬ ‫ر‬
‫المهاجمي باستخدام بروتوكول ‪ Application Layer‬من خالل نظام أسماء النطاقات (‪ )DNS‬لتجنب الكشف ‪ /‬الحجب‬ ‫ن‬ ‫قد يتواصل‬
‫برتوكول اسماء النطاقات ‪/‬‬
‫غالبا مضمنة ن يف حركة‬ ‫تضمي أوامر عن بعد لألنظمة‪ ،‬ونتائج هذه األوامر ً‬ ‫ن‬ ‫التخف مع حركة المرور الحالية‪ .‬سيتم‬‫ي‬
‫ن‬ ‫ن يف الشبكة عن طريق‬ ‫‪.004 T1071‬‬
‫البوتوكول ن‬ ‫‪DNS‬‬
‫بي العميل والخادم‪.‬‬ ‫مرور ر‬
‫االتصال من خالل‬
‫الت ُيحتمل أن تكون غب متصلة بالشبكة باستخدام‬ ‫ر‬ ‫ر‬ ‫ن‬
‫يمكن المهاجمي تنفيذ األوامر والتحكم بي األنظمة المخبقة عل الشبكات ر ي‬
‫ن‬
‫ن‬ ‫الوسائط القابلة لالزالة ‪/‬‬
‫وسائط قابلة لإلزالة لنقل األوامر من نظام إىل نظام‪ .‬لنجاح الهجمة يجب اخباق كال النظامي‪ ،‬مع احتمال تعرض النظام المتصل‬
‫ن‬ ‫ً‬ ‫ر‬ ‫ر‬ ‫‪Communication‬‬ ‫‪T1092‬‬
‫عب الوسائط القابلة لإلزالة‪ .‬سيتم نقل األوامر والملفات‬ ‫والثان من خالل التنقل داخل الشبكة بواسطة النسخ ر‬ ‫ي‬ ‫لالخباق أوال‬ ‫باإلنبنت‬
‫باإلنبنت الذي يتمتع المهاجم بوصول ر‬ ‫ر‬ ‫‪Through Removable‬‬
‫مباش إليه‪.‬‬ ‫من النظام غب المتصل إىل النظام المتصل‬
‫‪Media‬‬
‫أكب صعوبة ن يف الكشف‪ .‬يمكن تشفب معلومات التحكم‬ ‫المهاجمي بتشفب البيانات لجعل محتوى حركة التحكم والسيطرة ر‬ ‫ن‬ ‫قد يقوم‬
‫البوتوكول الحالية ويتضمن‬‫ر‬ ‫بمواصفات‬ ‫البيانات‬ ‫ن‬
‫ترمب‬ ‫استخدام‬ ‫م‬ ‫ن‬
‫يلب‬‫ر‬ ‫قد‬ ‫‪.‬‬ ‫القياس‬ ‫انات‬ ‫البي‬ ‫تشفب‬ ‫نظام‬ ‫باستخدام‬ ‫)‬‫‪C2‬‬ ‫(‬ ‫والسيطرة‬ ‫تشفب البيانات ‪Data /‬‬
‫ي‬ ‫‪T1132‬‬
‫استخدام ‪ ASCII‬أو ‪ Unicode‬أو ‪ Base64‬أو ‪ MIME‬أو أنظمة تشفب ثنائية إىل نص أو رموز أخرى‪ .‬قد تعمل بعض أنظمة تشفب‬ ‫‪Encoding‬‬
‫البيانات ً‬
‫أيضا إىل ضغط البيانات‪ ،‬مثل ‪.gzip‬‬
‫أكب صعوبة فن‬
‫ترمب بيانات قياس لجعل محتوى حركة التحكم والسيطرة ر‬ ‫ن‬ ‫ن‬
‫المهاجمي بتشفب البيانات باستخدام نظام‬ ‫قد يقوم‬
‫ي‬ ‫ي‬
‫البوتوكول الحالية‪.‬‬ ‫ن‬ ‫ر‬
‫قياس يلبم بمواصفات ر‬ ‫بيانات‬ ‫تشفب‬ ‫نظام‬ ‫باستخدام‬ ‫)‬ ‫‪C2‬‬‫(‬ ‫والسيطرة‬ ‫التحكم‬ ‫معلومات‬ ‫تشفب‬ ‫يمكن‬ ‫‪.‬‬ ‫اكتشافه‬ ‫قياس ‪Standard /‬‬ ‫ن‬
‫ترمب‬
‫ي‬ ‫ي‬ ‫‪.001 T1132‬‬
‫تتضمن مخططات تشفب البيانات الشائعة ‪ ASCII‬و ‪ Unicode‬و ‪ hexadecimal‬و ‪ Base64‬و ‪ .MIME‬قد تؤدي بعض أنظمة تشفب‬ ‫‪Encoding‬‬
‫البيانات ً‬
‫أيضا إىل ضغط البيانات‪ ،‬مثل ‪.gzip‬‬
‫أكب صعوبة ن يف‬
‫ترمب بيانات غب قياس لجعل محتوى حركة التحكم والسيطرة ر‬
‫ي‬
‫ن‬ ‫ن‬
‫المهاجمي بتشفب البيانات باستخدام نظام‬ ‫قد يقوم‬
‫البوتوكول‬ ‫ر‬ ‫مواصفات‬ ‫عن‬ ‫يختلف‬ ‫قياس‬ ‫غب‬ ‫بيانات‬ ‫ن‬
‫ترمب‬ ‫نظام‬ ‫باستخدام‬ ‫)‬ ‫‪C2‬‬‫(‬ ‫والسيطرة‬ ‫التحكم‬ ‫معلومات‬ ‫تشفب‬ ‫يمكن‬ ‫‪.‬‬ ‫اكتشافه‬ ‫قياس ‪Non- /‬‬ ‫ن‬
‫ترمب غب‬
‫ي‬ ‫ي‬ ‫‪.002 T1132‬‬
‫ن‬ ‫ن‬
‫الحالية‪ .‬قد تستند مخططات ترمب البيانات غب القياسية إىل أنظمة تشفب البيانات القياسية أو مرتبطة بها‪ ،‬مثل ترمب ‪ Base64‬المعدل‬ ‫‪Standard Encoding‬‬
‫لنص رسالة طلب داخل بروتوكول ‪.HTTP‬‬
‫‪94‬‬
‫أكب صعوبة‪ .‬يتم إخفاء اتصاالت (‪' )C2‬ولكن ليس ن‬
‫بالضورة‬ ‫المهاجمي بتشويش حركة التحكم والسيطرة(‪ )C2‬لجعل اكتشافها ر‬ ‫ن‬ ‫قد يقوم‬
‫ً‬ ‫ن‬
‫أن تكون مشفرة' يف محاولة لجعل المحتوى أكب صعوبة يف اكتشافه أو فك تشفبه ولجعل طريقة االتصال أقل وضوحا وإخفاء األوامر‬ ‫ر‬ ‫ن‬ ‫تشفب وتعمية البيانات ‪/‬‬
‫‪T1001‬‬
‫البوتوكول‪ ،‬أو استخدام‬ ‫وعدم التمكن من رؤيتها‪ .‬يشمل ذلك العديد من الطرق‪ ،‬مثل إضافة البيانات غب المرغوب فيها إىل حركة مرور ر‬ ‫‪Data Obfuscation‬‬
‫الشعية‪.‬‬‫البوتوكوالت ر‬ ‫إخفاء المعلومات ‪ ،steganography‬أو انتحال صفة ر‬
‫ر‬
‫البوتوكوالت المستخدمة للتحكم والسيطرة لجعل عملية اكتشافه أكب صعوبة‪ .‬من خالل‬ ‫المهاجمي بيانات غب مهمة إىل ر‬ ‫ن‬ ‫قد يضيف‬
‫ن‬
‫البوتوكوالت المستخدمة للتحكم والسيطرة‪ ،‬يمكن للمهاجمي منع األساليب البسيطه لفك‬ ‫ن‬
‫إضافة بيانات عشوائية أو ال معت لها إىل ر‬ ‫البيانات الغب هامة ‪/‬‬
‫مسبقا بأحرف غب مهمة أو كتابة أحرف غب مهمة ن‬ ‫ً‬ ‫‪.001 T1001‬‬
‫بي‬ ‫تشفب أو تحليل حركة المرور بأي طريقة أخرى‪ .‬قد تتضمن األمثلة إلحاق البيانات‬ ‫‪Junk Data‬‬
‫األحرف المهمة‪.‬‬
‫أكب صعوبة‪ .‬يمكن‬ ‫المهاجمي تقنيات إخفاء المعلومات إلخفاء حركة مرور التحكم والسيطرة لجعل محاوالت اكتشافه ر‬ ‫ن‬ ‫قد يستخدم‬
‫الت يتم نقلها بي األنظمة‪ .‬يمكن استخدام هذه المعلومات‬‫ن‬ ‫ر‬ ‫ن‬ ‫اخفاء البيانات ‪/‬‬
‫‪ Steganographic‬إلخفاء البيانات يف الرسائل الرقمية ي‬ ‫استخدام تقنيات‬
‫‪.002 T1001‬‬
‫المخبقة‪ .‬ن يف بعض الحاالت ‪ ،‬يمكن استخدام تمرير الملفات المضمنة باستخدام تقنية إخفاء‬ ‫ر‬ ‫المخفية ن يف التحكم والسيطرة ن يف األنظمة‬ ‫‪Steganography‬‬
‫المعلومات‪ ،‬مثل ملفات الصور أو المستندات ‪ ،‬للتحكم والسيطرة‪.‬‬
‫المشوعة أو حركة مرور خدمة الويب إلخفاء نشاط التحكم والسيطرة وإحباط جهود‬ ‫البوتوكوالت ر‬ ‫المهاجمي صفة ر‬ ‫ن‬ ‫قد ينتحل‬ ‫البوتوكول ‪/‬‬
‫انتحال ر‬
‫للمهاجمي جعل حركة مرور التحكم والسيطرة‬ ‫ن‬ ‫المشوعة أو خدمات الويب‪ ،‬يمكن‬ ‫البوتوكوالت ر‬ ‫المحللي‪ .‬من خالل انتحال صفة ر‬ ‫ن‬ ‫‪Protocol‬‬ ‫‪.003 T1001‬‬
‫المشوعة‪.‬‬ ‫الخاصة بهم منسجمة مع حركة مرور الشبكة ر‬ ‫‪Impersonation‬‬
‫ديناميك اتصاالت بالبنية التحتية التحكم والسيطرة لتفادي االكتشاف والطرد من الشبكة‪ .‬يمكن تحقيق‬ ‫المهاجمي بشكل‬ ‫ن‬ ‫ينس‬ ‫قد ر‬
‫ن‬ ‫ي‬
‫البامج‬
‫لتلف اتصاالت ر‬ ‫ر‬ ‫ر‬ ‫ر‬ ‫ر‬ ‫ر‬ ‫االستجابة التلقائية ‪/‬‬
‫الت يستخدمها المهاجم ي‬ ‫الت تشبك يف خوارزمية مشبكة مع البنية التحتية ي‬ ‫البامج الضارة ي‬ ‫ذلك باستخدام ر‬
‫‪T1568‬‬
‫البامج‬ ‫ً‬
‫الضارة‪ .‬يمكن استخدام هذه الحسابات لضبط المعلمات ديناميكيا مثل اسم المجال أو عنوان ‪ IP‬أو رقم المنفذ الذي تستخدمه ر‬ ‫‪Dynamic Resolution‬‬
‫الضارة للتحكم والسيطرة‪.‬‬
‫المهاجمي ‪ Fast Flux DNS‬إلخفاء قناة التحكم والسيطرة خلف مجموعة من عناوين ‪ IP‬المتغبة بشعة والمرتبطة بدقة‬ ‫ن‬ ‫قد يستخدم‬
‫عال‪ ،‬باستخدام مجموعة من‬ ‫دد‬ ‫ر‬
‫بب‬ ‫تبديلها‬ ‫يتم‬ ‫والت‬ ‫ر‬ ‫لها‬ ‫مخصصة‬ ‫متعددة‬ ‫‪IP‬‬ ‫عناوين‬ ‫مع‬ ‫‪،‬‬ ‫‪FQDN‬‬ ‫تقنية‬ ‫هذه‬ ‫تستخدم‬ ‫‪.‬‬ ‫واحدة‬ ‫مجال‬ ‫‪Fast Flux DNS‬‬ ‫‪.001 T1568‬‬
‫ٍ‬ ‫ي‬
‫عناوين ‪ IP‬الخاصة ب ‪ robin‬و ‪ )Time-To-Live (TTL‬لسجل مورد ‪.DNS‬‬
‫ً‬ ‫ً‬ ‫ن‬
‫ديناميكيا لحركة مرور التحكم والسيطرة بدال من‬ ‫آىل (‪ )DGAs‬لتحديد مجال الوجهة‬ ‫قد يستفيد المهاجمي من توليد النطاقات بشكل ي‬ ‫آىل‬
‫توليد النطاقات بشكل ي‬
‫ن‬ ‫ن‬ ‫ر‬ ‫ن‬ ‫ن‬
‫االعتماد عل قائمة عناوين ‪ IP‬الثابتة أو المجاالت‪ .‬يتمب هذا بمبة أنه يجعل األمر أكب صعوبة عل المحللي يف حظر أو تتبع أو االطاحة‬ ‫‪Domain /‬‬
‫ً‬ ‫ر‬ ‫‪.002 T1568‬‬
‫البامج الضارة بحثا عن‬ ‫الت يمكن أن تتحقق منها ر‬ ‫بقناة التحكم والسيطرة‪ ،‬حيث من المحتمل أن يكون هناك آالف المجاالت ي‬ ‫‪Generation‬‬
‫التعليمات‪.‬‬ ‫‪Algorithms‬‬
‫الت يتم إرجاعها ن يف نتائج ‪ DNS‬لتحديد المنفذ وعنوان ‪ IP‬الذي يجب‬ ‫ي‬
‫المهاجمي بإجراء جمع بيانات اسماء النطاقات ر‬ ‫ن‬ ‫قد يقوم‬ ‫جمع بيانات اسماء‬
‫ً‬ ‫ً‬
‫الفعل الذي تم إرجاعه‪ .‬يمكن استخدام‬ ‫ي‬ ‫استخدامه للتحكم والسيطرة‪ ،‬بدال من االعتماد عل رقم منفذ محدد مسبقا أو عنوان ‪IP‬‬ ‫النطاقات ‪DNS /‬‬ ‫‪.003 T1568‬‬
‫حساب ‪ IP‬أو رقم المنفذ لتجاوز الحماية عند الخروج لقناة ‪.C2‬‬ ‫‪Calculation‬‬
‫ً‬ ‫ن‬
‫المهاجمي خوارزمية تشفب معروفة إلخفاء حركة التحكم والسيطرة بدال من االعتماد عل أي حماية متأصلة يوفرها‬ ‫قد يستخدم‬
‫تشفب القناة ‪/‬‬
‫بروتوكول االتصال‪ .‬عل الرغم من استخدام خوارزمية آمنة‪ ،‬قد تكون هذه التطبيقات عرضة للهندسة العكسية إذا تم تشفب المفاتيح‬ ‫‪T1573‬‬
‫‪Encrypted Channel‬‬
‫الشية أو إنشاؤها داخل ال ربامج الضارة‪/‬ملفات التكوين‪.‬‬
‫‪95‬‬
‫ً‬ ‫ن‬
‫المهاجمي خوارزمية تشفب متماثل معروفة إلخفاء حركة التحكم والسيطرة بدال من االعتماد عل أي حماية متأصلة يوفرها‬ ‫قد يستخدم‬
‫‪Symmetric‬‬
‫‪.‬‬
‫بروتوكول االتصال تستخدم خوارزميات التشفب المتماثل نفس المفتاح لتشفب النص العادي وفك تشفب النص المشفر تتضمن‬ ‫‪.‬‬ ‫‪.001 T1573‬‬
‫‪Cryptography‬‬
‫خوارزميات التشفب المتماثل الشائعة ‪ AES‬و ‪ DES‬و ‪ DES3‬و ‪ Blowfish‬و ‪.RC4‬‬
‫ً‬ ‫ن‬
‫المهاجمي خوارزمية معروفة للتشفب غب المتماثل إلخفاء حركة التحكم والسيطرة بدال من االعتماد عل أي حماية متأصلة‬ ‫قد يستخدم‬
‫ً‬
‫يوفرها بروتوكول االتصال‪ .‬يستخدم التشفب غب المتماثل ‪ ،‬المعروف أيضا باسم تشفب المفتاح العام‪ ،‬زوج مفاتيح لكل طرف‪ :‬األول‬
‫يعتب عام يمكن توزيعه للعامة واآلخر خاص‪ً .‬‬ ‫‪Asymmetric‬‬
‫نظرا لكيفية إنشاء المفاتيح‪ ،‬يقوم المرسل بتشفب البيانات باستخدام المفتاح العام‬ ‫ر‬ ‫‪.002 T1573‬‬
‫ر‬ ‫‪Cryptography‬‬
‫المتلف تشفب البيانات بمفتاحه الخاص‪ .‬هذا يضمن أن المستلم المقصود فقط يمكنه قراءة البيانات المشفرة‪.‬‬ ‫ي‬ ‫للمستقبل ويفك‬
‫تتضمن خوارزميات تشفب المفتاح العام الشائعة ‪ RSA‬و ‪.ElGamal‬‬
‫اخباق القناة األساسية أو تعذر الوصول إليها من أجل الحفاظ عل قناة‬ ‫المهاجمي قنوات اتصال بديلة أو احتياطية إذا تم ر‬ ‫ن‬ ‫قد يستخدم‬
‫‪Fallback Channels‬‬ ‫‪T1008‬‬
‫التحكم والسيطرة ولتجنب عتبات نقل البيانات‪.‬‬
‫خارج إىل بيئة تم االستيالء عليها‪ .‬يمكن نسخ الملفات من نظام يتم التحكم‬ ‫ير‬ ‫المهاجمي بنقل أدوات أو ملفات أخرى من نظام‬ ‫ن‬ ‫قد يقوم‬
‫الخارج من خالل قناة التحكم والسيطرة إلحضار األدوات إىل شبكة الضحية أو من خالل بروتوكوالت بديلة‬ ‫ر ي‬ ‫فيه عن طريق المهاجم‬
‫‪ .FTP‬يمكن ً‬ ‫‪Ingress Tool Transfer‬‬ ‫‪T1105‬‬
‫نظام ‪ Mac‬و ‪ Linux‬باستخدام أدوات مضمنة ن يف األنظمة مثل ‪ scp‬و‬ ‫ي‬ ‫عل‬ ‫الملفات‬ ‫نسخ‬ ‫ا‬‫أيض‬ ‫مثل‬ ‫باستخدام أداة أخرى‬
‫‪ rsync‬و ‪.sftp‬‬
‫ن‬
‫ينس المهاجمي مراحل متعددة للتحكم والسيطرة ليتم توظيفها يف ظل ظروف مختلفة أو لوظائف معينة‪ .‬قد يؤدي استخدام‬ ‫ن‬ ‫قد ر‬ ‫‪Multi-Stage‬‬
‫ر‬ ‫‪T1104‬‬
‫مراحل متعددة إىل تشويش قناة التحكم والسيطرة لجعل عملية االكتشاف عن التطفل أكب صعوبة‪.‬‬ ‫‪Channels‬‬
‫ن‬ ‫ن‬ ‫ن‬
‫بي المضيف وخادم ‪ C2‬أو بي المضيفي المصابي داخل‬ ‫المهاجمي بروتوكول ‪ non-application layer‬لالتصال ن‬ ‫ن‬ ‫قد يستخدم‬
‫البوتوكوالت الممكنة واسعة النطاق‪ .‬تتضمن األمثلة المحددة استخدام بروتوكوالت ‪ ،network layer‬مثل بروتوكول‬ ‫الشبكة‪ .‬قائمة ر‬
‫رسائل التحكم نف ر‬ ‫‪Non-Application‬‬
‫اإلنبنت (‪ ،)ICMP‬وبروتوكوالت طبقة النقل "‪ ،"transport layer‬مثل بروتوكول مخطط بيانات المستخدم‬ ‫ي‬ ‫‪T1095‬‬
‫‪Layer Protocol‬‬
‫البوتوكوالت النفقية ‪ ،‬مثل‬ ‫(‪ ،)UDP‬وبروتوكوالت ‪ ،session layer‬مثل ‪ ، )Socket Secure (SOCKS‬وكذلك إعادة التوجيه ‪ /‬ر‬
‫‪.)Serial over LAN (SOL‬‬
‫ً‬ ‫ن‬
‫عب المنفذ ‪ 8088‬أو المنفذ‬ ‫‪.‬‬
‫المهاجمي باستخدام بروتوكول ومنفذ غب مرتبطة مع بعضها عادة عل سبيل المثال‪ HTTPS ،‬ر‬ ‫قد يتواصل‬
‫ن‬ ‫المنافذ الغب متعارف عليها‬
‫‪ 587‬عل عكس المنفذ التقليدي ‪ .443‬قد يقوم المهاجمي بإجراء تغيبات عل المنفذ المتعارف عليه و المستخدم بواسطة‬ ‫‪T1571‬‬
‫‪Port Non-Standard /‬‬
‫البوتوكول لتجاوز الحماية أو تحليل االختالف أو تحليل بيانات الشبكة‪.‬‬ ‫ر‬
‫قد يقوم المهاجمي بنقل اتصاالت الشبكة الخاصة من وإىل نظام الضحية ضمن بروتوكول منفصل لتجنب الكشف أو حماية الشبكة أو‬ ‫ن‬
‫ي الوصول إىل أنظمة ال يمكن الوصول إليها بأي طريقة أخرى‪ .‬يتضمن االتصال الخاص تغليف بروتوكول داخل بروتوكول آخر‪ .‬قد‬ ‫لتمك ن‬
‫ن‬ ‫برتوكوالت النقل الخاصة ‪/‬‬
‫يخف هذا السلوك حركة المرور البيانات الضارة عن طريق المزج مع حركة المرور الحالية أو توفب طبقة خارجية من التشفب (عل غرار‬ ‫ي‬ ‫‪T1572‬‬
‫ر‬ ‫ن‬ ‫ً‬ ‫‪Tunneling Protocol‬‬
‫الت لن تصل إىل وجهتها المقصودة لوال ذلك ‪ ،‬مثل ‪ SMB‬أو‬ ‫‪ .)VPN‬يمكن للنفق أو النقل الخاص أيضا تمكي توجيه حزم الشبكة ي‬
‫ر‬
‫عب اإلنبنت‪.‬‬
‫‪ RDP‬أو حركة مرور أخرى تتم حجبها بواسطة أجهزة الشبكة أو ال يتم توجيهها ر‬
‫بي األنظمة أو العمل كوسيط التصاالت الشبكة إىل خادم التحكم‬ ‫المهاجمي وكيل اتصال لتوجيه حركة مرور الشبكة ن‬ ‫ن‬ ‫قد يستخدم‬
‫الت تتيح إعادة توجيه حركة المرور من‬ ‫ر‬ ‫األدوات‬ ‫من‬ ‫العديد‬ ‫توجد‬ ‫‪.‬‬ ‫المستخدمة‬ ‫التحتية‬ ‫ببنيتهم‬ ‫ة‬ ‫ر‬
‫المباش‬ ‫االتصاالت‬ ‫لتجنب‬ ‫والسيطرة‬
‫ي‬ ‫الوكيل ‪Proxy /‬‬ ‫‪T1090‬‬
‫ن‬
‫المهاجمي هذه األنواع من الوكالء‬ ‫خالل الوكالء أو إعادة توجيه المنفذ‪ ،‬بما ن يف ذلك ‪ HTRAN‬و ‪ ZXProxy‬و ‪ .ZXPortMap‬يستخدم‬
‫المبامنة‪ ،‬وتوفب المرونة ن يف مواجهة أي فقدان ن يف االتصال‪،‬‬
‫إلدارة اتصاالت التحكم والسيطرة‪ ،‬وتقليل عدد اتصاالت الشبكة الخارجية ر ن‬
‫‪96‬‬
‫معا عدة وكالء إلخفاء مصدر حركة المرور بيانات‬ ‫المهاجمي ً‬
‫ن‬ ‫بي الضحايا لتجنب الشك‪ .‬قد يربط‬ ‫أو تجاوز االتصاالت الموثوقة القائمة ن‬
‫الضارة‪.‬‬
‫ر‬ ‫ن‬ ‫ر‬ ‫ن‬ ‫ن‬ ‫ً‬ ‫ً‬ ‫ن‬
‫قد يستخدم المهاجمي وكيال داخليا لتوجيه حركة التحكم والسيطرة بي نظامي أو أكب يف بيئة تم أخباقها‪ .‬توجد العديد من األدوات‬
‫الت تتيح إعادة توجيه حركة المرور من خالل الوكالء أو إعادة توجيه المنفذ‪ ،‬بما ن يف ذلك ‪ HTRAN‬و ‪ ZXProxy‬و ‪.ZXPortMap‬‬ ‫ي‬
‫ر‬
‫ن‬ ‫ر‬ ‫ر‬ ‫ن‬ ‫الداخل ‪/‬‬
‫ي‬ ‫الوكيل‬
‫يستخدم الخصوم وكالء داخليي إلدارة اتصاالت التحكم والسيطرة داخل بيئة مخبقة‪ ،‬لتقليل عدد اتصاالت الشبكة الخارجية المبامنة‬ ‫‪.001 T1090‬‬
‫‪ ،‬لتوفب المرونة نف مواجهة أي فقدان نف االتصال‪ ،‬أو تجاوز االتصاالت الموثوقة الحالية ن‬ ‫‪Internal Proxy‬‬
‫بي األنظمة المصابة لتجنب الشك‪ .‬قد‬ ‫ي‬ ‫ي‬
‫تستخدم اتصاالت الوكيل الداخلية بروتوكوالت شبكات نظب إىل نظب (‪ )p2p‬الشائعة‪ ،‬مثل ‪ ،SMB‬لالندماج بشكل أفضل مع البيئة‪.‬‬
‫ً‬ ‫ً‬
‫خارجيا للعمل كوسيط التصاالت الشبكة إىل خادم التحكم والسيطرة لتجنب االتصاالت المبا رشة ببنيتهم‬ ‫ن‬
‫المهاجمي وكيال‬ ‫قد يستخدم‬
‫ن‬
‫الت تتيح إعادة توجيه حركة المرور من خالل الوكالء أو إعادة توجيه المنفذ‪ ،‬بما يف ذلك‬ ‫التحتية المستخدمة‪ .‬توجد العديد من األدوات ر‬ ‫الخارج ‪/‬‬
‫ي‬ ‫ر ي‬ ‫الوكيل‬
‫‪.002 T1090‬‬
‫المهاجمي هذه األنواع من الوكالء إلدارة اتصاالت التحكم والسيطرة‪ ،‬باإلضافة لتوفب‬ ‫ن‬ ‫‪ HTRAN‬و ‪ ZXProxy‬و ‪ .ZXPortMap‬يستخدم‬ ‫‪External Proxy‬‬
‫المرونة ن يف مواجهة أي فقدان ن يف االتصال‪ ،‬أو لتجاوز مسارات االتصاالت الموثوقة الحالية لتجنب االكتشاف‪.‬‬
‫عادة ما يكون المدافع ً‬ ‫ً‬ ‫ن‬
‫قادرا عل تحديد آخر حركة مرور‬ ‫المهاجمي عدة وكالء‪.‬‬ ‫إلخفاء مصدر حركة مرور البيانات الضارة‪ ،‬قد يربط‬
‫ن‬ ‫ً‬
‫الت تم اجتيازها قبل أن يدخل الشبكة؛ قد يكون المدافع قادرا أو غب قادر عل تحديد أي وكالء سابقي قبل وكيل آخر قفزة‬ ‫ر‬
‫للوكيل ي‬
‫ر‬
‫األصل لحركة المرور الضارة أكب صعوبة من خالل مطالبة المدافع بتتبع حركة المرور الضارة‬ ‫تمت‪ .‬تجعل هذه التقنية تحديد المصدر‬ ‫‪Multi-hop Proxy‬‬ ‫‪.003 T1090‬‬
‫ي‬
‫ن‬
‫من خالل عدة وكالء لتحديد مصدرها‪ .‬نوع معي من هذا السلوك هو استخدام شبكات ‪ ، onoin routing‬مثل شبكة ‪ TOR‬المتاحة‬
‫للعامة‪.‬‬
‫الت‬ ‫المهاجمي من مخططات الموجه( ‪ )Routing Schemes‬نف شبكات توصيل المحتوى (‪ )CDNs‬والخدمات األخرى ر‬ ‫ن‬ ‫يستفيد‬ ‫قد‬
‫ي‬ ‫ي‬
‫عب ‪ .HTTPS‬تتضمن ‪Domain fronting‬‬ ‫تستضيف مجاالت متعددة إلخفاء الوجهة المقصودة لحركة مرور ‪ HTTPS‬أو حركة المرور ر‬
‫النطاقي من نفس ‪ ، CDN‬فقد‬ ‫ن‬ ‫استخدام أسماء نطاقات مختلفة ن يف حقل ‪ SNI‬لرأس ‪ TLS‬والحقل المضيف ل ‪ .HTTP‬إذا تم تقديم كال‬
‫‪Domain Fronting‬‬ ‫‪.004 T1090‬‬
‫يقوم ‪ CDN‬بالتوجيه إىل العنوان المحدد ن يف ‪ HTTP‬بعد إلغاء التفاف رأس ‪ .TLS‬يتم استخدام أحد أشكال التقنية واجهة‬
‫فارغا؛ قد يسمح هذا للواجهة بالعمل ر‬ ‫ً‬
‫حت عندما تحاول ‪ CDN‬التحقق من تطابق حقول‬ ‫"‪ ، "domainless‬حقل ‪ SNI‬الذي تم تركه‬
‫‪ SNI‬و ‪( Host HTTP‬إذا تم تجاهل حقول ‪ SNI‬الفارغة)‪.‬‬
‫قد يستخدم المهاجم برامج رشعية للوصول لسطح المكتب والوصول عن ُبعد‪ ،‬مثل ‪ Team Viewer‬و ‪ Go2Assist‬و ‪ LogMein‬و‬
‫ُ‬ ‫للبمجيات عن‬
‫الوصول ر‬
‫‪ AmmyyAdmin‬وغبها‪ ،‬إلنشاء قناة تفاعلية للتحكم والسيطرة الستهداف األنظمة داخل الشبكات‪ .‬تستخدم هذه الخدمات بشكل‬
‫ُ‬ ‫بعد ‪Remote Access /‬‬ ‫‪T1219‬‬
‫الفت‪ ،‬وقد ُيسمح بها من خالل سياسة التحكم ن يف التطبيقات داخل البيئة‪ .‬تستخدم أدوات الوصول عن بعد مثل‬
‫ُ‬ ‫ن‬
‫كبامج للدعم ي‬ ‫شائع ر‬
‫الت يشيع استخدامها من قبل المهاجمي‪.‬ن‬ ‫الشعية األخرى ر‬ ‫بالبامج ر‬ ‫‪Software‬‬
‫ي‬ ‫‪ VNC‬و ‪ Ammyy‬و ‪ Teamviewer‬بشكل متكرر عند مقارنتها ر‬
‫المهاجمي ‪ Traffic Signaling‬إلخفاء المنافذ المفتوحة أو غبها من الوظائف الضارة المستخدمة للبقاء ن يف الشبكة أو‬ ‫ن‬ ‫قد يستخدم‬
‫التحكم والسيطرة تتضمن ‪ Traffic Signaling‬استخدام القيمة السحرية أو تسلسل يجب إرساله إىل النظام إلطالق استجابة خاصة‪،‬‬ ‫‪.‬‬
‫مثل فتح منفذ مغلق أو لتنفيذ مهمة ضارة‪ .‬إرسال سلسلة من الحزم بخصائص معينة قبل فتح المنفذ تتيح للمهاجم استخدامه ن يف‬
‫ً‬ ‫ً‬ ‫‪Traffic Signaling‬‬ ‫‪T1205‬‬
‫التحكم والسيطرة‪ .‬عادة ما تتكون هذه السلسلة من الحزم من محاوالت توصيل بتسلسل محدد مسبقا من المنافذ المغلقة (مثل ‪Port‬‬
‫أعالما غب عادية أو سالسل محددة أو خصائص فريدة أخرى‪ .‬بعد اكتمال التسلسل ‪ ،‬قد يتم فتح‬ ‫ً‬ ‫‪ ، )Knocking‬ولكن يمكن أن تتضمن‬
‫ً‬
‫منفذ بواسطة جدار الحماية الخاص بالمضيف‪ ،‬ولكن يمكن أيضا تنفيذه بواسطة برنامج مخصص‪.‬‬
‫‪97‬‬
‫المهاجمي طريقة ‪ Porting Knocking‬إلخفاء المنافذ المفتوحة المستخدمة للبقاء ن يف الشبكة أو للتحكم والسيطرة‪.‬‬ ‫ن‬ ‫قد يستخدم‬
‫ً‬ ‫ً‬ ‫ن‬
‫‪.‬‬
‫لتمكي منفذ‪ ،‬يرسل المهاجم سلسلة من محاوالت لالتصال إىل منافذ مغلقة تم تحديدها مسبقا بعد اكتمال التسلسل‪ ،‬غالبا ما يتم‬ ‫‪Port Knocking‬‬ ‫‪.001 T1205‬‬
‫ً‬
‫فتح منفذ بواسطة جدار حماية المضيف‪ ،‬ولكن يمكن أيضا تنفيذه بواسطة برنامج مخصص‪.‬‬
‫مخبق‪ .‬قد توفر مواقع الويب الشعبية‬ ‫المهاجمي خدمة ويب خارجية رشعية قائمة كوسيلة لنقل البيانات إىل‪ /‬من نظام ر‬ ‫ن‬ ‫قد يستخدم‬
‫ن‬ ‫ً‬ ‫ً‬
‫الت تعمل كآلية ل ‪ C2‬قدرا كببا من التغطية نظرا الحتمال اتصال المضيفي داخل الشبكة بهم بالفعل‪ .‬إن‬ ‫ً‬ ‫ر‬ ‫خدمات الويب ‪Web /‬‬
‫االجتماع ي‬
‫ر ي‬ ‫ووسائل التواصل‬
‫‪T1102‬‬
‫المهاجمي االختباء ن يف الضوضاء المتوقعة‪.‬‬
‫ن‬ ‫الت تقدمها ‪ Google‬أو ‪ ، Twitter‬يسهل عل‬ ‫ي‬
‫المشبكة ‪ ،‬مثل تلك ر‬ ‫الخدمات‬ ‫استخدام‬ ‫‪Service‬‬
‫ً‬ ‫ن‬ ‫ً‬
‫إضافيا من الحماية‪.‬‬ ‫يستخدم مقدمو خدمات الويب عادة تشفب ‪ ، SSL / TLS‬مما يمنح المهاجمي مستوى‬
‫الت تشب إىل بنية تحتية إضافية للتحكم والسيطرة‬ ‫ر‬ ‫ر‬ ‫ن‬
‫قد يستخدم المهاجمي خدمة ويب ُخارجية موجودة وشعية الستضافة المعلومات ي‬
‫المهاجمي محتوى‪ ،‬يعرف باسم محلل اإلسقاط '‪ ، 'dead drop resolver‬عل خدمات الويب مع نطاقات أو عناوين‬ ‫ن‬ ‫(‪ .)C2‬قد ر‬
‫ينش‬ ‫‪Dead Drop Resolver‬‬ ‫‪.001 T1102‬‬
‫‪ IP‬مضمنة (وغالبا ما تكون مشفرة ‪/‬مشوهة)‪ .‬بمجرد اإلصابة‪ ،‬سيتواصل الضحايا مع هؤالء المحللون ويعيدون توجيههم‪.‬‬ ‫ً‬
‫عب قناة خدمة الويب‪.‬‬ ‫مخبق واستالمه ر‬ ‫وشعية كوسيلة إلرسال أوامر إىل نظام ر‬ ‫المهاجمي خدمة ويب خارجية موجودة ر‬ ‫ن‬ ‫قد يستخدم‬
‫‪.‬‬
‫االجتماع الستضافة تعليمات التحكم والسيطرة (‪ )C2‬يمكن‬ ‫ر‬
‫قد تستفيد األنظمة المخبقة من مواقع الويب الشائعة ووسائل التواصل‬ ‫ن‬
‫الطرفي ‪/‬‬ ‫االتصال من‬
‫ي‬
‫عب قناة خدمة الويب‪ .‬قد يحدث الرجوع بعدة طرق‪،‬‬ ‫لهذه األنظمة المصابة بعد ذلك إرسال المخرجات من هذه األوامر مرة أخرى ر‬ ‫‪Bidirectional‬‬ ‫‪.002 T1102‬‬
‫ً‬
‫بنش تعليق عل منتدى‪ ،‬أو‬ ‫المخبق ر‬ ‫ر‬ ‫اعتمادا عل خدمة الويب المستخدمة‪ .‬عل سبيل المثال ‪ ،‬قد تأخذ حركة الرجوع ن يف قيام النظام‬ ‫‪Communication‬‬
‫لمشوع تطوير‪ ،‬أو تحديث مستند مستضاف عل خدمة ويب‪ ،‬أو عن طريق إرسال تغريدة‪.‬‬ ‫إصدار طلب سحب ر‬
‫تلف مخرجات قادمة من‬ ‫ر‬ ‫ر‬ ‫ر‬ ‫ن‬
‫قد يستخدم المهاجمي خدمة ويب خارجية رموجودة وشعية كوسيلة إلرسال أوامر إىل نظام مخبق دون ي‬
‫االجتماع الستضافة تعليمات التحكم‬ ‫ي‬ ‫خالل خدمة الويب‪ .‬قد تستفيد األنظمة المخبقة من مواقع الويب الشائعة ووسائل التواصل‬ ‫االتصال من طرق واحد ‪/‬‬
‫ن‬
‫عب قناة ‪ C2‬مختلفة‪ ،‬بما يف ذلك إىل‬ ‫والسيطرة (‪ .)C2‬قد تختار هذه األنظمة المصابة إرسال المخرجات من تلك األوامر مرة أخرى ر‬ ‫‪One-Way‬‬ ‫‪.003 T1102‬‬
‫ُ‬ ‫ً‬
‫ن‬ ‫الت يرغب فيها‬ ‫ي‬
‫المخبقة أي مخرجات عل اإلطالق نف الحاالت ر‬
‫ي‬
‫ر‬ ‫خدمة ويب أخرى‪ .‬بدال من ذلك ‪ ،‬قد ال ترجع األنظمة‬ ‫‪Communication‬‬
‫ً‬
‫إرسال تعليمات إىل األنظمة وال يريدون ردا‪.‬‬
‫‪98‬‬
‫تشيب البيانات ‪Exfiltration /‬‬
‫ن‬
‫المهاجمي لشقة البيانات من شبكتك‪ .‬بمجرد أن يتم جمع البيانات غالبا يتم‬ ‫تشيب البيانات‪ :‬يتكون من عدة تقنيات قد يستخدمها‬
‫عب األرشفة أو التشفب‪ .‬ان التقنيات المستخدمة لتشيب البيانات لخارج‬‫حزمها‪/‬ضغطها لتفادي االكتشاف عندما يتم نقلها‪ .‬وذلك يتم أما ر‬
‫عب قناة التحكم والسيطرة )‪(C&C‬أو من خالل قناة أخرى وكذلك من المحتمل وضع قيود عل حجم النقل‪.‬‬ ‫ه بالغالب تتم ر‬‫الشبكة ي‬
‫‪99‬‬
‫الفرع‬
‫ن‬ ‫آىل ‪/‬‬
‫تشيب البيانات بشكل ي‬
‫المهاجمي بتشيب البيانات ‪ ،‬مثل المستندات الحساسة و الملفات ‪ ،‬من خالل استخدام عمليات مؤتمتة بعد جمعها‪.‬‬ ‫قد يقوم‬ ‫‪T1020‬‬
‫‪Exfiltration Automated‬‬
‫عب البنية التحتية للشبكة‬ ‫ن‬
‫المهاجمي من انعكاس حركة المرور ‪ traffic mirroring‬من أجل أتمتة تشيب البيانات ر‬ ‫قد يستفيد‬
‫ن‬ ‫ن‬ ‫البيانات المتكررة ‪Traffic /‬‬
‫‪.‬‬
‫المستهدفة تعد مبة انعكاس حركة المرور مبة مضمنة لبعض أجهزة الشبكة وتستخدم لتحليل الشبكة ويمكن تهيئتها لتكرار حركة‬ ‫‪.001 T1020‬‬
‫المرور وإعادة التوجيه إىل وجهة واحدة أو ر‬ ‫‪Duplication‬‬
‫أكب لتحليلها بواسطة محلل الشبكة أو جهاز مراقبة آخر‪.‬‬
‫ً‬
‫قد يقوم المهاجم بتشيب البيانات من خالل تجزئة البيانات اىل احجام موحدة بدال من تشيب الملفات كاملة أو من الممكن أن يحد‬ ‫نقل البيانات بواسطة احجام‬
‫لك ال يتم اكتشافها‪ .‬ويمكن استخدام هذا األسلوب لتجنب التنبيهات من‬ ‫ر‬ ‫محددة ‪Transfer Data /‬‬
‫الت تقل عن عتبات '‪ 'Threshold‬معينة ي‬ ‫من أحجام الحزم ي‬ ‫‪T1030‬‬
‫خالل مركز مراقبة بيانات الشبكة‪.‬‬ ‫‪Size Limits‬‬
‫ن‬ ‫تشيب البيانات بواسطة‬
‫عب بروتوكول مختلف عن بروتوكول قناة التحكم والسيطرة (‪)C&C‬الحالية‪ .‬يمكن‬
‫المهاجمي البيانات عن طريق تشيبها ر‬ ‫قد يشق‬
‫ً‬ ‫بروتوكول بديل ‪Exfiltration /‬‬ ‫‪T1048‬‬
‫ئيس‪.‬‬
‫أيضا إرسال البيانات إىل شبكة بديلة عن خادم التحكم والسيطرة الر ي‬ ‫‪Over Alternative Protocol‬‬
‫ن‬ ‫‪Exfiltration Over‬‬
‫عب بروتوكول شبكة مشفرة من نوع متماثل بخالف بروتوكول قناة التحكم و السيطرة‬ ‫المهاجمي البيانات عن طريق تشيبها ر‬ ‫قد يشق‬
‫ً‬ ‫‪Symmetric Encrypted‬‬ ‫‪.001 T1048‬‬
‫الرئيس‪.‬‬
‫ي‬ ‫والقيادة‬ ‫التحكم‬ ‫خادم‬ ‫عن‬ ‫بديلة‬ ‫شبكة‬ ‫إىل‬ ‫البيانات‬ ‫إرسال‬ ‫ا‬‫أيض‬ ‫يمكن‬ ‫‪.‬‬ ‫الموجودة‬
‫‪Non-C2 Protocol‬‬
‫عب بروتوكول شبكة مشفرة من النوع غب متماثل بخالف بروتوكول قناة التحكم‬ ‫المهاجمي البيانات من خالل تشيبها ر‬ ‫قد يشق‬
‫ً‬ ‫‪Asymmetric Encrypted‬‬ ‫‪.002 T1048‬‬
‫ئيس‪.‬‬
‫ي‬ ‫ر‬ ‫ال‬ ‫والسيطرة‬ ‫التحكم‬ ‫خادم‬ ‫عن‬ ‫بديلة‬ ‫شبكة‬ ‫إىل‬ ‫البيانات‬ ‫إرسال‬ ‫ا‬‫أيض‬ ‫يمكن‬ ‫‪.‬‬ ‫الموجودة‬ ‫والسيطرة‬
‫عب بروتوكول شبكة غب مشفرة بخالف بروتوكول قناة التحكم والسيطرة الموجودة‪.‬‬ ‫المهاجمي البيانات عن طريق تشيبها ر‬ ‫قد يشق‬
‫يمكن ً‬ ‫‪Unencrypted/Obfuscated‬‬ ‫‪.003 T1048‬‬
‫ئيس‪.‬‬
‫ي‬ ‫ر‬ ‫ال‬ ‫والسيطرة‬ ‫التحكم‬ ‫خادم‬ ‫عن‬ ‫بديلة‬ ‫شبكة‬ ‫إىل‬ ‫البيانات‬ ‫إرسال‬ ‫ا‬‫أيض‬
‫ن‬ ‫ن‬ ‫تشيب البيانات من خالل قناة‬
‫ترمبها من خالل قناة‬ ‫عب قناة التحكم والسيطرة الموجودة‪ .‬البيانات المشوقة يتم‬
‫المهاجمي البيانات عن طريق تشيبها ر‬ ‫قد يشق‬
‫تحكم وسيطرة ‪Exfiltration /‬‬ ‫‪T1041‬‬
‫االتصاالت العادية باستخدام نفس بروتوكول اتصاالت التحكم والسيطرة‪.‬‬
‫‪Over C2 Channel‬‬
‫ن‬ ‫تشيب البيانات من خالل‬
‫عب شبكة وسيطة مختلفة عن قناة التحكم والسيطرة‪ .‬إذا كانت شبكة التحكم والسيطرة عبارة‬‫المهاجمي بتشيب البيانات ر‬ ‫قد يحاول‬
‫ر‬ ‫الشبكات البديلة ‪Exfiltration‬‬
‫عب اتصال ‪ WiFi‬أو مودم أو اتصال بيانات خلوية أو‬
‫سلك متصل باإلنبنت‪ ،‬فقد يحدث التشيب ‪ ،‬عل سبيل المثال ‪ ،‬ر‬ ‫ي‬ ‫عن اتصال‬ ‫‪T1011‬‬
‫‪Over Other Network‬‬
‫‪ Bluetooth‬أو قناة تردد راديو مختلفة (‪.)RF‬‬
‫‪Medium‬‬
‫ً‬ ‫ن‬ ‫تشيب البيانات من خالل‬
‫عب البلوتوث بدال من قناة التحكم والسيطرة‪ .‬إذا كانت شبكة التحكم والسيطرة عبارة عن‬
‫المهاجمي بتشيب البيانات ر‬ ‫قد يحاول‬
‫ر‬ ‫البلوتوث ‪Exfiltration /‬‬ ‫‪.001 T1011‬‬
‫سلك متصل باإلنبنت ‪ ،‬فقد يختار المهاجم شقة البيانات باستخدام قناة اتصال مثل ‪.Bluetooth‬‬‫ي‬ ‫اتصال‬
‫‪Over Bluetooth‬‬
‫‪100‬‬
‫عب وسيط مادي ‪ ،‬مثل محرك أقراص قابل لإلزالة‪ .‬أمثلة عل ذلك‪ ،‬ر‬
‫اخباق الشبكة المعزولة‬ ‫المهاجمي بتشيب البيانات ر‬ ‫ن‬ ‫قد يحاول‬
‫عن ر‬ ‫تشيب البيانات من خالل‬
‫‪.‬‬
‫عب وسيط مادي أو جهاز مقدم من قبل المستخدم يمكن أن‬ ‫االنبنت ‪ ، Air-gapped network‬ويمكن أن يحدث التشيب ر‬ ‫وسائط ن‬
‫فبيائية ‪Exfiltration /‬‬ ‫‪T1052‬‬
‫خارج أو محرك أقراص ‪ USB‬أو هاتف خلوي أو مشغل ‪ MP3‬أو أي أجهزة تخزين‬ ‫ر ي‬ ‫تكون هذه الوسائط عبارة عن محرك أقراص ثابت‬
‫أخرى‪ .‬يمكن استخدام الوسيط المادي أو الجهاز كنقطة خروج نهائية أو للتنقل ن‬ ‫‪Over Physical Medium‬‬
‫بي األنظمة غب المتصلة‪.‬‬
‫االنبنت ‪Air-‬‬‫اخباق الشبكة المعزولة عن ر‬ ‫عب جهاز مادي متصل ب ‪ .USB‬أمثلة عل ذلك‪ ،‬ر‬ ‫المهاجمي بتشيب البيانات ر‬ ‫ن‬ ‫قد يحاول‬
‫تشيب البيانات من خالل ‪USB‬‬
‫عب جهاز ‪ USB‬مقدم من قبل المستخدم‪ .‬يمكن استخدام جهاز ‪ USB‬كنقطة خروج‬ ‫‪ ،gapped network‬ويمكن أن يحدث التشيب ر‬ ‫‪.001 T1052‬‬
‫نهائية أو للتنقل ن‬ ‫‪over USB / Exfiltration‬‬
‫بي األنظمة غب المتصلة‪.‬‬
‫ً‬ ‫ر‬ ‫ن‬
‫قد يستخدم المهاجمي خدمة ويب خارجية موجودة وشعية لتشيب البيانات بدال من قناة التحكم والسيطرة الخاصة بهم‪ .‬قد توفر‬ ‫تشيب البيانات من خالل‬
‫ن‬
‫المستخدمي و‬ ‫نظرا الحتمال وجود اتصال مسبق ن‬
‫بي‬ ‫قدرا كافيا من التغطية ً‬ ‫الت تستخدم لتشيب البيانات ً‬ ‫ر‬ ‫خدمات الويب ‪Exfiltration /‬‬
‫ن‬ ‫ن‬ ‫خدمات الويب الشائعة ي‬ ‫‪T1567‬‬
‫ر‬
‫الشبكة الداخلية قبل حدوث االخباق‪ .‬باإلضافة قد يوجد هناك سياسات يف جدار الحماية تسمح يف حركة المرور لهذه الخدمات‪.‬‬ ‫‪Over Web Service‬‬
‫بدال من قناة التحكم والسيطرة الخاصة بهم‪ً .‬‬ ‫ً‬ ‫ن‬
‫غالبا ما يمكن الوصول‬ ‫البمجية‬ ‫المهاجمي بتشيب البيانات إىل مستودع األكواد ر‬ ‫قد يقوم‬ ‫تشيب البيانات اىل مستودع‬
‫ً‬ ‫‪.‬‬ ‫‪:‬‬
‫عب واجهة برمجة التطبيقات (عل سبيل المثال ‪ )https://api.github.com‬غالبا يتم الوصول إىل‬ ‫إىل مستودعات األكواد ر‬ ‫االكواد ‪Exfiltration to /‬‬ ‫‪.001 T1567‬‬
‫ن‬
‫إضاف من الحماية‪.‬‬ ‫مستوى‬ ‫المهاجم‬ ‫يمنح‬ ‫مما‬ ‫‪،‬‬ ‫‪HTTPS‬‬ ‫بروتوكول‬ ‫عب‬ ‫هذه‬ ‫التطبيقات‬ ‫واجهات برمجة‬ ‫‪Code Repository‬‬
‫ي‬ ‫ر‬
‫ً‬ ‫ن‬ ‫تشيب البيانات اىل الخدمات‬
‫المهاجمي بتشيب البيانات إىل خدمة التخزين السحابية بدال من قناة التحكم والسيطرة الخاصة بهم‪ .‬تتيح خدمات التخزين‬ ‫قد يقوم‬
‫ر‬ ‫ر‬ ‫السحابية ‪Exfiltration to /‬‬ ‫‪.002 T1567‬‬
‫عب اإلنبنت‪.‬‬ ‫ي ر‬‫خارج‬
‫ر‬ ‫سحان‬ ‫ري‬ ‫تخزين‬ ‫خادم‬ ‫من‬ ‫دادها‬‫ب‬ ‫واس‬ ‫وتحريرها‬ ‫البيانات‬ ‫تخزين‬ ‫ة‬‫السحابي‬
‫‪Cloud Storage‬‬
‫المهاجمي بجدولة تشيب البيانات ليتم عملها فقط ن يف أوقات محددة ن يف اليوم أو عل رفبات زمنية معينة‪ .‬يمكن القيام بذلك‬ ‫ن‬ ‫قد يقوم‬ ‫جدولة نقل البيانات ‪/‬‬
‫ن‬ ‫‪T1029‬‬
‫مع األنشطة العادية يف الشبكة لتجنب االكتشاف‪.‬‬ ‫‪Scheduled Transfer‬‬
‫تشيب البيانات اىل الحسابات‬
‫سحان‬
‫ري‬ ‫المهاجمي بتشيب البيانات عن طريق نقل البيانات ‪ ،‬بما ن يف ذلك النسخ االحتياطية من البيئات السحابية إىل حساب‬ ‫ن‬ ‫قد يقوم‬
‫ن‬ ‫ن‬ ‫ن‬
‫آخر يتم التحكم فيه ف نفس الخدمة لتجنب عمليات نقل‪ /‬ن‬ ‫السحابية ‪Transfer Data /‬‬ ‫‪T1537‬‬
‫تبيالت الملفات وذلك لتفادي اكتشاف التشيب البيانات يف الشبكة‪.‬‬ ‫ي‬ ‫‪to Cloud Account‬‬
‫‪101‬‬
‫التأثب ‪Impact /‬‬
‫ً‬
‫التأثب‪ :‬يسىع المهاجمون دائما اىل تدمب البيانات واحداث تأثب عل البيانات او الخدمات او عل الوصول لها او من خالل التالعب بها او‬
‫التأثب عل سالمة االعمال والعمليات التشغيلية‪ .‬وتختلف التقنيات واألساليب المتبعة ن يف احداث األثر اما ان تكون تدمبية او عبث‬
‫بالبيانات‪ .‬وقد يقوم المهاجم بالتأثب عل المنظمة من خالل التعديل عل البيانات لتحقيق أهدافه مما يحدث تأثب عل النظام او الجهة‬
‫ر‬
‫االخباق الذي حدث‪.‬‬ ‫النهان او لتغطية‬ ‫ر‬
‫الت تم العبث بالبيانات الخاصة بها‪ .‬وعادة ما يكون احداث األثر هو هدف المهاجمون‬
‫ي‬ ‫ي‬
‫‪102‬‬
‫الفرع‬
‫ن‬ ‫مسح الحسابات ‪/‬‬
‫للمستخدمي المضح لهم‪ .‬الحسابات من المحتمل حذفها‪,‬‬ ‫يقطع المهاجمون توفر الوصول للموارد الشبكية أو االنظمة وذلك لمنع الوصول‬
‫‪Account Access‬‬ ‫‪T1531‬‬
‫اقفالها أو يتم التالعب بها عن طريق تغيب الحساب لمنع الوصول للحسابات ‪.‬‬
‫‪Removal‬‬
‫المهاجمي بتدمب البيانات والملفات ن يف نظام محدد او عدد كبب ن يف الشبكة وذلك لمنع التوافرية لألنظمة‪ ,‬الخدمات وموارد الشبكة‪.‬‬
‫ن‬ ‫يقوم‬
‫الرقم وذلك من خالل الكتابة فوق الملفات‬ ‫ع‬ ‫ر‬
‫الش‬ ‫الطب‬ ‫تقنيات‬ ‫طريق‬ ‫عن‬ ‫جاع‬ ‫ر‬
‫لالسب‬ ‫قابلة‬ ‫غب‬ ‫بيانات‬ ‫حذف‬ ‫عملية‬ ‫ه‬ ‫البيانات‬ ‫تدمب‬
‫ي‬ ‫ي‬ ‫المحذوفة لمنع يامكانية ر‬ ‫تدمب البيانات ‪Data /‬‬
‫ر‬
‫المؤش الخاص‬ ‫اسبجاعها‪ .‬ن يف نظم التشغيل المعروفة يتم حذف الملفات من خالل أوامر ‪ del, rm‬وهنا يتم حذف‬ ‫‪T1485‬‬
‫ر‬ ‫‪Destruction‬‬
‫الرقم‪ .‬الطريقة‬
‫ي‬ ‫ع‬‫بالملف من غب حذف المحتوى بداخل الملف‪ ,‬مما يجعل أمكانية استعادة الملفات ممكنة من خالل أدوات الطب الش ي‬
‫سوف تختلف عند استخدام ‪ wipe‬ألنها تقوم بحذف الملف ر‬
‫مباشة‪.‬‬
‫المهاجمي بتشفب البيانات والملفات ن يف األنظمة المستهدفة او عدد كبب منها يف الشبكة وذلك لمنع التوافرية يف األنظمة‪ ,‬الخدمات‬
‫ن‬ ‫ن‬ ‫ن‬ ‫يقوم‬
‫ن‬ ‫تشفب البيانات لتعظيم‬
‫المحل أو المتصلة عن بعد وذلك دون معرفة‬
‫ي‬ ‫الصلب‬ ‫القرص‬ ‫ف‬‫ي‬ ‫المحفوظة‬ ‫للبيانات‬ ‫ممكن‬ ‫غب‬ ‫الوصول‬ ‫يجعلون‬ ‫كذلك‬ ‫‪.‬‬ ‫الشبكة‬ ‫وموارد‬
‫االثر ‪Data /‬‬
‫الماىل ألجل اعطاءه مفتاح فك التشفب الملفات أو لمنع الوصول للملفات‬ ‫ي‬ ‫مفتاح فك التشفب‪ .‬يتم عمل ذلك ليتم الزام الضحية بالتعويض‬ ‫‪T1486‬‬
‫ن‬ ‫ن‬ ‫‪Encrypted for‬‬
‫وف بعض األحيات يتم تشفب‬ ‫بشكل دائم‪ .‬يف حال الفدية‪ ،‬يتم غالبا تشفب ملفات مستندات األوفس‪ ,‬الصور‪ ,‬الفيديو‪ ,‬صوتيات وغبها ي‬ ‫‪Impact‬‬
‫ملفات حساسة بالنظام ومنها ‪.MBR, Disk Partion‬‬
‫ن‬ ‫التالعب بالبيانات ‪/‬‬
‫المهاجمي بأضافة‪ ،‬حذف أو التالعب بالبيانات من أجل تغيب المخرجات أو ألخفاء نشاطه‪ .‬التالعب بالبيانات قد يؤثر‬ ‫من الممكن أن يقوم‬
‫‪Data‬‬ ‫‪T1565‬‬
‫عل عملية األعمال أو متخذين القرار‪.‬‬
‫‪Manipulation‬‬
‫التالعب بمخزن‬
‫ن‬
‫المهاجمي بأضافة‪ ،‬حذف أو التالعب بالبيانات المخزنة من أجل تغيب المخرجات أو ألخفاء نشاطه‪ .‬التالعب بالبيانات‬ ‫من الممكن أن يقوم‬ ‫البيانات ‪Stored /‬‬
‫‪.001 T1565‬‬
‫المخزنة قد يؤثر عل عملية األعمال أو متخذين القرار‪.‬‬ ‫‪Data‬‬
‫التالعب بالبيانات‬
‫المهاجمي ن يف تبديل البيانات المتجه للتخزين أو انظمة أخرى من أجل تغيب المخرجات أو ألخفاء نشاطه‪ .‬التالعب‬
‫ن‬ ‫من الممكن أن يقوم‬ ‫المنقولة ‪/‬‬
‫‪.002 T1565‬‬
‫بالبيانات المنقولة قد يؤثر عل عملية األعمال أو متخذين القرار‬ ‫‪Data Transmitted‬‬
‫التالعب بالبيانات وقت‬
‫المهاجمي نف تعديل األنظمة للتالعب بالبيانات ن‬
‫حي وصولها وعرضها للمستخدم‪ .‬التالعب بالبيانات وقت العمل‬ ‫ن‬ ‫من الممكن أن يقوم‬ ‫العمل والتشغيل ‪/‬‬
‫ي‬ ‫‪.003 T1565‬‬
‫والتشغيل قد يؤثر عل عملية األعمال أو متخذين القرار‬ ‫‪Runtime Data‬‬
‫ن‬
‫المهاجمي بتعديل المحتوى الظاهري المتوفر داخليا أو خارجيا لشبكة المنظومة‪ .‬األسباب وراء التشويه يتضمن توصيل رسالة‪ ،‬تخويف‬ ‫يقوم‬ ‫التشوية او التغب ‪/‬‬
‫‪T1491‬‬
‫أو التفاخر بالتطفل‪ .‬تستخدم صور هجومية أو مزعجة لتسبب للمستخدم عدم الراحة أو الضغط لألمتثال للرسائل المصاحبة‪.‬‬ ‫‪Defacement‬‬
‫‪103‬‬
‫المستخدمي‪ .‬قد يكون عل شكل تعديالت عل مواقع الويب‬ ‫ن‬ ‫ن‬
‫المهاجمي بتشويه األنظمة الداخلية للمنظمة لمحاولة تخويف وتضليل‬ ‫يقوم‬
‫ر‬ ‫الداخل‬
‫ي‬ ‫التشوية والتغب‬
‫‪.‬‬
‫الداخلية ‪ ،‬أو عل أنظمة المستخدم مباشة باستبدال خلفية سطح المكتب تستخدم صور هجومية أو مزعجة لتسبب للمستخدم عدم‬
‫ً‬ ‫الراحة أو الضغط لالمتثال للرسائل المصاحبة‪ً .‬‬ ‫‪Internal /‬‬ ‫‪.001 T1491‬‬
‫فغالبا ما يحدث ذلك بعد تحقيق‬ ‫الداخل تكشف وجود المهاجم ‪،‬‬
‫ي‬ ‫نظرا ألن طريقة التشويه‬
‫‪Defacement‬‬
‫أهداف أخرى‬
‫الخارج‬ ‫ن‬ ‫ن‬
‫يقوم المهاجمي بتشويه األنظمة الخارجية للمنظمة لمحاولة توصيل رسالة أو تخويف وتضليل المستخدمي أو المنظمة‪ .‬التشويه‬
‫ر ي‬ ‫التشوية و التغب‬
‫نش دعايات‪.‬‬ ‫المهاجمي أو مجموعات القراصنة تستخدمها لتوصيل رسالة سياسية أو ر‬
‫ن‬ ‫األكب شيوعا من ضحايا التشويه وذلك ألن‬ ‫يعت رب هو ر‬
‫ر‬ ‫الخارج ‪External /‬‬
‫ر ي‬ ‫‪.002 T1491‬‬
‫الت تتخذها منظمة أو حكومة‪ .‬وبالمثل ‪ ،‬يمكن‬ ‫الخارج تستخدم غالبا كمحفز لتحريك أحداث معينة ‪ ،‬أو ردت فعل عل اإلجراءات ي‬ ‫ر ي‬ ‫التشويه‬
‫ً‬ ‫‪Defacement‬‬
‫أيضا استخدام تشويه موقع الويب كإعداد أو مقدمة للهجمات المستقبلية مثل ‪Drive-by Compromise‬‬
‫ن‬ ‫ن‬ ‫ن‬ ‫ن‬
‫بمج أو تخريب البيانات الخام يف القرص الصلب يف أنظمة محددة أو عدد كبب يف الشبكة وذلك لمنع التوافرية يف األنظمة‪,‬‬ ‫ن‬
‫المهاجمي‬ ‫يقوم‬
‫ن‬ ‫ن‬ ‫ي‬ ‫مج القرص الصلب ‪/‬‬
‫ر‬
‫الخدمات وموارد الشبكة‪ .‬وذلك بالقيام بالكتابة بشكل مباش يف القرص الصلب عل البيانات المخزنة بداخلها‪ .‬يف بعض األحيان يتم تشفب‬ ‫ي‬ ‫‪T1561‬‬
‫‪Disk Wipe‬‬
‫ملفات حساسة بالنظام ومنها ‪ .MBR‬قد تتم محاولة مسح كامل لجميع أجزاء القرص‬
‫مج محتوى البيانات‬‫ي‬
‫المهاجمي بأزالت المحتويات المخزنة ن يف األجهزة ن يف أنظمة محددة أو عدد كبب ن يف الشبكة وذلك لمنع التوافرية ن يف األنظمة‪ ,‬الخدمات‬
‫ن‬ ‫يقوم‬ ‫من القرص الصلب ‪/‬‬
‫‪.001 T1561‬‬
‫وموارد الشبكة‬ ‫‪Content Disk‬‬
‫‪Wipe‬‬
‫ن‬ ‫مج هيكلة القرص‬
‫ي‬
‫مج هياكل بيانات القرص الموجودة عل محرك األقراص الثابتة الالزمة لتشغيل النظام‪ ،‬وذلك بأستهداف‬ ‫قد يقوم المهاجمي بإتالف أو ن ي‬
‫ن‬ ‫الصلب ‪Disk‬‬ ‫‪.002 T1561‬‬
‫أنظمة حساسة أو عدد كبب منها يف الشبكة وذلك لمنع التوافرية يف األنظمة‪ ,‬الخدمات وموارد الشبكة‬
‫‪Structure Wipe‬‬
‫عب‬‫المستخدمي‪ .‬هجوم حجب الخدمة يمكن قيامه ر‬‫ن‬ ‫المهاجمي ن يف هجوم حجب الخدمة لمنع التوافرية ن يف الوصول لخدمات‬
‫ر‬ ‫حجب الخدمة للطرفية‬
‫‪.‬‬
‫الت يتم استخدامها أما من قبل الخدمات المستضافة بداخله أو استغالل النظام إلحداث حالة تعطل مستمرة مثال‬ ‫استهالك موارد النظام ي‬ ‫‪Endpoint Denial /‬‬ ‫‪T1499‬‬
‫البيد‪ ،‬المواقع‪ ،‬نظام أسماء النطاقات ‪ DNS‬والتطبيقات وغبها‪ ،‬ومن خالل وجود هذي الخدمات قد‬ ‫عل ذلك خدمات تتضمن خدمة ر‬
‫يتمكن المهاجم من استغاللها لعمل هجوم حجب الخدمة ألغراض سياسة أو تهديدات أو ر ن‬ ‫‪Service of‬‬
‫ابباز‪.‬‬
‫ه المسؤولة ن يف أدارة الموارد المحدودة ن يف النظام‪.‬باألضافة ال تحتاج هذه‬ ‫ن‬ ‫ن ن‬
‫قد يقوم المهاجمي يف أستهداف نظم التشغيل يف الهجوم نظرا ألنها ي‬ ‫استهالك موارد النظام ‪/‬‬
‫ً‬
‫الت يفرضها نظام التشغيل ذاتيا وذلك لمنع النظام‬ ‫ر‬
‫الهجمات إىل استنفاد الموارد الفعلية عل النظام حيث يمكنها ببساطة استنفاد الحدود ي‬ ‫‪OS Exhaustion‬‬ ‫‪.001 T1499‬‬
‫بأكمله من أن يتأثر بسبب المطالب المفرطة عل قدرته‪.‬‬ ‫‪Flood‬‬
‫استهالك موارد الشبكة‬
‫ن‬
‫المهاجمي كثبا ما يستهدفون خدمة الويب أو‬ ‫المهاجمي ن يف أستهداف خدمات شبكية مختلفة مزودة من قبل النظام لعمل ‪.DOS‬‬‫ن‬ ‫يقوم‬
‫‪Service /‬‬ ‫‪.002 T1499‬‬
‫خدمة نظام أسماء النطاقات‪ .‬برامج خادم الويب أيضا من الممكن استهدافه بطرق متنوعه وذلك اعتمادا عل الخدمة المزودة فيه‪.‬‬
‫‪Flood Exhaustion‬‬
‫استهالك موارد‬
‫المبات المحددة ن يف تطبيقات‬
‫تتمب بموارد عالية جدا للتسبب نف حجب الخدمة ‪ .DoS‬قد تكون ن‬
‫ي‬
‫ن‬ ‫ن‬
‫المهاجمي تطبيقات ويب‬ ‫قد يستهدف‬
‫ن‬ ‫التطبيقات ‪/‬‬
‫الويب عالية جدا الستخدام الموارد‪ .‬قد تتمكن الطلبات المتكررة لهذه المبات من استنفاد موارد النظام ورفض الوصول إىل التطبيق أو الخادم‬ ‫‪.003 T1499‬‬
‫‪Application‬‬
‫نفسه‬
‫‪Exhaustion Flood‬‬
‫‪104‬‬
‫ر‬
‫اخباق التطبيقات او‬
‫ن‬
‫للمستخدمي‪ .‬قد تقوم بعض األنظمة بإعادة‬ ‫الت يمكن أن تتسبب ن يف تعطيل تطبيق أو نظام ومنع توافره‬
‫ر‬
‫البامج ي‬
‫ن‬
‫المهاجمي ثغرات ر‬ ‫قد يستغل‬ ‫البمجيات ‪/‬‬ ‫ر‬
‫ن‬ ‫ً‬
‫تشغيل التطبيقات والخدمات الهامة تلقائيا عند حدوث أعطال ‪ ،‬ولكن من المحتمل إعادة استغاللها بشكل مستمر للتسبب يف استمرارية‬ ‫‪Application or‬‬ ‫‪.004 T1499‬‬
‫حجب الخدمة‬ ‫‪System‬‬
‫‪Exploitation‬‬
‫البامج الثابتة األخرى ن يف األجهزة المتصلة بالنظام‬ ‫المهاجمي بالكتابة فوق أو إتالف محتويات ذاكرة الفالش الخاصة بنظام ‪ BIOS‬أو ر‬ ‫ن‬ ‫قد يقوم‬
‫عطب النظام الثابت او‬
‫البنامج الثابت هو برنامج يتم تحميله وتنفيذه من ذاكرة غب مستقرة عل األجهزة‬ ‫‪.‬‬
‫من أجل جعلها غب قابلة للتشغيل أو غب قادرة عل األقالع ر‬ ‫الداخل ‪Firmware /‬‬‫ي‬ ‫‪T1495‬‬
‫من أجل تهيئة وظائف الجهاز وإدارتها‪ .‬يمكن أن تتضمن هذه األجهزة اللوحة األم أو محرك األقراص الثابتة أو بطاقات الفيديو‪.‬‬ ‫‪Corruption‬‬
‫اسبداد النظام التالف‬ ‫المهاجمي بحذف أو إزالة بيانات نظام التشغيل المضمنة وإيقاف تشغيل الخدمات المصممة للمساعدة نف ر‬ ‫ن‬ ‫قد يقوم‬
‫ي‬ ‫منع ر‬
‫اسبداد النظام ‪/‬‬
‫ن‬ ‫ن‬
‫وذلك من أجل منع االسبداد‪ .‬قد تحتوي أنظمة التشغيل عل مبات يمكن أن تساعد يف إصالح األنظمة التالفة ‪ ،‬مثل كتالوج النسخ‬ ‫ر‬
‫ن‬ ‫االحتياط والنسخ االحتياطية لوحدة التخزين ‪ volume shadow copies‬ن‬ ‫‪Inhibit System‬‬ ‫‪T1490‬‬
‫المهاجمي بتعطيل أو حذف‬ ‫التلقان‪ .‬قد يقوم‬
‫ي‬ ‫ومبات اإلصالح‬ ‫ري‬
‫ن‬ ‫‪Recovery‬‬
‫مبات اسبداد النظام لزيادة تأثبات تدمب البيانات وتشفب البيانات من أجل التأثب‪.‬‬
‫للمستخدمي‪ .‬يمكن إجراء ‪ DoS‬للشبكة‬ ‫ن‬ ‫عب الشبكة ‪ DoS‬لتقليل أو منع توافر الموارد المخصصة‬ ‫ي هجمات حجب الخدمة ر‬ ‫قد ينفذ المهاجم ن‬
‫ر‬ ‫حجب خدمات الشبكة‬
‫البيد‬
‫ه مواقع ويب وخدمات ر‬ ‫الت تعتمد عليها‪ .‬أمثلة عل الموارد ي‬ ‫طريق استنفاد خدمات معدل نقل البيانات ‪ bandwidth‬للشبكة ي‬ ‫عن‬
‫‪Network Denial /‬‬ ‫‪T1498‬‬
‫ون ونظام أسماء النطاقات‪ .‬لقد لوحظ أن األعداء يشنون هجمات حجب الخدمة عل الشبكة ألغراض سياسية ولدعم األنشطة‬ ‫ن‬ ‫ر‬
‫اإللكب‬
‫ي‬ ‫‪Service of‬‬
‫رن‬
‫واالبباز‬ ‫الخبيثة األخرى ‪ ،‬بما ن يف ذلك اإللهاء والقرصنة‬
‫المهاجمي التسبب ن يف حجب الخدمة ‪ DoS‬عن طريق إرسال حجم كبب من حركة مرور الشبكة إىل الهدف المراد‪ .‬يحدث ‪Direct‬‬ ‫ن‬ ‫قد يحاول‬
‫ر‬ ‫فيضان الشبكة المحدد‬
‫‪ Network Flood‬عندما يتم استخدام نظام واحد أو أكب إلرسال عدد كبب من حزم الشبكة نحو خدمة الشبكة المستهدفة‪ .‬يمكن استخدام‬
‫ً‬ ‫ً‬ ‫‪Direct Network /‬‬ ‫‪.001 T1498‬‬
‫البوتوكوالت‬‫البوتوكوالت مثل ‪ UDP‬أو ‪ ICMP‬بشكل شائع ولكن يمكن أيضا استخدام ر‬ ‫تقريبا لإلغراق‪ .‬يتم استخدام ر‬ ‫أي بروتوكول شبكة‬
‫‪Flood‬‬
‫مثل ‪.TCP‬‬
‫المهاجمي بالتسبب ن يف حجب الخدمة من خالل عكس حجم كبب لحركة مرور الشبكة عل الهدف المراد‪ .‬يستفيد هذا النوع من‬ ‫ن‬ ‫قد يقوم‬
‫ُ‬ ‫ً‬
‫الشبك ‪ IP‬المنتحل ‪ .Spoof‬عادة ما يطلق عل خادم‬ ‫ي‬ ‫لعنوان‬ ‫ويستجيب‬ ‫يستضيف‬ ‫خارجية‬ ‫لجهة‬ ‫تابع‬ ‫خادم‬ ‫وسيط‬ ‫من‬ ‫‪Network‬‬ ‫‪DoS‬‬ ‫تضخيم االنعكاس ‪/‬‬
‫الشبك المنتحل‬ ‫ً‬ ‫ً‬
‫الطرف الثالث هذا اسم عاكس‪ .‬يعمل المهاجم هجوما انعكاسيا عن طريق إرسال حزم إىل عاكسات تحتوي عل العنوان‬ ‫‪Reflection‬‬ ‫‪.002 T1498‬‬
‫ي‬
‫أكب من نظام واحد لتنفيذ الهجوم ‪ ،‬أو يمكن استخدام الروبوتات‪.‬‬ ‫الخاص بالضحية‪ .‬عل غرار ‪ ، Direct Network Floods‬يمكن استخدام ر‬ ‫‪Amplification‬‬
‫كب حركة المرور عل الهدف‪.‬‬ ‫أكب رلب ن‬
‫وبالمثل ‪ ،‬يمكن استخدام عاكس واحد أو ر‬
‫الت قد تؤثر عل النظام أو توافرية الخدمة‬ ‫ر‬ ‫ن‬
‫قد يستفيد المهاجمي من موارد األنظمة المختارة من أجل حل مشكالت الموارد العالية ي‬ ‫‪Resource‬‬
‫‪T1496‬‬
‫المستضافة‪.‬‬ ‫‪Hijacking‬‬
‫ن‬
‫قد يقوم المهاجمي بإيقاف الخدمات أو تعطيلها عل النظام لجعل هذه الخدمات غب مفعلة لدى المستخدمي‪ .‬يمكن أن يؤدي إيقاف‬ ‫ن‬
‫ن‬ ‫ن‬ ‫ن‬ ‫ايقاف الخدمات ‪/‬‬
‫المهاجمي بتحقيق األهداف‬ ‫وف حال ايقاف الخدمات قد ينتفع‬ ‫الخدمات أو العمليات المهمة إىل منع االستجابة للحادثة يف حال وقوعها‪ .‬ي‬ ‫‪Service Stop‬‬
‫‪T1489‬‬
‫الضر بالمنظمة‪.‬‬ ‫المرادة وذلك إللحاق ن‬
‫المهاجمي بإغالق‪/‬إعادة تشغيل األنظمة لمنع الوصول إىل هذه األنظمة أو المساعدة ن يف تدمبها‪ .‬قد تحتوي أنظمة التشغيل عل‬ ‫ن‬ ‫ايقاف او اعادة تشغيل قد يقوم‬
‫ً‬ ‫ن‬
‫أوامر لبدء إيقاف تشغيل‪ /‬إعادة تشغيل الجهاز‪ .‬يف بعض الحاالت ‪ ،‬يمكن أيضا استخدام هذه األوامر لبدء إيقاف تشغيل‪/‬إعادة تشغيل جهاز‬ ‫االنظمة ‪System /‬‬ ‫‪T1529‬‬
‫للمستخدمي المضح لهم‪.‬‬ ‫ن‬ ‫‪.‬‬
‫‪ Shutdown/Reboot‬كمبيوتر عن بعد قد يؤدي إيقاف تشغيل األنظمة أو إعادة تشغيلها إىل تعطيل الوصول إىل موارد الكمبيوتر‬
‫‪105‬‬
106
‫إنتىه بفضل هللا‪.‬‬
‫‪107‬‬

نمذجة التهديدات السيبرانية باللغة العربية Mitre - att&Ck -1

Uploaded by

Copyright:

Available Formats

You might also like

نمذجة التهديدات السيبرانية باللغة العربية Mitre - att&Ck -1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

نمذجة التهديدات السيبرانية باللغة العربية Mitre - att&Ck -1

Uploaded by

Copyright:

Available Formats

‫السيبانية‬

‫ر‬ ‫نمذجة التهديدات‬

‫الت تفيدهم ن يف عمليات االستهداف وتتضمن هذه‬ ‫ي‬

‫ر‬ ‫ر‬ ‫شهادات التواقيع‬ ‫‪.003 T1588‬‬

‫تعط المهاجم افضلية‬ ‫ر‬

You might also like