Methods of Password Attacks (PDF)
Document Details
Uploaded by ArticulateEmpowerment
Tags
Summary
This document discusses common methods of password attacks, including social engineering, and password resets. It highlights the importance of training end-users to be vigilant about the legitimacy of communication requests. It also explains the risks associated with password resets and best practices to increase security.
Full Transcript
Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور الهندسة االجتماعية والهجمات البشرية هجم ات الهندس ة االجتماعي ة ،وال تي تتض من أش كااًل مختلف ة من رس ائل البري د اإللك تروني...
Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور الهندسة االجتماعية والهجمات البشرية هجم ات الهندس ة االجتماعي ة ،وال تي تتض من أش كااًل مختلف ة من رس ائل البري د اإللك تروني التص يدية ،والتص يد االحتي الي (المكالم ات الص وتية) ،وهجم ات إع ادة تع يين كلم ة الم رور. تس تلزم ه ذه الهجم ات معرف ة أك بر ق در ممكن عن اله دف ح تى يتمكن المج رم اإللك تروني من إج راء تخمين ات مدروس ة ح ول كلم ات الم رور الخاصة بالهدف. تع د أس ماء الحيوان ات األليف ة واألطف ال وال زوج والعن اوين وأعي اد الميالد والهواي ات واألص دقاء من أهم المعلوم ات المتاح ة لمنف ذي التهدي د. أح د األفالم المفض لة وال برامج التلفزيوني ة 1 والمؤلفين والفرق الموسيقية والممثلين ،وأكثر من ذل ك ،وتص بح معظم حس ابات وس ائل Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور .1التص يد االحتي الي والتص يد االحتي الي ع بر االتصال غالًب ا م ا يتم االس تفادة من التص يد االحتي الي والتصيد عبر المكالمات الصوتية لجمع المعلومات لهجم ات أخ رى ،باإلض افة إلى زرع ب رامج ض ارة على نقط ة النهاي ة.يمكن اس تخدام ه ذه ال برامج الض ارة لس حب كلم ات الم رور.يمكن أيًض ا أن تك ون رس ائل البري د اإللك تروني التص يدية أو التص يد االحتي الي ج زًءا من هج وم إع ادة تع يين كلمة المرور المخادعة.أحد األساليب الشائعة هو أن تقوم رسالة البريد اإللكتروني التصيدية بتوفير رابط للنقر عليه ألغراض إعادة تعيين كلمة مرور الحساب.قد يدعي المهاجمون أن هذا يرجع إلى اخ تراق محتم ل لكلم ة م رور قديم ة.ق د يحم ل 2 البريد اإللكتروني شعاًر ا وشكاًل لتاجر ،مثل بنك أو بائع تجزئة أو مزود خدمة.ومع ذلك ،فإن الرابط Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور تع د ه ذه الهجم ات بمثاب ة ت ذكير دائم بأهمي ة ت دريب المس تخدم النه ائي.يجب أن يك ون المس تخدمون يقظين دائًم ا للتأك د من أن عناوين البريد اإللكتروني أو أرقام الهواتف التي تطلبها مشروعة بالفعل. .2التغي يرات القس رية أو إع ادة تع يين كلم ة المرور لسوء الحظ ،هناك خطر شائع في إعادة تعيين كلم ات الم رور مم ا يجع ل إع ادة تع يين كلم ة الم رور أه داًفا للجه ات الفاعل ة في التهدي د. فإع ادة تع يين كلم ة الم رور هي عملي ة تغي ير كلم ة م رور قس ري يق وم به ا ش خص آخ ر ،على س بيل المث ال من مكتب الخدم ة أو مال ك 3 التط بيق.لم يتم ب دء ه ذا التغي ير بواس طة المستخدم النهائي. Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور تشمل مخاطر إعادة تعيين كلمة المرور ما يلي: يتم إع ادة تع يين كلم ات الم رور ع بر البري د اإللك تروني أو الرس ائل النص ية ويحتف ظ به ا المستخدم النهائي تتم إع ادة اس تخدام كلم ات الم رور ال تي تم إعادة تعيينها بواسطة مكتب المساعدة في كل مرة يتم فيها طلب إعادة تعيين كلمة المرور تتم إع ادة تع يين كلم ة الم رور تلقائًي ا بش كل أعمى بسبب عمليات إغالق الحساب يمكن س ماع كلم ات الم رور المنقول ة ش فهًيا بصوت عاٍل عملي ات إع ادة تع يين كلم ة الم رور المعق دة المكتوبة بواسطة المستخدم النهائي كلم ات الم رور المس تندة إلى األنم اط ال تي 4 Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور في أي وقت تتم فيه إعادة تعيين كلمة المرور، يك ون هن اك إق رار ض مني ب أن كلم ة الم رور القديم ة في خط ر ويجب تغييره ا.ربم ا تم نس يانه أو انته اء ص الحيته أو تس بب في إغالق ه بس بب العدي د من المح اوالت الفاش لة.تش كل إع ادة تع يين كلم ة الم رور الجدي دة ونقله ا وتخزينه ا خط ًر ا ح تى يتم تغي ير كلم ة الم رور بواس طة المس تخدم النه ائي.وبطبيع ة الح ال، في بعض األحيان يهمل المستخدم النهائي تغيير كلمة المرور على اإلطالق. بمج رد اخ تراق الهوي ة ،يمكن للجه ات الفاعل ة في مج ال التهدي د طلب إع ادة تع يين كلم ة الم رور وإنش اء بيان ات االعتم اد الخاص ة به ا للحساب. 5 Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور أفضل ممارسات إعادة تعيين كلمة المرور: يجب أن تك ون كلم ة الم رور عش وائية وتل بي متطلبات التعقيد وفًقا لسياسة العمل يجب أن يقوم المستخدم النهائي بتغيير كلمة الم رور بع د تس جيل ال دخول األول وتتطلب مصادقة ثنائية أو متعددة العوامل للتحقق من صحتها يجب أن ت أتي طلب ات إع ادة تع يين كلم ة المرور دائًما من مكان آمن ال ينبغي أب ًدا أن تحت وي مواق ع ال ويب العام ة للش ركات (غ ير الشخص ية) على رواب ط "نسيت كلمة المرور". 6 تف ترض إع ادة تع يين كلم ة الم رور ع بر البري د Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور Do not use SMS text messages—they are not فهي، ال تس تخدم الرس ائل النص ية القص يرة sufficiently secure for sending password reset ليست آمنة بما يكفي إلرسال معلومات إعادة information..تعيين كلمة المرور If possible, password resets should be ephemeral—the password reset should only be active for a predefined يجب أن تك ون عملي ات، إذا ك ان ذل ك ممكًن ا duration. If the end user has not accessed the account - إع ادة تع يين كلم ة الم رور س ريعة ال زوال again within the predefined amount of time, an يجب أن تك ون إع ادة تع يين كلم ة الم رور account lockout will occur. إذا لم.نش طة لم دة مح ددة مس بًقا فقط Changing passwords frequently is a security best practice يتمكن المس تخدم النه ائي من الوص ول إلى for privileged accounts (as opposed to personal or الحساب مرة أخرى خالل فترة زمنية محددة consumer accounts). However, resetting passwords and transmitting them through unsecure mediums is not. For. فسيتم إغالق الحساب،مسبًقا the individual, a simple password reset can be the يع د تغي ير كلم ات الم رور بش كل متك رر أح د difference between a threat actor owning your account أفض ل ممارس ات األم ان للحس ابات المم يزة and a legitimate password request. (على عكس الحس ابات الشخص ية أو حس ابات 7 ف إن إع ادة تع يين كلم ات، وم ع ذل ك.)العمالء الم رور ونقله ا ع بر وس ائط غ ير آمن ة ليس Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور 3. Eavesdropping التنصت.3 Password eavesdropping refers to a password exposure يش ير التنص ت على كلم ة الم رور إلى التع رض occurring because of being overheard. Password ق د.لكلم ة الم رور ال ذي يح دث بس بب س ماعها eavesdropping may be either inadvertent or intentional and can encompass both voice-based and digital يك ون التنص ت على كلم ة الم رور إم ا غ ير eavesdropping. مقص ود أو متعم د ويمكن أن يش مل التنص ت Hopefully, no one in your business is shouting passwords.الصوتي والرقمي across office, but some organizations still use voice calls نأم ل أال يص رخ أح د في العم ل بكلم ات الم رور to help desks to reset passwords. During these help desk calls the updated password may be spoken to the user. It’s ولكن ال ت زال بعض المؤسس ات،ع بر المكتب important that this kind of reset triggers the user to reset تستخدم المكالمات الصوتية لمكاتب المساعدة the password on first log in. This step upon login أثن اء مكالم ات.إلع ادة تع يين كلم ات الم رور mitigates password risk, as an eavesdropper cannot use ق د يتم التح دث بكلم ة،مكتب المس اعدة ه ذه the new password without revealing their activity. The من المهم أن.الم رور المحدث ة إلى المس تخدم legitimate user will fail to login and again call the help desk. ي ؤدي ه ذا الن وع من إع ادة التع يين إلى قي ام 8 المس تخدم بإع ادة تع يين كلم ة الم رور عن د وتخف ف ه ذه.تس جيل ال دخول ألول م رة Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور Of course, voice is not the only way we "announce" our الصوت ليس هو الطريقة الوحيدة التي،بالطبع passwords. How many of us use Bluetooth keyboards that كم من ا."نعلن به ا" كلم ات الم رور الخاص ة بن ا are transmitting our key presses over the air? التي تنقلBluetoothيستخدم لوحات مفاتيح In the early days of computing, you needed to physically ضغطات المفاتيح الخاصة بنا عبر الهواء؟ connect to the machine you were accessing. The systems you were authenticating to were also running locally. كنت بحاج ة إلى،في األي ام األولى للحوس بة Now, we regularly authenticate into systems on the other.االتص ال فعلًي ا بالجه از ال ذي كنت تص ل إليه side of the world, and increasingly, that are not even our األنظمة التي كنت تقوم بالمصادقة عليها كانت systems. Our passwords are transmitted electronically through many systems to reach their destination, and نقوم بالمصادقة بشكل، اآلن.تعمل أيًض ا محلًيا absent proper encryption and other protections, may be منتظم على أنظم ة على الج انب اآلخ ر من vulnerable to eavesdropping. ه ذه ليس ت ح تى، وعلى نح و متزاي د،الع الم يتم نق ل كلم ات الم رور الخاص ة بن ا.أنظمتن ا إلكترونًيا من خالل العدي د من األنظم ة للوص ول وفي غي اب التش فير المناس ب،إلى وجهته ا ق د تك ون عرض ة،ووس ائل الحماي ة األخ رى 9.للتنصت Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور 4. Shoulder Surfing اختالس النظر.4 Shoulder surfing enables a threat actor to gain knowledge يتيح اختالس النظ ر لممث ل التهدي د اكتس اب of credentials through observation. This includes.المعرف ة ب أوراق االعتم اد من خالل المراقب ة observing passwords, pins, and swipe patterns as they are being entered, or even a pen scribbling a password on a يتض من ذل ك مراقب ة كلم ات الم رور وأنم اط sticky note. أو حتى قلًما يخربش كلمة،التمرير أثناء إدخالها The concept is simple. A threat actor physically observes.المرور على مالحظة الصقة or uses an electronic device like a camera to collect ي راقب ممث ل التهدي د فعلًي ا.المفه وم بس يط passwords and use them for an attack. This is why, when using an ATM, it's recommended to shield the entry of جهاًز ا إلكترونًيا أو يستخدمه مثل الكاميرا لجمع your PIN on a keypad. This prevents a nearby threat actor وله ذا.كلم ات الم رور واس تخدامها في الهج وم from shoulder surfing your PIN. ، عن د اس تخدام ماكين ة الص راف اآللي،الس بب يوص ى بحماي ة إدخ ال رقم التعري ف وهذا يمنع.) ) على لوحة المفاتيحPINالشخصي أي جه ة تهدي د قريب ة من اختالس النظ ر الى 10.) )PINرقم التعريف الشخصي Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور 5. Passwords for Purchase كلمات المرور للبيع.5 While password lists, hash tables, and rainbow tables are على ال رغم من أن ق وائم كلم ات الم رور available on the dark web, users sometimes sell their own إال،وج داول التجزئ ة متاح ة على ال ويب المظلم credentials. Users with access to multiple individual and/or shared credentials may sell them in bulk. أن المس تخدمين ي بيعون أحياًن ا بيان ات االعتم اد يمكن للمس تخدمين ال ذين ل ديهم.الخاص ة بهم In fact, a rogue insider could sell credentials and claim they were breached, giving them plausible deniability. أو/ح ق الوص ول إلى بيان ات اعتم اد فردي ة و This insider threat is of particularly concern with.مشتركة متعددة بيعها بكميات كبيرة privileged users, whose credentials could give access to the enterprise’s most sensitive assets. The most effective يمكن ألي شخص مارق من الداخل،في الواقع way to address the risk of privileged credential ،أن ي بيع أوراق االعتم اد وي دعي أن ه تم اختراقه ا compromise is to remove direct access. All sessions ويشكل هذا.مما يمنحه إمكانية اإلنكار المعقول relating to highly privileged accounts should be routed التهدي د ال داخلي مص در قل ق بش كل خ اص through a system that facilitates access, but without ال ذين يمكن أن،للمس تخدمين ذوي االمتي ازات revealing actual credentials. ت تيح بيان ات اعتم ادهم الوص ول إلى األص ول 11 الطريق ة األك ثر.األك ثر حساس ية في المؤسس ة فعالي ة لمعالج ة مخ اطر اخ تراق بيان ات االعتم اد Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور Hash-Based Attacks الهجمات القائمة على التجزئة When an attacker manages to gain access to a system or عن دما يتمكن أح د المه اجمين من الوص ول إلى website, they often aspire to steal the database containing فإن ه غالًب ا م ا يطمح إلى،نظ ام أو موق ع ويب the usernames and passwords for everyone who accesses it. Stealing a database provides at least three big benefits س رقة قاع دة البيان ات ال تي تحت وي على أس ماء regarding password stealing: المس تخدمين وكلم ات الم رور لك ل من يص ل 1. Discovery of highly privileged user credentials that ت وفر س رقة قاع دة البيان ات ثالث فوائ د.إليه ا can be used to interact with the system كب يرة على األق ل فيم ا يتعل ق بس رقة كلم ة 2. A rich trove of credentials, probably used across :المرور multiple systems اكتش اف بيان ات اعتم اد المس تخدم ذات.1 3. The database can be attacked offline, without concern االمتي ازات العالي ة ال تي يمكن اس تخدامها for any controls around the number or frequency of للتفاعل مع النظام login attempts ربما يتم، مجموعة غنية من بيانات االعتماد.2 استخدامها عبر أنظمة متعددة 12 يمكن مهاجمة قاعدة البيان ات دون االتصال.3 Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور Today, it’s unusual to find systems that do not encode من غ ير المعت اد الي وم العث ور على أنظم ة ال user passwords. Attackers will encounter a list of values سيواجه.تقوم بتشفير كلمات مرور المستخدم instead of the text passwords. When data has been المه اجمون قائم ة من القيم ب دًال من كلم ات encoded rather than encrypted, there is no way to turn the encoded form into the original value. This is a trapdoor عن دما يتم ترم يز البيان ات ب دًال.الم رور النص ية cipher; it goes one-way only. An attacker’s only chance is ال توج د طريق ة لتحوي ل النم وذج،من تش فيرها to uncover the cipher and attempt to create encoded ه ذا ه و تش فير.المش فر إلى القيم ة األص لية versions of passwords. This can then be compared against. ي ذهب في اتج اه واح د فقط.الب اب المس حور the stolen list. The encoding process is called "hashing," and the resulting encoded passwords are called "hashes." الفرص ة الوحي دة للمه اجم هي الكش ف عن التش فير ومحاول ة إنش اء إص دارات مش فرة من There are two common types of hash-based attacks: ويمكن بع د ذل ك مقارن ة ذل ك.كلم ات الم رور تس مى عملي ة التش فير.بالقائم ة المس روقة وتس مى كلم ات الم رور المش فرة،""التجزئ ة."الناتجة "التجزئة يوجد نوعين شائعين من الهجمات القائمة على 13 :التجزئة Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور 1. Pass-the-Hash Attack هجوم تمرير التجزئة.1 Pass-the-Hash (PtH) is a technique that allows an attacker ه و أس لوب يس محPass-the-Hash (PtH) to authenticate to a resource by using the underlying NT للمهاجم بالمصادقة على أحد الموارد باستخدام LAN Manager (NTLM) hash of a user’s password, in lieu of using the account’s actual human-readable password. NT LAN Manager (NTLM) تجزئ ة Once obtained, a valid username and hash can be used to ب دًال من،األساس ية لكلم ة م رور المس تخدم authenticate to a remote server or service using LM or اس تخدام كلم ة الم رور الفعلي ة ال تي يمكن NTLM authentication. بمج رد الحص ول.لإلنس ان قراءته ا للحس اب A PtH attack exploits an implementation weakness in the يمكن اس تخدام اس م مس تخدم وتجزئ ة،عليه ا authentication protocol. The password hash remains ص الحين للمص ادقة على خ ادم أو خدم ة بعي دة static for every session until the password itself changes. PtH can be performed against almost any server or NTLM أوLMباستخدام مصادقة service accepting LM or NTLM authentication, including ضعف التنفيذ في بروتوكولPtH يستغل هجوم Windows, Unix, Linux, or another operating system. تظ ل كلم ة الم رور ثابت ة لك ل جلس ة.المص ادقة يمكن.ح تى تتغ ير كلم ة الم رور نفس ها 14 على أي خ ادم أو خدم ة تقريًبا تقب لPtHإج راء ك ا في ذل بم،NTLM أوLMادقة مص Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور Malware may scrape memory for password hashes, قد تق وم ال برامج الض ارة ب البحث في ال ذاكرة making any active running user, application, service, or مم ا يجع ل أي،عن تجزئ ة كلم ة الم رور process a potential target. Once obtained, it uses أو معالج ة، أو خدم ة، أو تط بيق،مس تخدم command and control or other automation for additional lateral movement or data exfiltration. بمج رد.نش طة قي د التش غيل ه دًفا محتمًال فإنها تستخدم في التحكم أو أي،الحصول عليها While PtH attacks are more common on Windows systems, they can also exploit Unix and Linux endpoints. أتمت ة أخ رى للحرك ة الجانبي ة اإلض افية أو Modern systems can defend against PtH attacks in a.استخراج البيانات variety of ways. However, changing the password frequently or using one-time passwords (OTPs) is a good أك ثر ش يوًعاPtHعلى ال رغم من أن هجم ات defense to keep the hash different between the sessions. إال أنه ا يمكنه ا أيًض ا،Windows على أنظم ة Password management solutions that can rotate يمكن.Linux وUnixاس تغالل نق اط نهاي ة passwords frequently or customize the security token are بع دةPtHلألنظم ة الحديث ة ال دفاع ضد هجم ات an effective defense against this technique. يعد تغيير كلمة المرور بشكل، ومع ذلك.طرق متك رر أو اس تخدام كلم ات م رور لم رة ) ) دفاًع ا جي ًدا للحف اظ علىOTPsواح دة 15 تع د حل ول إدارة.اختالف التجزئ ة بين الجلس ات Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور 2. Rainbow Table Attack هجوم جدول قوس قزح.2 Hashing ciphers are complex and usually well-known, تع د ش فرات التجزئ ة معق دة وع ادة م ا تك ون which means there are a limited quantity to try. The مم ا يع ني أن هن اك كمي ة مح دودة،معروف ة limited availability of reliable ciphers leads to another tool in the attacker’s arsenal, the hash table. A hash table يؤدي التوفر المحدود للشفرات.يمكنك تجربتها is a precomputed list of hashed passwords in a simple الموثوق ة إلى وج ود أداة أخ رى في ترس انة comparison against the stolen data. ج دول التجزئ ة. وهي ج دول التجزئ ة،المه اجم Whereas a hash table will store the passwords and hashes عب ارة عن قائم ة محس وبة مس بًقا لكلم ات for a particular cipher, Rainbow Tables hold the المرور المجزأة في مقارنة بسيطة مع البيانات passwords and hashes for multiple ciphers. They then.المسروقة shrink the data to more manageable levels—though the files are still relatively large. في حين أن ج دول التجزئ ة س يخزن كلم ات ف إن ج داول،الم رور والتجزئ ة لش فرة معين ة ق وس ق زح تحتف ظ بكلم ات الم رور والتجزئ ة ثم يقوم ون بع د ذل ك بتقليص.لش فرات متع ددة 16 على،البيانات إلى مستويات أكثر قابلية لإلدارة.الرغم من أن الملفات ال تزال كبيرة نسبًيا Common Password Attack Methods الطرق الشائعة للهجوم على كلمة المرور A common approach to defeating hash tables and الطريق ة الش ائعة للتغلب على ج داول التجزئ ة Rainbow Table Attacks is to "salt" the hash. This applies.وهجمات جدول قوس قزح هي "ملح" التجزئة an extra, unique encoding to each password. Even though ويطبق هذا تشفيًر ا إضافًيا فري ًدا على كل كلمة the cipher is the same, without the salt, it won’t result in the same hash. Salting the hash renders the hash table ، على ال رغم من أن التش فير ه و نفس ه.م رور redundant. Using long, complex, unique passwords and. فإن ه لن ي ؤدي إلى نفس التجزئ ة،ب دون الملح multi-factor authentication also provides protection ي ؤدي تمليح التجزئ ة إلى جع ل ج دول التجزئ ة against Rainbow Table Attacks and hash tables. كم ا ي وفر اس تخدام كلم ات.زائ دًا عن الحاج ة م رور طويل ة ومعق دة وفري دة من نوعه ا والمص ادقة متع ددة العوام ل الحماي ة ض د.هجمات جدول قوس قزح وجداول التجزئة 17 Data Interception اعتراض البيانات An interception is where an unauthorized individual االعتراض هو المكان الذي يتمكن فيه فرد غير gains access to confidential or private information. مص رح ل ه من الوص ول إلى معلوم ات س رية أو Interception attacks are attacks against network the هجم ات االع تراض هي هجم ات ض د.خاص ة confidentiality objective of the CIA Triad. الش بكة ال تي ته دف إلى الحف اظ على الس رية.لدى ثالوث االمن 18 Data Interception اعتراض البيانات Examples of Interception attacks: :أمثلة على هجمات االعتراض Eavesdropping on communication.. التنصت على االتصاالت Wiretapping telecommunications networks.. التنصت على شبكات االتصاالت Illicit copying of files or programs.. النسخ غير المشروع للملفات أو البرامج Obtaining copies of messages for later replay. Packet sniffing and key logging to capture data from a الحص ول على نس خ من الرس ائل إلع ادة computer system or network..تشغيلها الحقا استنش اق الح زم (تص نت) وتس جيل المف اتيح اللتق اط البيان ات من نظ ام الكم بيوتر أو.الشبكة 19 Data Interception اعتراض البيانات Mitigate the attack : :تخفيف الهجوم Using Encryption - SSL, VPN, 3DES, BPI+ are VPN وSSL يتم نش ر- اس تخدام التش فير deployed to encrypts the flow of information from source لتش فير ت دفق المعلوم ات من+BPI و3DESو to destination so that if someone is able to snoop in on the flow of traffic, all the person will see is ciphered text. المص در إلى الوجه ة بحيث إذا تمكن ش خص م ا ف إن ك ل،من التطف ل على ت دفق حرك ة الم رور Traffic Padding - It is a function that produces cipher text output continuously, even in the absence of plain text. A.ما سيراه الشخص هو نص مشفر continuous random data stream is generated. When هي وظيفة تنتج إخراج نص- ملئ حركة المرور plaintext is available, it is encrypted and transmitted. When input plaintext is not present, the random data are ح تى في حال ة ع دم،مش فر بش كل مس تمر encrypted and transmitted. This makes it impossible for يتم إنش اء دف ق بيان ات.وج ود نص ع ادي an attacker to distinguish between tree data flow and يتم، عن دما يت وفر نص ع ادي.عش وائي مس تمر noise and therefore impossible to deduce the amount of عن دما ال يك ون النص الع ادي.تش فيره ونقله traffic. يتم تشفير البيانات العشوائية،لإلدخال موجوًدا وهذا يجعل من المستحيل على المهاجم.ونقلها 20 ،التمي يز بين ت دفق بيان ات الش جرة والضوض اء وبالت الي من المس تحيل اس تنتاج مق دار حرك ة Spoofing Attack هجوم االنتحال Spoofing is the act of disguising a communication or identity so االنتح ال ه و عملي ة إخف اء اتص ال أو هوي ة بحيث that it appears to be associated with a trusted, authorized source. يمكن أن.تب دو مرتبط ة بمص در معتم د وموث وق Spoofing attacks can take many forms, from the common email spoofing attacks that are deployed in phishing campaigns to ب دًءا من،تتخ ذ هجم ات االنتح ال أش كااًل عدي دة caller ID spoofing attacks that are often used to commit fraud. هجم ات انتح ال البري د اإللك تروني الش ائعة ال تي Attackers may also target more technical elements of an يتم نش رها في حمالت التص يد االحتي الي وح تى organization’s network, such as an IP address, domain name system (DNS) server, or Address Resolution Protocol (ARP) هجم ات انتح ال هوي ة المتص ل ال تي غالًب ا م ا service, as part of a spoofing attack. قد يستهدف.ُتستخدم الرتكاب عمليات احتيال Spoofing attacks typically take advantage of trusted relationships المه اجمون أيًض ا عناص ر أك ثر تقني ة لش بكة by impersonating a person or organization that the victim knows. أو خادم نظام اسمIP مثل عنوان،مؤسسة ما In some cases—such as whale phishing attacks that feature email spoofing or website spoofing—these messages may even be ) ) أو خدم ة بروتوك ول تحلي لDNSالمج ال personalized to the victim in order to convince that person that. كجزء من هجوم االنتحال،))ARP العنوان the communication is legitimate. If the user is unaware that internet communications can be faked, they are especially likely عادًة م ا تس تفيد هجم ات االنتح ال من العالق ات to fall prey to a spoofing attack الموثوق ة من خالل انتح ال شخص ية ش خص أو - في بعض الح االت.مؤسس ة تعرفه ا الض حية 21 مث ل هجم ات التص يد االحتي الي ال تي تتم يز Spoofing Attack هجوم االنتحال A successful spoofing attack can have serious consequences. يمكن أن يك ون لهج وم االنتح ال الن اجح ع واقب An attacker may be able to steal sensitive personal or ق د يك ون المه اجم ق ادًر ا على س رقة.وخيم ة company information, harvest credentials for use in a future attack or fraud attempt, spread malware through malicious ،معلومات شخصية أو معلومات خاصة بالشركة links or attachments, gain unauthorized network access by أو جم ع بيان ات االعتم اد الس تخدامها في هج وم taking advantage of trust relationships, or bypass access أو نش ر ال برامج،مس تقبلي أو محاول ة احتي ال controls. They may even launch a denial-of-service (DoS) attack or a man-in-the-middle (MITM) attack. أو،الض ارة من خالل رواب ط أو مرفق ات ض ارة الوص ول غ ير المص رح ب ه إلى الش بكة من خالل What does this mean in business terms? Once a spoofing attack has succeeded in duping its victim, an organization أو تج اوز عناص ر،االس تفادة من عالق ات الثق ة could be hit with a ransomware attack or experience a costly وق د يقوم ون أيًض ا بش ن.التحكم في الوص ول and damaging data breach. Business email compromise ) ) أو هجوم رجل فيDoSهجوم رفض الخدمة (BEC), in which an attacker impersonates a manager and tricks an employee into sending money into an account that.))MITM الوسط is actually owned by a hacker, is another common spoofing ماذا يع ني ه ذا من الناحي ة التجاري ة؟ بمج رد attack. يمكن أن،نجاح هجوم انتحالي في خداع ضحيته تتعرض المؤسسة لهجوم فدية أو تتعرض لخرق 22 يع د اخ تراق البري د.بيان ات مكل ف وم دمر Spoofing Attack هجوم االنتحال Or the business could find that its website is spreading أو قد تجد الشركة أن موقعها اإللكتروني ينشر malware or stealing private information. Ultimately, the وفي.ب رامج ض ارة أو يس رق معلوم ات خاص ة company could face legal repercussions, suffer damage to ق د تواج ه الش ركة ت داعيات،نهاي ة المط اف its reputation, and lose the confidence of its customers. For these reasons, it’s wise to learn about the kinds of. وتفق د ثق ة عمالئه ا، وتتض رر س معتها،قانوني ة spoofing attacks that are in use today as well as how to من الحكم ة التع رف على أن واع،له ذه األس باب detect and prevent them. هجم ات االنتح ال المس تخدمة الي وم باإلض افة Types of Spoofing Attacks.إلى كيفية اكتشافها ومنعها IP address spoofing attacks أنواع هجمات االنتحال Caller ID spoofing attacks IP هجمات انتحال عنوان Email address spoofing attacks هجمات انتحال هوية المتصل Website spoofing attacks هجمات انتحال عنوان البريد اإللكتروني ARP spoofing attacks DNS server spoofing attacks هجمات انتحال الموقع 23 ARP هجمات انتحال Spoofing Attack هجوم االنتحال How to Prevent Spoofing Attacks كيفية منع هجمات االنتحال Smart security tools can help you prevent spoofing يمكن أن تساعدك أدوات األمان الذكية في منع attacks, as well. A spam filter will keep most phishing س يعمل عام ل تص فية البري د.هجم ات االنتح ال emails from reaching your inbox, for example. Some organizations and even some network carriers use similar العش وائي على من ع معظم رس ائل البري د software to block spam calls from reaching users’ اإللك تروني التص يدية من الوص ول إلى ص ندوق phones. Spoofing detection software may provide تس تخدم بعض، على س بيل المث ال.ال وارد additional protection against some of the kinds of المؤسس ات وح تى بعض مش غلي الش بكات spoofing attacks mentioned above, enhancing your ability to detect and halt them before they have a chance to ب رامج مش ابهة لمن ع المكالم ات غ ير المرغ وب cause any harm. قد.فيه ا من الوص ول إلى هوات ف المستخدمين ي وفر برنامج كشف االنتحال حماية إضافية ضد ،بعض أن واع هجم ات االنتح ال الم ذكورة س ابقًا مم ا يع زز الق درة على اكتش افها وإيقافه ا قب ل.أن تتاح لها فرصة التسبب في أي ضرر 24 Spoofing Attack هجوم االنتحال Certain best practices can also reduce your chances of يمكن لبعض أفض ل الممارس ات أيًض ا أن تقل ل falling prey to a spoofing attack. Whenever possible, كلما.من فرص وقوع الشخص لهجوم انتحالي avoid relying on trust relationships for authentication in تجنب االعتم اد على عالق ات الثق ة،أمكن your network. Otherwise, attackers can leverage those relationships to stage successful spoofing attacks. Packet يمكن، وبخالف ذل ك.للمص ادقة في الش بكة filtering can prevent an IP spoofing attack since it is able للمه اجمين االس تفادة من ه ذه العالق ات لش ن to filter out and block packets that contain conflicting يمكن أن تمن ع تص فية.هجم ات انتح ال ناجح ة source address information. Using cryptographic network ألنها قادرة على تصفيةIP الحزم هجوم انتحال protocols such as HTTP Secure (HTTPS) and Secure Shell (SSH) can add another layer of protection to your وحظر الحزم التي تحتوي على معلومات عنوان environment. يمكن أن ي ؤدي اس تخدام.المص در المتض اربة HTTP بروتوك والت ش بكة التش فير مث ل Secure Shell (SSH) وSecure (HTTPS) إلى إض افة طبق ة أخ رى من الحماي ة إلى.المنشأة 25 Session Hijacking Attack هجوم اختطاف الجلسة Session hijacking is a technique used by hackers to gain اختط اف الجلس ة ه و أس لوب يس تخدمه access to a target’s computer or online accounts. In a المتس للون للوص ول إلى كم بيوتر اله دف أو session hijacking attack, a hacker takes control of a user’s في هج وم اختط اف.حس اباته ع بر اإلن ترنت browsing session to gain access to their personal information and passwords. يتحكم المتس لل في جلس ة تص فح،الجلس ة المس تخدم للوص ول إلى معلومات ه الشخص ية How Does Session Hijacking Work?.وكلمات المرور الخاصة به A session hijacker can take control of a user’s session in several ways. One common method is to use a packet sniffer كيف يعمل اختطاف الجلسة؟ to intercept the communication between the user and the server, which allows the hacker to see what information is يمكن لخاطف الجلسة التحكم في جلسة المستخدم being sent and received. They can then use this information إح دى الط رق الش ائعة هي اس تخدام.بع دة ط رق to log in to the account or access sensitive data. أداة استنش اق الح زم (التص نت) الع تراض االتص ال Session hijacking can also be performed by deploying مم ا يس مح للمتس لل،بين المس تخدم والخ ادم malware to infect the user’s computer. This gives the hacker.بمعرف ة المعلوم ات ال تي يتم إرس الها واس تالمها direct access to the machine, enabling them to then hijack يمكنهم بع د ذل ك استخدام ه ذه المعلوم ات لتس جيل any active sessions. ال دخول إلى الحس اب أو الوص ول إلى البيان ات 26.الحساسة Session Hijacking Attack هجوم اختطاف الجلسة Types of Session Hijacking أنواع اختطاف الجلسة Session hijacking can be either active or passive. In active يمكن أن يك ون اختط اف الجلس ة إم ا نش ًطا أو session hijacking, the attacker takes control of the target’s ، ففي عملي ة اختط اف الجلس ة النش طة.س لبًيا session while it is still active. The attacker does this by sending a spoofed request to the server that includes the يتحكم المه اجم في جلس ة اله دف بينم ا ال ت زال target’s session ID. This type of attack is more يق وم المه اجم ب ذلك عن طري ق إرس ال.نش طة challenging to execute because it requires the attacker to طلب مزي ف إلى الخ ادم ال ذي يتض من مع رف have an OnPath (also known as “man-in-the-middle”) يعد تنفيذ هذا النوع من الهجمات.جلسة الهدف position between the target and the server. أك ثر ص عوبة ألن ه يتطلب من المه اجم أن يك ون Passive session hijacking occurs when the attacker المع روف أيًض ا باس مOnPathلدي ه م وقع eavesdrops on network traffic to steal the target’s session ID. This type of attack is easier to execute because all an.("الرجل في المنتصف") بين الهدف والخادم attacker needs is access to network traffic, which can be يح دث اختط اف الجلس ة الس لبية عن دما يتنص ت easily accomplished if they are on the same network as المه اجم على حرك ة م رور الش بكة لس رقة the target. يع د ه ذا الن وع من.مع رف جلس ة اله دف 27 الهجم ات أس هل في التنفي ذ ألن ك ل م ا يحتاج ه ،المه اجم ه و الوص ول إلى حرك ة م رور الش بكة Session Hijacking Attack هجوم اختطاف الجلسة Prevent Session Hijacking الحماية ضد اختطاف الجلسة There are several ways to prevent session hijacking from :هناك عدة طرق لمنع حدوث اختطاف الجلسة happening: Use strong passwords and multifactor authentication. استخدم كلمات مرور قوية ومصادقة متعددة These techniques protect accounts from being accessed تعم ل ه ذه التقني ات على حماي ة.الع وامل by hackers if they manage to steal a user’s session ID. الحس ابات من الوص ول إلى المتس للين إذا Only share session IDs with trusted sources. Be careful.تمكنوا من سرقة معرف جلسة المستخدم when sharing links or sending requests to websites, as مش اركة معرف ات الجلس ة فق ط م ع المص ادر these may include session IDs. والح ذر عن د مش اركة الرواب ط أو.الموثوق ة Use a VPN. A VPN helps prevent attackers from حيث ق د،إرس ال الطلب ات إلى مواق ع ال ويب intercepting traffic, making it more difficult for them to steal session Ids..تتضمن هذه معرفات الجلسة على من عVPN تس اعد ش بكةVPN اس تخدم مم ا،المه اجمين من اع تراض حرك ة الم رور يزيد من صعوبة سرقة معرفات الجلسة 28 Session Hijacking Attack هجوم اختطاف الجلسة Keep software up to date. Make sure to keep operating التأك د من. المحافظ ة على تح ديث ال برامج systems and software up to date with the latest security تح ديث أنظم ة التش غيل وال برامج بأح دث patches to prevent attackers from exploiting تص حيحات األم ان لمن ع المه اجمين من vulnerabilities to access users’ sessions. اس تغالل الثغ رات األمني ة للوص ول إلى Take cybersecurity training. Cybersecurity threats are.جلسات المستخدمين constantly evolving, so it’s essential to stay informed on the latest attack techniques and how to prevent تتط ور. الت دريب على األمن الس يبراني them. ل ذا من،تهدي دات األمن الس يبراني باس تمرار الض روري البق اء على اطالع بأح دث تقني ات.الهجوم وكيفية منعها 29 Introduction مقدمة In discussions of cybercrime, especially nation-state cyberattacks, the term advanced persistent threat الجرائم ةب ات المتعلق في المناقش (APT) is often used. APT activity is growing and اإللكتروني ة ،وخاص ة الهجم ات اإللكتروني ة becoming a bigger threat to organizations in every على مس توى ال دول ،غالًب ا م ا ُيس تخدم sector. There was a 100% rise in significant nation- مص طلح التهدي د المس تمر المتق دم ()APT state incidents between 2017-2021, and APTs are يتزاي د نش اط التهدي دات المس تمرة المتقدم ة almost inevitably behind those attacks. (( APTويش كل تهدي ًدا أك بر للمؤسس ات في ك ل قط اع.ك ان هن اك ارتف اع بنس بة %100 في الح وادث الكب يرة ال تي وقعت على مس توى ال دول بين ع امي 2017و،2021 ومن المؤك د تقريًب ا أن التهدي دات المس تمرة المتقدمة تقف وراء تلك الهجمات. 30 An Advanced Persistent Threat (APT) )APT(التهديد المستمر المتقدم An advanced persistent threat (APT): is a prolonged and targeted cyberattack in which an intruder gains ) ه وAPT(: التهدي د المس تمر المتق دم access to a network and remains undetected for an هج وم إلك تروني مط ول ومس تهدف extended period of time. يتمكن في ه المتس لل من الوص ول إلى This type of attack is primarily associated with الش بكة ويظ ل غ ير مكتش ف لف ترة nation-state cybercrime and is frequently used as an espionage tool..طويلة من الزمن APT attacks can also be used as weapons of war to ويرتب ط ه ذا الن وع من الهجم ات في hamper enemy operations or sow chaos, as المق ام األول ب الجرائم اإللكتروني ة ال تي exemplified in the Russia-Ukraine conflict. وكثيًر ا ما يستخدم كأداة،ترتكبها الدول.تجسس ويمكن أيًض ا اس تخدام هجم ات التهديدات المستمرة المتقدمة كأسلحة ح رب لعرقل ة عملي ات الع دو أو زرع 31 كم ا ح دث في الص راع،الفوض ى The Main Objectives of APTs APTsاألهداف الرئيسية لـ The goal of an APT is to establish ongoing access ه و إنش اء وص ول مس تمر إلىAPT اله دف من to a target’s systems and data to facilitate further أنظم ة وبيان ات اله دف لتس هيل المزي د من cyberattacks and data theft..الهجمات اإللكترونية وسرقة البيانات APTs also strike at linchpins in a country’s military, تضرب التهديدات المستمرة المتقدمة أيًض ا نقاط government, transportation, infrastructure and الض عف في العملي ات العس كرية والحكومي ة manufacturing operations to cause their rival harm, والنق ل والبني ة التحتي ة والتص نيع في بل د م ا وذل ك hamper military or manufacturing operations and/or إلح داث ض رر لمنافس يها وإعاق ة العملي ات spread public uncertainty. العس كرية أو التص نيعية أو نش ر حال ة من ع دم APTs are best known as corollaries to nation-state.اليقين العام cybercrime. ُتع رف التهدي دات المس تمرة المتقدم ة بأنه ا نت ائج.طبيعية للجرائم اإللكترونية التي ترتكبها الدول An estimated 90% of advanced persistent threat groups regularly attack organizations outside of the من مجموع ات التهدي د%90 ما يق در بنح و government or critical infrastructure sectors. المس تمر المتقدم ة ته اجم بانتظ ام مؤسس ات.خارج الحكومة أو قطاعات البنية التحتية الحيوية 32 APT Groups APT مجموعات Advanced persistent threat groups (APTs) are typically state-sponsored cybercriminal مجموع ات التهدي د المس تمر المتقدم ة organizations that identify and exploit هي ع ادًة منظم ات إجرامي ةAPTs vulnerabilities in a country’s digital إلكتروني ة ترعاه ا الدول ة وتق وم بتحدي د infrastructure, attacking targets like public utilities, corporations, government agencies and واس تغالل نق اط الض عف في البني ة assets in the defense industrial base. وتهاجم،التحتية الرقمية للدول االخرى أهداًفا مثل المرافق العامة والشركات Russia, China, Iran and North Korea are the four والوك االت الحكومي ة واألص ول في largest sponsors of APT groups..القاعدة الصناعية الدفاعية Experts consider Russian nation-state actors to تع د روس يا والص ين وإي ران وكوري ا be the most effective APT groups, jumping from a 21% successful compromise rate in 2020 to a الش مالية أك بر أربع ة رع اة لمجموع ات 32% rate in 2021. APT ويعت بر الخ براء أن الجه ات الفاعل ة في 33 الدول ة الروس ية هي مجموع ات The Most Notable APT Groups APT أبرز مجموعات These are a few of the more well-known APT groups: : األكثر شهرةAPTهذه بعض من مجموعات Lazarus Group is a North Korean APT group كوري ة ش ماليةAPT هي مجموع ةLazarus Group: known for the retaliatory attack on Sony in 2014 في ع امSony معروف ة ب الهجوم االنتق امي على ش ركة Fancy Bear is an APT group well known for.2014 causing political chaos during Hillary Clinton’s معروف ة بتس ببهاAPT هي مجموع ةFancy Bear: presidential election campaign in 2016. في فوض ى سياس ية خالل حمل ة االنتخاب ات الرئاس ية Machete is a South American APT group first noted.2016 لهيالري كلينتون في عام in 2014. في أمريك ا الجنوبي ة تمAPT هي مجموع ةMachete:.2014 اكتشافها ألول مرة في عام Chinese hacking group Hafnium is an active organization that is commonly associated with APT هي منظم ةHafnium مجموع ة القرص نة الص ينية attacks..APT نشطة ترتبط عادًة بهجمات The Equation Group is generally suspected to be a هي غط اءThe Equation Group ُيش تبه عموًم ا أن cover for the U.S. NSA’s nation-state hacking لعملي ات القرص نة ال تي تق وم به ا وكال ة األمن الق ومي األمريكية operations.. 34 The Characteristics of APTs APTs خصائص APT attacks share a few common characteristics.. في بعض الخص ائص المش تركةAPTتش ترك هجم ات Familiarity with them can help IT professionals spot red يمكن أن يس اعد اإللم ام به ا متخصص ي تكنولوجي ا flags..المعلومات في اكتشاف العالمات الحمراء Advanced persistent threat attacks generally target تس تهدف هجم ات التهدي د المس تمر المتقدم ة بش كل government and military assets, infrastructure and ع ام األص ول الحكومي ة والعس كرية والبني ة التحتي ة businesses..والشركات Malware including ransomware is the preferred تع د ال برامج الض ارة بم ا في ذل ك ب رامج الفدي ة هي weapon of nation-state threat actors..السالح المفضل للجهات الفاعلة التي تهدد الدول An estimated 60% of nation-state activity is directed at من نش اط الدول ة القومي ة موج ه٪60 م ا يق در بنح و IT companies, commercial facilities, manufacturing إلى ش ركات تكنولوجي ا المعلوم ات والمراف ق التجاري ة facilities and financial services firms..ومنشآت التصنيع وشركات الخدمات المالية APT attacks can slowly unfold over a long period of ببطء على م دى ف ترةAPT يمكن أن تتكش ف هجم ات time and be very hard to detect..طويلة من الزمن ويكون من الصعب جًدا اكتشافها Phishing is a common method used to initiate attacks التص يد االحتي الي ه و أس لوب ش ائع يس تخدم لب دء by APT groups..APT هجمات من قبل مجموعات 35 APT Attack APT هجوم An APT attack is a multistage cyberattack by a state- ه و هج وم إلك تروني متع دد المراح لAPT: هج وم sponsored cybercrime group that typically results in من قب ل مجموع ة ج رائم إلكتروني ة ترعاه ا الدول ة damage to a rival nation’s assets. An APT attack can.وي ؤدي ع ادًة إلى اإلض رار بأص ول دول ة منافس ة also be an information gathering expedition as part of عب ارة عن حملةAPTيمكن أيًض ا أن يكون هجوم espionage operations. APT attacks are characterized by.لجم ع المعلوم ات كج زء من عملي ات التجسس being highly sophisticated, difficult to detect and long بكونها متطورة للغاية ويصعبAPTتتميز هجمات lasting..اكتشافها وتدوم طويًال The goal of an APT attack is to gain access to systems and information that can be exploited for espionage ه و الوص ول إلى األنظم ةAPT اله دف من هج وم purposes or used to do damage to a rival nation’s والمعلوم ات ال تي يمكن اس تغاللها ألغ راض infrastructure or economy. Apt attacks are generally التجس س أو اس تخدامها إللح اق الض رر بالبني ة tightly targeted and aimed at government, military, عادًة ما تكون.التحتية أو االقتص اد لدولة منافسة infrastructure or essential industrial targets. الهجم ات موجه ة بش كل محكم وتس تهدف الحكوم ة أو الجيش أو البني ة التحتي ة أو األه داف.الصناعية األساسية 36 APT Attack Phases APT مراحل هجوم Most advanced persistent threat attacks unfold in this pattern: :معظم هجمات التهديد المستمر المتقدمة تتجلى في هذا النمط Research: Accumulating important information about the target, looking والبحث عن نق اط، تجمي ع معلوم ات مهم ة ح ول اله دف: البحث for vulnerabilities in the target’s network and identifying likely successful الض عف في ش بكة اله دف وتحدي د أس اليب الهندس ة االجتماعي ة social engineering tactics..الناجحة Entry: The hackers gain access to the target’s environment using a يتمكن المتسللون من الوصول إلى بيئة الهدف باستخدام: اإلدخال ، مث ل رس الة التص يد االحتي الي،طريق ة ذات فرص ة كب يرة للنج اح method with a high chance of success, like a phishing message, often.وغالًبا ما تنشر برامج ضارة مخصصة deploying customized malware. يظ ل المتس للون تحت ال رادار ويرس مون خريط ة: رس م الخرائ ط Mapping: The hackers stay under the radar and map out the network, وغالًبا ما يستغلون هذه الفرصة لتمهيد الطريق لهجمات،للشبكة often using this opportunity to set the stage for future attacks by doing.مستقبلية من خالل القيام بأشياء مثل فتح األبواب الخلفية things like opening back doors. هي أنAPT إح دى النت ائج الش ائعة لهج وم: التق اط البيان ات Data Capture: One common result of an APT attack is that bad actors are الجهات الفاعلة السيئة قادرة على جمع بيانات حساسة ألكثر من able to gather sensitive data for over months or years..أشهر أو سنوات Ransomware/Malware Deployment: Another common result of an APT إحدى النتائج الشائعة األخرى:البرامج الضارة/ نشر برامج الفدية intrusion is the deployment of malware like ransomware to force the هي نشر برامج ضارة مثل برامج الفدية إلجبار الهدفAPTلتطفل target to stop operations by encrypting systems and/or data and على إيق اف العملي ات عن طري ق تش فير األنظم ة أو البيان ات demanding payment for the decryptor..والمطالبة بالدفع مقابل برنامج فك التشفير 37 Reasons of the Success of APT Attacks APT أسباب نجاح هجمات Advanced persistent threat attacks are frequently غالًب ا م ا تك ون هجم ات التهدي د المس تمر successful because they’re hard to detect and the كم ا،المتقدم ة ناجح ة نظ ًر ا لص عوبة اكتش افها cybercriminals that perpetrate them are highly skilled أن المج رمين اإللكترون يين ال ذين يرتكبونه ا at using techniques like spear phishing, credential compromise and social engineering. After an attack, يتمتع ون بمه ارات عالي ة في اس تخدام تقني ات APT groups may also leave behind difficult-to-detect مث ل التص يد االحتي الي وتس وية بيان ات االعتم اد back doors in systems that they can exploit later. ق د ت ترك، بع د الهج وم.والهندس ة االجتماعي ة مجموع ات التهدي دات المتقدم ة أيًض ا وراءه ا أبواًبا خلفي ة يص عب اكتش افها في األنظم ة ال تي.يمكنها استغاللها الحًقا 38 The best measures to avoid APT attacks APT أفضل التدابير لتجنب هجمات The best measures to avoid APT attacks include: APTتش مل أفض ل اإلج راءات لتجنب هجم ات Consistent patching to reduce exploitable :ما يلي vulnerabilities التص حيح المتس ق (اقف ال الثغ رات) لتقلي ل Strong email security to stop phishing.نقاط الضعف القابلة لالستغالل Secure identity management, like using multifactor أم ان ق وي للبري د اإللك تروني لوق ف التص يد (MFA) or two-factor authentication (2FA) for all user logins to prevent unauthorized access.االحتيالي Regular security awareness training for all employees مث ل اس تخدام المص ادقة، إدارة الهوي ة اآلمن ة ) ) أو المص ادقة الثنائي ةMFAمتع ددة الع وامل ) لجمي ع عملي ات تس جيل دخ ول2FA( 39 Attack Indication Events أحداث إشارة الهجوم To detect security policy violations within a controlled area للكش ف عن انتهاك ات سياس ة األم ان داخ ل منطق ة خاض عة (network traffic of log file), it is necessary to know how to من الض روري،)للتحكم (لمل ف س جل حرك ة م رور الش بكة identify them and how to distinguish them from normal security معرفة كيفية التعرف عليها وكيفية تمييزها عن األحداث األمنية events..العادية The following events can be considered to be attack indications: : يمكن اعتبار األحداث التالية بمثابة مؤشرات للهجوم Repeated occurrence of specific events تكرار حدوث أحداث محددة Incorrect commands or commands that do not correspond أوامر غير صحيحة أو أوامر ال تتوافق مع الوضع الحالي to the current situation Exploiting vulnerabilities استغالل نقاط الضعف Inappropriate parameters of the network traffic معلمات غير مناسبة لحركة مرور الشبكة Unexpected attributes سمات غير متوقعة Inexplicable problems مشاكل ال يمكن تفسيرها Additional information on security violations معلومات إضافية عن االنتهاكات األمنية Any security tool (firewalls, authentication servers, access control ، وخ وادم المص ادقة، تس تخدم أي أداة أمني ة (ج دران الحماي ة systems, and so on) use one or two of the above-listed conditions, وما إلى ذلك) واح ًدا أو اثنين من،وأنظمة التحكم في الوصول while intrusion detection systems (depending on the بينما تستخدم أنظمة كشف التسلل،الشروط المذكورة أعاله implementation) employ nearly all attack indications..(اعتماًدا على التنفيذ) جميع مؤشرات الهجوم تقريًبا 40 Repeated Occurrence of Specific Events تكرار حدوث أحداث محددة Recognizing specific actions or events that take place يمثل التعرف على إجراءات أو أحداث محددة تحدث repeatedly represents one of the best methods of intrusion.بشكل متكرر إحدى أفضل طرق اكتشاف التسلل detection. This mechanism is based on the assumption that, if the وتعتمد هذه اآللية على افتراض أنه في حالة first attempt has failed, the intruder repeats his attempts of يكرر الدخيل محاوالته،فشل المحاولة األولى unauthorized access to a specific resource..للوصول غير المصرح به إلى مورد معين For example, port scanning in order to find available يمكن اعتبار فحص المنفذ، على سبيل المثال network services or any attempts of guessing the للعثور على خدمات الشبكة المتاحة أو أي password can be considered to be such an attempt. محاوالت لتخمين كلمة المرور بمثابة محاولة Algorithms used for detecting unauthorized activity must.من هذا القبيل recognize such repeated attempts and decide how many additional attempts are, in fact, indications of an attack. يجب أن تتعرف الخوارزميات المستخدمة للكشف عن النشاط غير المصرح به على مثل هذه المحاوالت المتكررة وتقرر عدد المحاوالت اإلضافية التي تعتبر في الواقع مؤشرات على.الهجوم 41 Repeated Occurrence of Specific Events تكرار حدوث أحداث محددة Detecting of repeated events represents a powerful approach, ألن ه،مث ل اكتش اف األح داث المتك ررة أس لوًبا قوًي ا since it allows detection even of those attacks about which يسمح بالكشف حتى عن تلك الهجمات التي ال توجد there is no additional information (in other words, it allows يسمح باكتشاف،معلومات إضافية عنها (بمعنى آخر the detection of unknown attacks of a specific type)..)الهجمات غير المعروفة من نوع معين Either (or both) of the following events can be used as a criterion: يمكن اس تخدام أح د (أو كليهم ا) من األح داث The number of repeated events exceeds a specific :التالية كمعيار threshold value (for example, the permitted number يتج اوز ع دد األح داث المتك ررة قيم ة معين ة of network logons might be exceeded). ق د يتم تج اوز الع دد،(على س بيل المث ال المس موح ب ه لعملي ات تس جيل ال دخول إلى.)الشبكة Events are repeated within a specified time interval (for example, an attempt to connect host ports). يتم تك رار األح داث خالل ف ترة زمني ة مح ددة محاول ة توص يل مناف ذ،(على س بيل المث ال.)المضيف 42 In Incorrect Commands أوامر غير صحيحة Another method of identifying unauthorized activity هن اك طريق ة أخ رى لتحدي د النش اط غ ير involves detection of invalid or incorrect requests or المص رح ب ه تتض من اكتش اف الطلب ات أو responses expected from automated processes or programs. االس تجابات غ ير الص الحة أو غ ير الص حيحة Lack of correspondence to the expected reactions enables.المتوقعة من العمليات أو البرامج اآللية us to come to the conclusion that one of the participants إن ع دم التط ابق م ع ردود الفع ل المتوقع ة of the information exchange — either the one requesting information or the one returning the answer — has been يمّكنن ا من التوص ل إلى نتيج ة مفاده ا أن أح د replaced. إم ا ال ذي- المش اركين في تب ادل المعلوم ات ق د- يطلب المعلوم ات أو ال ذي يعي د اإلجاب ة.تم استبداله 43 Exploiting Vulnerabilities استغالل نقاط الضعف the process of using automated tools for searching for the most common vulnerabilities (the so-called security عملي ة اس تخدام األدوات اآللي ة للبحث عن scanners) or attack implementation is generally نقاط الضعف األكثر شيوًعا (ما يسمى ببرامج distinguished as a separate category of attack indications. الفحص األم ني) أو تنفي ذ الهج وم يتم تمييزه ا There is a wide range of such tools, from freeware utilities بش كل ع ام كفئ ة منفص لة من مؤش رات such as X-Spider, up to commercial products such as the Internet Scanner..الهجوم Despite the fact that vulnerability search tools are بدًءا، هن اك مجموعة واسعة من ه ذه األدوات intended for noble purposes, they are quite often misused. X- من األدوات المس اعدة المجاني ة مث ل This is especially true for cases when vulnerability searching tools are not protected from such misuse, or are وح تى المنتج ات التجاري ة مث ل،Spider themselves freeware.. Internet Scanner على الرغم من أن أدوات البحث عن الثغرات إال أنه غالًبا ما،األمنية مخصصة ألغراض نبيلة وينطب ق ه ذا بش كل.يتم إس اءة اس تخدامها خ اص على الح االت ال تي تك ون فيه ا أدوات 44 البحث عن الثغ رات األمني ة غ ير محمي ة من Exploiting Vulnerabilities استغالل نقاط الضعف There are two aspects of detecting such tools: :هناك جانبان الكتشاف هذه األدوات Detection of vulnerability scanners. Some. الكش ف عن ماس حات نق اط الض عف specialized tools, such as the Courtney system developed in Computer Incident Advisory مث ل،يمكن لبعض األدوات المتخصص ة Capability (CIAC), can detect the fact of the ال ذي تم تط ويره فيCourtneyنظ ام SATAN scanner usage. الق درة االستش ارية لح وادث الكم بيوتر Detection of attack implementation. The اكتش اف حقيق ة اس تخدام،))CIAC RealSecure Network Sensor system developed by.SATAN الماسح ISS can log that the intruder has imitated the action externally in relation to the host being يمكن لنظ ام. الكش ف عن تنفي ذ الهج وم scanned; this is committed by the intruder using ال ذيRealSecure مستش عر الش بكة various security scanners such as Queso. تس جيل قي ام ال دخيل بتقلي دISSط ورته اإلجراء خارجًيا فيما يتعلق بالمضيف الذي يتم فحص ه؛ يتم تنفي ذ ذل ك من قب ل ال دخيل باس تخدام الماس حات األمني ة.Queso المختلفة مثل 45 Inappropriate Parameters of the Network Traffic معلمات غير مناسبة لحركة مرور الشبكة There are other parameters that can be used as indications of an ويمكن.هن اك معلم ات أخ رى يمكن اس تخدامها كمؤش رات للهج وم على س بيل،اس تخدام خص ائص معين ة لحرك ة م رور الش بكة له ذا الغ رض attack. Certain characteristics of network traffic can be used for :المثال this purpose, for example: External network addresses detected within the internal network عن اوين الش بكة الخارجي ة ال تي تم اكتش افها داخ ل الش بكة الداخلية والتي تصل إلى عناوين الشبكة الخارجية األخرى that access other external network addresses Unexpected network traffic (for example, bypassing the firewall تجاوز، حركة مرور غير متوقعة على الشبكة (على سبيل المثال )جدار الحماية أو تجاوز مقدار حركة المرور المرسلة or exceeding the amount of transmitted traffic) Unexpected parameters of network traffic (non-standard flag معلمات غير متوقعة لحركة مرور الشبكة (مجموعات العالمات ) وما إلى ذلك،غير القياسية combinations, etc.) Detection of scanning attempts (such as identification of اكتش اف مح اوالت المس ح (مث ل تحدي د مض يفي الش بكة )وخدماتها network hosts and services) Repeated half-open connections, which might characterize وال تي ق د تم يز إم ا هجم ات، اتص االت متك ررة نص ف مفتوح ة ) ) أو انتح ال الحزم ة مح اوالت ناجح ةDoS حجب الخدم ة either DoS attacks or packet spoofing لالتص ال بالخ دمات الن ادرة االس تخدام أو غ ير العادي ة على Successful attempts of connecting to rarely used or unusual مضيفي الشبكة services on the network hosts االتص االت التسلس لية لمض يفي الش بكة أو الخ دمات ال تي تعم ل Sequential connections to network hosts or services running on على مضيف معين a specific host اتصاالت من وإلى موقع غير متوقع Connections TO and FROM an unexpected location محاوالت االتصال الفاشلة Repeated failed connection attempts. 46 Unexpected Attributes سمات غير متوقعة Requests from any system, network or user are characterized تتميز الطلبات الواردة من أي نظام أو شبكة أو by certain attributes that describe the so-called system, مستخدم بسمات معينة تصف ما يسمى بملف network, or user profile. These profiles are used for monitoring and analysing the controlled object. The most.تعري ف النظ ام أو الش بكة أو المس تخدم frequently used parameters that provide the capability of ُتس تخدم ملف ات التعري ف ه ذه لمراقب ة وتحلي ل detecting a potential attack are considered below. فيم ا يلي.الك ائن ال ذي يتم التحكم فيه Date and Time: المعلم ات األك ثر اس تخداًما وال تي ت وفر الق درة Date and time represent the most characteristic attributes.على اكتشاف هجوم محتمل that are used when detecting security policy violations. Let us suppose, for example if an intrusion detection system :التاريخ و الوقت registers a logon attempt during weekends and holidays for يمثل التاريخ والوقت السمات األكثر تميًز ا التي an employee of. another example which uses time as the attack indicator: If the time interval between data input and يتم اس تخدامها عن د اكتش اف انتهاك ات سياس ة payment confirmation is too small (insufficient for normal إذا ق ام، على س بيل المث ا?