Methods of Password Attacks (PDF)

Summary

This document discusses common methods of password attacks, including social engineering, and password resets. It highlights the importance of training end-users to be vigilant about the legitimacy of communication requests. It also explains the risks associated with password resets and best practices to increase security.

Full Transcript

‫‪Common Password Attack Methods‬‬
‫الطرق الشائعة للهجوم على كلمة المرور‬

‫الهندسة االجتماعية والهجمات البشرية‬
‫هجم ات الهندس ة االجتماعي ة‪ ،‬وال تي تتض من‬
‫أش كااًل مختلف ة من رس ائل البري د اإللك تروني‬
‫التص يدية‪ ،‬والتص يد االحتي الي (المكالم ات‬
‫الص وتية)‪ ،‬وهجم ات إع ادة تع يين كلم ة الم رور‪.‬‬
‫تس تلزم ه ذه الهجم ات معرف ة أك بر ق در ممكن‬
‫عن اله دف ح تى يتمكن المج رم اإللك تروني من‬
‫إج راء تخمين ات مدروس ة ح ول كلم ات الم رور‬
‫الخاصة بالهدف‪.‬‬
‫تع د أس ماء الحيوان ات األليف ة واألطف ال وال زوج‬
‫والعن اوين وأعي اد الميالد والهواي ات واألص دقاء‬
‫من أهم المعلوم ات المتاح ة لمنف ذي التهدي د‪.‬‬
‫أح د األفالم المفض لة وال برامج التلفزيوني ة‬
‫‪1‬‬
‫والمؤلفين والفرق الموسيقية والممثلين‪ ،‬وأكثر‬
‫من ذل ك‪ ،‬وتص بح معظم حس ابات وس ائل‬
 ‫‪Common Password Attack Methods‬‬
‫الطرق الشائعة للهجوم على كلمة المرور‬

‫‪.1‬التص يد االحتي الي والتص يد االحتي الي ع بر‬
‫االتصال‬
‫غالًب ا م ا يتم االس تفادة من التص يد االحتي الي‬
‫والتصيد عبر المكالمات الصوتية لجمع المعلومات‬
‫لهجم ات أخ رى‪ ،‬باإلض افة إلى زرع ب رامج ض ارة‬
‫على نقط ة النهاي ة‪.‬يمكن اس تخدام ه ذه ال برامج‬
‫الض ارة لس حب كلم ات الم رور‪.‬يمكن أيًض ا أن‬
‫تك ون رس ائل البري د اإللك تروني التص يدية أو‬
‫التص يد االحتي الي ج زًءا من هج وم إع ادة تع يين‬
‫كلمة المرور المخادعة‪.‬أحد األساليب الشائعة هو‬
‫أن تقوم رسالة البريد اإللكتروني التصيدية بتوفير‬
‫رابط للنقر عليه ألغراض إعادة تعيين كلمة مرور‬
‫الحساب‪.‬قد يدعي المهاجمون أن هذا يرجع إلى‬
‫اخ تراق محتم ل لكلم ة م رور قديم ة‪.‬ق د يحم ل‬
‫‪2‬‬
‫البريد اإللكتروني شعاًر ا وشكاًل لتاجر‪ ،‬مثل بنك أو‬
‫بائع تجزئة أو مزود خدمة‪.‬ومع ذلك‪ ،‬فإن الرابط‬
 ‫‪Common Password Attack Methods‬‬
‫الطرق الشائعة للهجوم على كلمة المرور‬

‫تع د ه ذه الهجم ات بمثاب ة ت ذكير دائم بأهمي ة‬
‫ت دريب المس تخدم النه ائي‪.‬يجب أن يك ون‬
‫المس تخدمون يقظين دائًم ا للتأك د من أن‬
‫عناوين البريد اإللكتروني أو أرقام الهواتف التي‬
‫تطلبها مشروعة بالفعل‪.‬‬
‫‪.2‬التغي يرات القس رية أو إع ادة تع يين كلم ة‬
‫المرور‬
‫لسوء الحظ‪ ،‬هناك خطر شائع في إعادة تعيين‬
‫كلم ات الم رور مم ا يجع ل إع ادة تع يين كلم ة‬
‫الم رور أه داًفا للجه ات الفاعل ة في التهدي د‪.‬‬
‫فإع ادة تع يين كلم ة الم رور هي عملي ة تغي ير‬
‫كلم ة م رور قس ري يق وم به ا ش خص آخ ر‪ ،‬على‬
‫س بيل المث ال من مكتب الخدم ة أو مال ك‬
‫‪3‬‬
‫التط بيق‪.‬لم يتم ب دء ه ذا التغي ير بواس طة‬
‫المستخدم النهائي‪.‬‬
 ‫‪Common Password Attack Methods‬‬
‫الطرق الشائعة للهجوم على كلمة المرور‬

‫تشمل مخاطر إعادة تعيين كلمة المرور ما يلي‪:‬‬
‫ يتم إع ادة تع يين كلم ات الم رور ع بر البري د‬
‫اإللك تروني أو الرس ائل النص ية ويحتف ظ به ا‬
‫المستخدم النهائي‬
‫ تتم إع ادة اس تخدام كلم ات الم رور ال تي تم‬
‫إعادة تعيينها بواسطة مكتب المساعدة في كل‬
‫مرة يتم فيها طلب إعادة تعيين كلمة المرور‬
‫ تتم إع ادة تع يين كلم ة الم رور تلقائًي ا بش كل‬
‫أعمى بسبب عمليات إغالق الحساب‬
‫ يمكن س ماع كلم ات الم رور المنقول ة ش فهًيا‬
‫بصوت عاٍل‬
‫ عملي ات إع ادة تع يين كلم ة الم رور المعق دة‬
‫المكتوبة بواسطة المستخدم النهائي‬
‫ كلم ات الم رور المس تندة إلى األنم اط ال تي‬
‫‪4‬‬
 ‫‪Common Password Attack Methods‬‬
‫الطرق الشائعة للهجوم على كلمة المرور‬

‫في أي وقت تتم فيه إعادة تعيين كلمة المرور‪،‬‬
‫يك ون هن اك إق رار ض مني ب أن كلم ة الم رور‬
‫القديم ة في خط ر ويجب تغييره ا‪.‬ربم ا تم‬
‫نس يانه أو انته اء ص الحيته أو تس بب في إغالق ه‬
‫بس بب العدي د من المح اوالت الفاش لة‪.‬تش كل‬
‫إع ادة تع يين كلم ة الم رور الجدي دة ونقله ا‬
‫وتخزينه ا خط ًر ا ح تى يتم تغي ير كلم ة الم رور‬
‫بواس طة المس تخدم النه ائي‪.‬وبطبيع ة الح ال‪،‬‬
‫في بعض األحيان يهمل المستخدم النهائي تغيير‬
‫كلمة المرور على اإلطالق‪.‬‬
‫بمج رد اخ تراق الهوي ة‪ ،‬يمكن للجه ات الفاعل ة‬
‫في مج ال التهدي د طلب إع ادة تع يين كلم ة‬
‫الم رور وإنش اء بيان ات االعتم اد الخاص ة به ا‬
‫للحساب‪.‬‬
‫‪5‬‬
 ‫‪Common Password Attack Methods‬‬
‫الطرق الشائعة للهجوم على كلمة المرور‬

‫أفضل ممارسات إعادة تعيين كلمة المرور‪:‬‬
‫ يجب أن تك ون كلم ة الم رور عش وائية وتل بي‬
‫متطلبات التعقيد وفًقا لسياسة العمل‬
‫ يجب أن يقوم المستخدم النهائي بتغيير كلمة‬
‫الم رور بع د تس جيل ال دخول األول وتتطلب‬
‫مصادقة ثنائية أو متعددة العوامل للتحقق من‬
‫صحتها‬
‫ يجب أن ت أتي طلب ات إع ادة تع يين كلم ة‬
‫المرور دائًما من مكان آمن‬
‫ ال ينبغي أب ًدا أن تحت وي مواق ع ال ويب العام ة‬
‫للش ركات (غ ير الشخص ية) على رواب ط‬
‫"نسيت كلمة المرور"‪.‬‬
‫‪6‬‬ ‫ تف ترض إع ادة تع يين كلم ة الم رور ع بر البري د‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

Do not use SMS text messages—they are not ‫ فهي‬،‫ ال تس تخدم الرس ائل النص ية القص يرة‬
sufficiently secure for sending password reset ‫ليست آمنة بما يكفي إلرسال معلومات إعادة‬
information..‫تعيين كلمة المرور‬
If possible, password resets should be ephemeral—the
password reset should only be active for a predefined ‫ يجب أن تك ون عملي ات‬،‫ إذا ك ان ذل ك ممكًن ا‬
duration. If the end user has not accessed the account - ‫إع ادة تع يين كلم ة الم رور س ريعة ال زوال‬
again within the predefined amount of time, an ‫يجب أن تك ون إع ادة تع يين كلم ة الم رور‬
account lockout will occur. ‫ إذا لم‬.‫نش طة لم دة مح ددة مس بًقا فقط‬
Changing passwords frequently is a security best practice ‫يتمكن المس تخدم النه ائي من الوص ول إلى‬
for privileged accounts (as opposed to personal or ‫الحساب مرة أخرى خالل فترة زمنية محددة‬
consumer accounts). However, resetting passwords and
transmitting them through unsecure mediums is not. For.‫ فسيتم إغالق الحساب‬،‫مسبًقا‬
the individual, a simple password reset can be the ‫يع د تغي ير كلم ات الم رور بش كل متك رر أح د‬
difference between a threat actor owning your account
‫أفض ل ممارس ات األم ان للحس ابات المم يزة‬
and a legitimate password request.
‫(على عكس الحس ابات الشخص ية أو حس ابات‬
7
‫ ف إن إع ادة تع يين كلم ات‬،‫ وم ع ذل ك‬.)‫العمالء‬
‫الم رور ونقله ا ع بر وس ائط غ ير آمن ة ليس‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

3. Eavesdropping ‫ التنصت‬.3
Password eavesdropping refers to a password exposure ‫يش ير التنص ت على كلم ة الم رور إلى التع رض‬
occurring because of being overheard. Password
‫ ق د‬.‫لكلم ة الم رور ال ذي يح دث بس بب س ماعها‬
eavesdropping may be either inadvertent or intentional
and can encompass both voice-based and digital ‫يك ون التنص ت على كلم ة الم رور إم ا غ ير‬
eavesdropping. ‫مقص ود أو متعم د ويمكن أن يش مل التنص ت‬
Hopefully, no one in your business is shouting passwords.‫الصوتي والرقمي‬
across office, but some organizations still use voice calls ‫نأم ل أال يص رخ أح د في العم ل بكلم ات الم رور‬
to help desks to reset passwords. During these help desk
calls the updated password may be spoken to the user. It’s
‫ ولكن ال ت زال بعض المؤسس ات‬،‫ع بر المكتب‬
important that this kind of reset triggers the user to reset ‫تستخدم المكالمات الصوتية لمكاتب المساعدة‬
the password on first log in. This step upon login ‫ أثن اء مكالم ات‬.‫إلع ادة تع يين كلم ات الم رور‬
mitigates password risk, as an eavesdropper cannot use ‫ ق د يتم التح دث بكلم ة‬،‫مكتب المس اعدة ه ذه‬
the new password without revealing their activity. The
‫ من المهم أن‬.‫الم رور المحدث ة إلى المس تخدم‬
legitimate user will fail to login and again call the help
desk. ‫ي ؤدي ه ذا الن وع من إع ادة التع يين إلى قي ام‬
8
‫المس تخدم بإع ادة تع يين كلم ة الم رور عن د‬
‫ وتخف ف ه ذه‬.‫تس جيل ال دخول ألول م رة‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

Of course, voice is not the only way we "announce" our ‫ الصوت ليس هو الطريقة الوحيدة التي‬،‫بالطبع‬
passwords. How many of us use Bluetooth keyboards that ‫ كم من ا‬.‫"نعلن به ا" كلم ات الم رور الخاص ة بن ا‬
are transmitting our key presses over the air?
‫ التي تنقل‬Bluetooth‫يستخدم لوحات مفاتيح‬
In the early days of computing, you needed to physically ‫ضغطات المفاتيح الخاصة بنا عبر الهواء؟‬
connect to the machine you were accessing. The systems
you were authenticating to were also running locally. ‫ كنت بحاج ة إلى‬،‫في األي ام األولى للحوس بة‬
Now, we regularly authenticate into systems on the other.‫االتص ال فعلًي ا بالجه از ال ذي كنت تص ل إليه‬
side of the world, and increasingly, that are not even our ‫األنظمة التي كنت تقوم بالمصادقة عليها كانت‬
systems. Our passwords are transmitted electronically
through many systems to reach their destination, and
‫ نقوم بالمصادقة بشكل‬،‫ اآلن‬.‫تعمل أيًض ا محلًيا‬
absent proper encryption and other protections, may be ‫منتظم على أنظم ة على الج انب اآلخ ر من‬
vulnerable to eavesdropping. ‫ ه ذه ليس ت ح تى‬،‫ وعلى نح و متزاي د‬،‫الع الم‬
‫ يتم نق ل كلم ات الم رور الخاص ة بن ا‬.‫أنظمتن ا‬
‫إلكترونًيا من خالل العدي د من األنظم ة للوص ول‬
‫ وفي غي اب التش فير المناس ب‬،‫إلى وجهته ا‬
‫ ق د تك ون عرض ة‬،‫ووس ائل الحماي ة األخ رى‬
9.‫للتنصت‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

4. Shoulder Surfing ‫ اختالس النظر‬.4
Shoulder surfing enables a threat actor to gain knowledge ‫يتيح اختالس النظ ر لممث ل التهدي د اكتس اب‬
of credentials through observation. This includes.‫المعرف ة ب أوراق االعتم اد من خالل المراقب ة‬
observing passwords, pins, and swipe patterns as they are
being entered, or even a pen scribbling a password on a ‫يتض من ذل ك مراقب ة كلم ات الم رور وأنم اط‬
sticky note. ‫ أو حتى قلًما يخربش كلمة‬،‫التمرير أثناء إدخالها‬
The concept is simple. A threat actor physically observes.‫المرور على مالحظة الصقة‬
or uses an electronic device like a camera to collect ‫ ي راقب ممث ل التهدي د فعلًي ا‬.‫المفه وم بس يط‬
passwords and use them for an attack. This is why, when
using an ATM, it's recommended to shield the entry of
‫جهاًز ا إلكترونًيا أو يستخدمه مثل الكاميرا لجمع‬
your PIN on a keypad. This prevents a nearby threat actor ‫ وله ذا‬.‫كلم ات الم رور واس تخدامها في الهج وم‬
from shoulder surfing your PIN. ،‫ عن د اس تخدام ماكين ة الص راف اآللي‬،‫الس بب‬
‫يوص ى بحماي ة إدخ ال رقم التعري ف‬
‫ وهذا يمنع‬.‫) ) على لوحة المفاتيح‬PIN‫الشخصي‬
‫أي جه ة تهدي د قريب ة من اختالس النظ ر الى‬
10.) )PIN‫رقم التعريف الشخصي‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

5. Passwords for Purchase ‫ كلمات المرور للبيع‬.5
While password lists, hash tables, and rainbow tables are ‫على ال رغم من أن ق وائم كلم ات الم رور‬
available on the dark web, users sometimes sell their own
‫ إال‬،‫وج داول التجزئ ة متاح ة على ال ويب المظلم‬
credentials. Users with access to multiple individual
and/or shared credentials may sell them in bulk. ‫أن المس تخدمين ي بيعون أحياًن ا بيان ات االعتم اد‬
‫ يمكن للمس تخدمين ال ذين ل ديهم‬.‫الخاص ة بهم‬
In fact, a rogue insider could sell credentials and claim
they were breached, giving them plausible deniability. ‫أو‬/‫ح ق الوص ول إلى بيان ات اعتم اد فردي ة و‬
This insider threat is of particularly concern with.‫مشتركة متعددة بيعها بكميات كبيرة‬
privileged users, whose credentials could give access to
the enterprise’s most sensitive assets. The most effective
‫ يمكن ألي شخص مارق من الداخل‬،‫في الواقع‬
way to address the risk of privileged credential ،‫أن ي بيع أوراق االعتم اد وي دعي أن ه تم اختراقه ا‬
compromise is to remove direct access. All sessions ‫ ويشكل هذا‬.‫مما يمنحه إمكانية اإلنكار المعقول‬
relating to highly privileged accounts should be routed ‫التهدي د ال داخلي مص در قل ق بش كل خ اص‬
through a system that facilitates access, but without
‫ ال ذين يمكن أن‬،‫للمس تخدمين ذوي االمتي ازات‬
revealing actual credentials.
‫ت تيح بيان ات اعتم ادهم الوص ول إلى األص ول‬
11
‫ الطريق ة األك ثر‬.‫األك ثر حساس ية في المؤسس ة‬
‫فعالي ة لمعالج ة مخ اطر اخ تراق بيان ات االعتم اد‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

Hash-Based Attacks ‫الهجمات القائمة على التجزئة‬
When an attacker manages to gain access to a system or ‫عن دما يتمكن أح د المه اجمين من الوص ول إلى‬
website, they often aspire to steal the database containing
‫ فإن ه غالًب ا م ا يطمح إلى‬،‫نظ ام أو موق ع ويب‬
the usernames and passwords for everyone who accesses
it. Stealing a database provides at least three big benefits ‫س رقة قاع دة البيان ات ال تي تحت وي على أس ماء‬
regarding password stealing: ‫المس تخدمين وكلم ات الم رور لك ل من يص ل‬
1. Discovery of highly privileged user credentials that ‫ ت وفر س رقة قاع دة البيان ات ثالث فوائ د‬.‫إليه ا‬
can be used to interact with the system ‫كب يرة على األق ل فيم ا يتعل ق بس رقة كلم ة‬
2. A rich trove of credentials, probably used across :‫المرور‬
multiple systems ‫ اكتش اف بيان ات اعتم اد المس تخدم ذات‬.1
3. The database can be attacked offline, without concern ‫االمتي ازات العالي ة ال تي يمكن اس تخدامها‬
for any controls around the number or frequency of ‫للتفاعل مع النظام‬
login attempts
‫ ربما يتم‬،‫ مجموعة غنية من بيانات االعتماد‬.2
‫استخدامها عبر أنظمة متعددة‬
12
‫ يمكن مهاجمة قاعدة البيان ات دون االتصال‬.3
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

Today, it’s unusual to find systems that do not encode ‫من غ ير المعت اد الي وم العث ور على أنظم ة ال‬
user passwords. Attackers will encounter a list of values ‫ سيواجه‬.‫تقوم بتشفير كلمات مرور المستخدم‬
instead of the text passwords. When data has been
‫المه اجمون قائم ة من القيم ب دًال من كلم ات‬
encoded rather than encrypted, there is no way to turn the
encoded form into the original value. This is a trapdoor
‫ عن دما يتم ترم يز البيان ات ب دًال‬.‫الم رور النص ية‬
cipher; it goes one-way only. An attacker’s only chance is ‫ ال توج د طريق ة لتحوي ل النم وذج‬،‫من تش فيرها‬
to uncover the cipher and attempt to create encoded ‫ ه ذا ه و تش فير‬.‫المش فر إلى القيم ة األص لية‬
versions of passwords. This can then be compared against.‫ ي ذهب في اتج اه واح د فقط‬.‫الب اب المس حور‬
the stolen list. The encoding process is called "hashing,"
and the resulting encoded passwords are called "hashes."
‫الفرص ة الوحي دة للمه اجم هي الكش ف عن‬
‫التش فير ومحاول ة إنش اء إص دارات مش فرة من‬
There are two common types of hash-based attacks:
‫ ويمكن بع د ذل ك مقارن ة ذل ك‬.‫كلم ات الم رور‬
‫ تس مى عملي ة التش فير‬.‫بالقائم ة المس روقة‬
‫ وتس مى كلم ات الم رور المش فرة‬،"‫"التجزئ ة‬."‫الناتجة "التجزئة‬
‫يوجد نوعين شائعين من الهجمات القائمة على‬
13
:‫التجزئة‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

1. Pass-the-Hash Attack ‫ هجوم تمرير التجزئة‬.1
Pass-the-Hash (PtH) is a technique that allows an attacker ‫ ه و أس لوب يس مح‬Pass-the-Hash (PtH)
to authenticate to a resource by using the underlying NT
‫للمهاجم بالمصادقة على أحد الموارد باستخدام‬
LAN Manager (NTLM) hash of a user’s password, in lieu
of using the account’s actual human-readable password. NT LAN Manager (NTLM) ‫تجزئ ة‬
Once obtained, a valid username and hash can be used to ‫ ب دًال من‬،‫األساس ية لكلم ة م رور المس تخدم‬
authenticate to a remote server or service using LM or ‫اس تخدام كلم ة الم رور الفعلي ة ال تي يمكن‬
NTLM authentication. ‫ بمج رد الحص ول‬.‫لإلنس ان قراءته ا للحس اب‬
A PtH attack exploits an implementation weakness in the ‫ يمكن اس تخدام اس م مس تخدم وتجزئ ة‬،‫عليه ا‬
authentication protocol. The password hash remains ‫ص الحين للمص ادقة على خ ادم أو خدم ة بعي دة‬
static for every session until the password itself changes.
PtH can be performed against almost any server or
NTLM ‫ أو‬LM‫باستخدام مصادقة‬
service accepting LM or NTLM authentication, including ‫ ضعف التنفيذ في بروتوكول‬PtH ‫يستغل هجوم‬
Windows, Unix, Linux, or another operating system.
‫ تظ ل كلم ة الم رور ثابت ة لك ل جلس ة‬.‫المص ادقة‬
‫ يمكن‬.‫ح تى تتغ ير كلم ة الم رور نفس ها‬
14
‫ على أي خ ادم أو خدم ة تقريًبا تقب ل‬PtH‫إج راء‬
‫ك‬ ‫ا في ذل‬ ‫ بم‬،NTLM ‫ أو‬LM‫ادقة‬ ‫مص‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

Malware may scrape memory for password hashes, ‫قد تق وم ال برامج الض ارة ب البحث في ال ذاكرة‬
making any active running user, application, service, or ‫ مم ا يجع ل أي‬،‫عن تجزئ ة كلم ة الم رور‬
process a potential target. Once obtained, it uses
‫ أو معالج ة‬،‫ أو خدم ة‬،‫ أو تط بيق‬،‫مس تخدم‬
command and control or other automation for additional
lateral movement or data exfiltration. ‫ بمج رد‬.‫نش طة قي د التش غيل ه دًفا محتمًال‬
‫ فإنها تستخدم في التحكم أو أي‬،‫الحصول عليها‬
While PtH attacks are more common on Windows
systems, they can also exploit Unix and Linux endpoints. ‫أتمت ة أخ رى للحرك ة الجانبي ة اإلض افية أو‬
Modern systems can defend against PtH attacks in a.‫استخراج البيانات‬
variety of ways. However, changing the password
frequently or using one-time passwords (OTPs) is a good
‫ أك ثر ش يوًعا‬PtH‫على ال رغم من أن هجم ات‬
defense to keep the hash different between the sessions. ‫ إال أنه ا يمكنه ا أيًض ا‬،Windows ‫على أنظم ة‬
Password management solutions that can rotate ‫ يمكن‬.Linux‫ و‬Unix‫اس تغالل نق اط نهاي ة‬
passwords frequently or customize the security token are ‫ بع دة‬PtH‫لألنظم ة الحديث ة ال دفاع ضد هجم ات‬
an effective defense against this technique.
‫ يعد تغيير كلمة المرور بشكل‬،‫ ومع ذلك‬.‫طرق‬
‫متك رر أو اس تخدام كلم ات م رور لم رة‬
‫) ) دفاًع ا جي ًدا للحف اظ على‬OTPs‫واح دة‬
15
‫ تع د حل ول إدارة‬.‫اختالف التجزئ ة بين الجلس ات‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

2. Rainbow Table Attack ‫ هجوم جدول قوس قزح‬.2
Hashing ciphers are complex and usually well-known, ‫تع د ش فرات التجزئ ة معق دة وع ادة م ا تك ون‬
which means there are a limited quantity to try. The
‫ مم ا يع ني أن هن اك كمي ة مح دودة‬،‫معروف ة‬
limited availability of reliable ciphers leads to another
tool in the attacker’s arsenal, the hash table. A hash table ‫ يؤدي التوفر المحدود للشفرات‬.‫يمكنك تجربتها‬
is a precomputed list of hashed passwords in a simple ‫الموثوق ة إلى وج ود أداة أخ رى في ترس انة‬
comparison against the stolen data. ‫ ج دول التجزئ ة‬.‫ وهي ج دول التجزئ ة‬،‫المه اجم‬
Whereas a hash table will store the passwords and hashes ‫عب ارة عن قائم ة محس وبة مس بًقا لكلم ات‬
for a particular cipher, Rainbow Tables hold the ‫المرور المجزأة في مقارنة بسيطة مع البيانات‬
passwords and hashes for multiple ciphers. They then.‫المسروقة‬
shrink the data to more manageable levels—though the
files are still relatively large. ‫في حين أن ج دول التجزئ ة س يخزن كلم ات‬
‫ ف إن ج داول‬،‫الم رور والتجزئ ة لش فرة معين ة‬
‫ق وس ق زح تحتف ظ بكلم ات الم رور والتجزئ ة‬
‫ ثم يقوم ون بع د ذل ك بتقليص‬.‫لش فرات متع ددة‬
16
‫ على‬،‫البيانات إلى مستويات أكثر قابلية لإلدارة‬.‫الرغم من أن الملفات ال تزال كبيرة نسبًيا‬
 Common Password Attack Methods
‫الطرق الشائعة للهجوم على كلمة المرور‬

A common approach to defeating hash tables and ‫الطريق ة الش ائعة للتغلب على ج داول التجزئ ة‬
Rainbow Table Attacks is to "salt" the hash. This applies.‫وهجمات جدول قوس قزح هي "ملح" التجزئة‬
an extra, unique encoding to each password. Even though
‫ويطبق هذا تشفيًر ا إضافًيا فري ًدا على كل كلمة‬
the cipher is the same, without the salt, it won’t result in
the same hash. Salting the hash renders the hash table ،‫ على ال رغم من أن التش فير ه و نفس ه‬.‫م رور‬
redundant. Using long, complex, unique passwords and.‫ فإن ه لن ي ؤدي إلى نفس التجزئ ة‬،‫ب دون الملح‬
multi-factor authentication also provides protection ‫ي ؤدي تمليح التجزئ ة إلى جع ل ج دول التجزئ ة‬
against Rainbow Table Attacks and hash tables. ‫ كم ا ي وفر اس تخدام كلم ات‬.‫زائ دًا عن الحاج ة‬
‫م رور طويل ة ومعق دة وفري دة من نوعه ا‬
‫والمص ادقة متع ددة العوام ل الحماي ة ض د‬.‫هجمات جدول قوس قزح وجداول التجزئة‬

17
 Data Interception
‫اعتراض البيانات‬

An interception is where an unauthorized individual ‫االعتراض هو المكان الذي يتمكن فيه فرد غير‬
gains access to confidential or private information. ‫مص رح ل ه من الوص ول إلى معلوم ات س رية أو‬
Interception attacks are attacks against network the
‫ هجم ات االع تراض هي هجم ات ض د‬.‫خاص ة‬
confidentiality objective of the CIA Triad.
‫الش بكة ال تي ته دف إلى الحف اظ على الس رية‬.‫لدى ثالوث االمن‬

18
 Data Interception
‫اعتراض البيانات‬

Examples of Interception attacks: :‫أمثلة على هجمات االعتراض‬
Eavesdropping on communication..‫ التنصت على االتصاالت‬
Wiretapping telecommunications networks..‫ التنصت على شبكات االتصاالت‬
Illicit copying of files or programs..‫ النسخ غير المشروع للملفات أو البرامج‬
Obtaining copies of messages for later replay.
Packet sniffing and key logging to capture data from a
‫ الحص ول على نس خ من الرس ائل إلع ادة‬
computer system or network..‫تشغيلها الحقا‬
‫ استنش اق الح زم (تص نت) وتس جيل المف اتيح‬
‫اللتق اط البيان ات من نظ ام الكم بيوتر أو‬.‫الشبكة‬

19
 Data Interception
‫اعتراض البيانات‬

Mitigate the attack : :‫تخفيف الهجوم‬
Using Encryption - SSL, VPN, 3DES, BPI+ are VPN‫ و‬SSL‫ يتم نش ر‬- ‫اس تخدام التش فير‬
deployed to encrypts the flow of information from source
‫ لتش فير ت دفق المعلوم ات من‬+BPI‫ و‬3DES‫و‬
to destination so that if someone is able to snoop in on
the flow of traffic, all the person will see is ciphered text. ‫المص در إلى الوجه ة بحيث إذا تمكن ش خص م ا‬
‫ ف إن ك ل‬،‫من التطف ل على ت دفق حرك ة الم رور‬
Traffic Padding - It is a function that produces cipher text
output continuously, even in the absence of plain text. A.‫ما سيراه الشخص هو نص مشفر‬
continuous random data stream is generated. When ‫ هي وظيفة تنتج إخراج نص‬- ‫ملئ حركة المرور‬
plaintext is available, it is encrypted and transmitted.
When input plaintext is not present, the random data are
‫ ح تى في حال ة ع دم‬،‫مش فر بش كل مس تمر‬
encrypted and transmitted. This makes it impossible for ‫ يتم إنش اء دف ق بيان ات‬.‫وج ود نص ع ادي‬
an attacker to distinguish between tree data flow and ‫ يتم‬،‫ عن دما يت وفر نص ع ادي‬.‫عش وائي مس تمر‬
noise and therefore impossible to deduce the amount of ‫ عن دما ال يك ون النص الع ادي‬.‫تش فيره ونقله‬
traffic.
‫ يتم تشفير البيانات العشوائية‬،‫لإلدخال موجوًدا‬
‫ وهذا يجعل من المستحيل على المهاجم‬.‫ونقلها‬
20
،‫التمي يز بين ت دفق بيان ات الش جرة والضوض اء‬
‫وبالت الي من المس تحيل اس تنتاج مق دار حرك ة‬
 Spoofing Attack
‫هجوم االنتحال‬

Spoofing is the act of disguising a communication or identity so ‫االنتح ال ه و عملي ة إخف اء اتص ال أو هوي ة بحيث‬
that it appears to be associated with a trusted, authorized source. ‫ يمكن أن‬.‫تب دو مرتبط ة بمص در معتم د وموث وق‬
Spoofing attacks can take many forms, from the common email
spoofing attacks that are deployed in phishing campaigns to ‫ ب دًءا من‬،‫تتخ ذ هجم ات االنتح ال أش كااًل عدي دة‬
caller ID spoofing attacks that are often used to commit fraud. ‫هجم ات انتح ال البري د اإللك تروني الش ائعة ال تي‬
Attackers may also target more technical elements of an ‫يتم نش رها في حمالت التص يد االحتي الي وح تى‬
organization’s network, such as an IP address, domain name
system (DNS) server, or Address Resolution Protocol (ARP) ‫هجم ات انتح ال هوي ة المتص ل ال تي غالًب ا م ا‬
service, as part of a spoofing attack. ‫ قد يستهدف‬.‫ُتستخدم الرتكاب عمليات احتيال‬
Spoofing attacks typically take advantage of trusted relationships ‫المه اجمون أيًض ا عناص ر أك ثر تقني ة لش بكة‬
by impersonating a person or organization that the victim knows. ‫ أو خادم نظام اسم‬IP ‫ مثل عنوان‬،‫مؤسسة ما‬
In some cases—such as whale phishing attacks that feature email
spoofing or website spoofing—these messages may even be ‫) ) أو خدم ة بروتوك ول تحلي ل‬DNS‫المج ال‬
personalized to the victim in order to convince that person that.‫ كجزء من هجوم االنتحال‬،))ARP ‫العنوان‬
the communication is legitimate. If the user is unaware that
internet communications can be faked, they are especially likely ‫عادًة م ا تس تفيد هجم ات االنتح ال من العالق ات‬
to fall prey to a spoofing attack ‫الموثوق ة من خالل انتح ال شخص ية ش خص أو‬
- ‫ في بعض الح االت‬.‫مؤسس ة تعرفه ا الض حية‬
21 ‫مث ل هجم ات التص يد االحتي الي ال تي تتم يز‬
 Spoofing Attack
‫هجوم االنتحال‬

A successful spoofing attack can have serious consequences. ‫يمكن أن يك ون لهج وم االنتح ال الن اجح ع واقب‬
An attacker may be able to steal sensitive personal or ‫ ق د يك ون المه اجم ق ادًر ا على س رقة‬.‫وخيم ة‬
company information, harvest credentials for use in a future
attack or fraud attempt, spread malware through malicious ،‫معلومات شخصية أو معلومات خاصة بالشركة‬
links or attachments, gain unauthorized network access by ‫أو جم ع بيان ات االعتم اد الس تخدامها في هج وم‬
taking advantage of trust relationships, or bypass access ‫ أو نش ر ال برامج‬،‫مس تقبلي أو محاول ة احتي ال‬
controls. They may even launch a denial-of-service (DoS)
attack or a man-in-the-middle (MITM) attack.
‫ أو‬،‫الض ارة من خالل رواب ط أو مرفق ات ض ارة‬
‫الوص ول غ ير المص رح ب ه إلى الش بكة من خالل‬
What does this mean in business terms? Once a spoofing
attack has succeeded in duping its victim, an organization ‫ أو تج اوز عناص ر‬،‫االس تفادة من عالق ات الثق ة‬
could be hit with a ransomware attack or experience a costly ‫ وق د يقوم ون أيًض ا بش ن‬.‫التحكم في الوص ول‬
and damaging data breach. Business email compromise ‫) ) أو هجوم رجل في‬DoS‫هجوم رفض الخدمة‬
(BEC), in which an attacker impersonates a manager and
tricks an employee into sending money into an account that.))MITM ‫الوسط‬
is actually owned by a hacker, is another common spoofing ‫ماذا يع ني ه ذا من الناحي ة التجاري ة؟ بمج رد‬
attack.
‫ يمكن أن‬،‫نجاح هجوم انتحالي في خداع ضحيته‬
‫تتعرض المؤسسة لهجوم فدية أو تتعرض لخرق‬
22
‫ يع د اخ تراق البري د‬.‫بيان ات مكل ف وم دمر‬
 Spoofing Attack
‫هجوم االنتحال‬

Or the business could find that its website is spreading ‫أو قد تجد الشركة أن موقعها اإللكتروني ينشر‬
malware or stealing private information. Ultimately, the ‫ وفي‬.‫ب رامج ض ارة أو يس رق معلوم ات خاص ة‬
company could face legal repercussions, suffer damage to
‫ ق د تواج ه الش ركة ت داعيات‬،‫نهاي ة المط اف‬
its reputation, and lose the confidence of its customers.
For these reasons, it’s wise to learn about the kinds of.‫ وتفق د ثق ة عمالئه ا‬،‫ وتتض رر س معتها‬،‫قانوني ة‬
spoofing attacks that are in use today as well as how to ‫ من الحكم ة التع رف على أن واع‬،‫له ذه األس باب‬
detect and prevent them. ‫هجم ات االنتح ال المس تخدمة الي وم باإلض افة‬
Types of Spoofing Attacks.‫إلى كيفية اكتشافها ومنعها‬
IP address spoofing attacks ‫أنواع هجمات االنتحال‬
Caller ID spoofing attacks
IP ‫ هجمات انتحال عنوان‬
Email address spoofing attacks
‫ هجمات انتحال هوية المتصل‬
Website spoofing attacks
‫ هجمات انتحال عنوان البريد اإللكتروني‬
ARP spoofing attacks
DNS server spoofing attacks
‫ هجمات انتحال الموقع‬

23
ARP ‫ هجمات انتحال‬
 Spoofing Attack
‫هجوم االنتحال‬

How to Prevent Spoofing Attacks ‫كيفية منع هجمات االنتحال‬
Smart security tools can help you prevent spoofing ‫يمكن أن تساعدك أدوات األمان الذكية في منع‬
attacks, as well. A spam filter will keep most phishing
‫ س يعمل عام ل تص فية البري د‬.‫هجم ات االنتح ال‬
emails from reaching your inbox, for example. Some
organizations and even some network carriers use similar ‫العش وائي على من ع معظم رس ائل البري د‬
software to block spam calls from reaching users’ ‫اإللك تروني التص يدية من الوص ول إلى ص ندوق‬
phones. Spoofing detection software may provide ‫ تس تخدم بعض‬،‫ على س بيل المث ال‬.‫ال وارد‬
additional protection against some of the kinds of ‫المؤسس ات وح تى بعض مش غلي الش بكات‬
spoofing attacks mentioned above, enhancing your ability
to detect and halt them before they have a chance to
‫ب رامج مش ابهة لمن ع المكالم ات غ ير المرغ وب‬
cause any harm. ‫ قد‬.‫فيه ا من الوص ول إلى هوات ف المستخدمين‬
‫ي وفر برنامج كشف االنتحال حماية إضافية ضد‬
،‫بعض أن واع هجم ات االنتح ال الم ذكورة س ابقًا‬
‫مم ا يع زز الق درة على اكتش افها وإيقافه ا قب ل‬.‫أن تتاح لها فرصة التسبب في أي ضرر‬

24
 Spoofing Attack
‫هجوم االنتحال‬

Certain best practices can also reduce your chances of ‫يمكن لبعض أفض ل الممارس ات أيًض ا أن تقل ل‬
falling prey to a spoofing attack. Whenever possible, ‫ كلما‬.‫من فرص وقوع الشخص لهجوم انتحالي‬
avoid relying on trust relationships for authentication in
‫ تجنب االعتم اد على عالق ات الثق ة‬،‫أمكن‬
your network. Otherwise, attackers can leverage those
relationships to stage successful spoofing attacks. Packet ‫ يمكن‬،‫ وبخالف ذل ك‬.‫للمص ادقة في الش بكة‬
filtering can prevent an IP spoofing attack since it is able ‫للمه اجمين االس تفادة من ه ذه العالق ات لش ن‬
to filter out and block packets that contain conflicting ‫ يمكن أن تمن ع تص فية‬.‫هجم ات انتح ال ناجح ة‬
source address information. Using cryptographic network ‫ ألنها قادرة على تصفية‬IP ‫الحزم هجوم انتحال‬
protocols such as HTTP Secure (HTTPS) and Secure
Shell (SSH) can add another layer of protection to your
‫وحظر الحزم التي تحتوي على معلومات عنوان‬
environment. ‫ يمكن أن ي ؤدي اس تخدام‬.‫المص در المتض اربة‬
HTTP ‫بروتوك والت ش بكة التش فير مث ل‬
Secure Shell (SSH)‫ و‬Secure (HTTPS)
‫إلى إض افة طبق ة أخ رى من الحماي ة إلى‬.‫المنشأة‬

25
 Session Hijacking Attack
‫هجوم اختطاف الجلسة‬

Session hijacking is a technique used by hackers to gain ‫اختط اف الجلس ة ه و أس لوب يس تخدمه‬
access to a target’s computer or online accounts. In a ‫المتس للون للوص ول إلى كم بيوتر اله دف أو‬
session hijacking attack, a hacker takes control of a user’s
‫ في هج وم اختط اف‬.‫حس اباته ع بر اإلن ترنت‬
browsing session to gain access to their personal
information and passwords. ‫ يتحكم المتس لل في جلس ة تص فح‬،‫الجلس ة‬
‫المس تخدم للوص ول إلى معلومات ه الشخص ية‬
How Does Session Hijacking Work?.‫وكلمات المرور الخاصة به‬
A session hijacker can take control of a user’s session in
several ways. One common method is to use a packet sniffer ‫كيف يعمل اختطاف الجلسة؟‬
to intercept the communication between the user and the
server, which allows the hacker to see what information is ‫يمكن لخاطف الجلسة التحكم في جلسة المستخدم‬
being sent and received. They can then use this information ‫ إح دى الط رق الش ائعة هي اس تخدام‬.‫بع دة ط رق‬
to log in to the account or access sensitive data. ‫أداة استنش اق الح زم (التص نت) الع تراض االتص ال‬
Session hijacking can also be performed by deploying ‫ مم ا يس مح للمتس لل‬،‫بين المس تخدم والخ ادم‬
malware to infect the user’s computer. This gives the hacker.‫بمعرف ة المعلوم ات ال تي يتم إرس الها واس تالمها‬
direct access to the machine, enabling them to then hijack ‫يمكنهم بع د ذل ك استخدام ه ذه المعلوم ات لتس جيل‬
any active sessions. ‫ال دخول إلى الحس اب أو الوص ول إلى البيان ات‬
26.‫الحساسة‬
 Session Hijacking Attack
‫هجوم اختطاف الجلسة‬

Types of Session Hijacking ‫أنواع اختطاف الجلسة‬
Session hijacking can be either active or passive. In active ‫يمكن أن يك ون اختط اف الجلس ة إم ا نش ًطا أو‬
session hijacking, the attacker takes control of the target’s
،‫ ففي عملي ة اختط اف الجلس ة النش طة‬.‫س لبًيا‬
session while it is still active. The attacker does this by
sending a spoofed request to the server that includes the ‫يتحكم المه اجم في جلس ة اله دف بينم ا ال ت زال‬
target’s session ID. This type of attack is more ‫ يق وم المه اجم ب ذلك عن طري ق إرس ال‬.‫نش طة‬
challenging to execute because it requires the attacker to ‫طلب مزي ف إلى الخ ادم ال ذي يتض من مع رف‬
have an OnPath (also known as “man-in-the-middle”) ‫ يعد تنفيذ هذا النوع من الهجمات‬.‫جلسة الهدف‬
position between the target and the server.
‫أك ثر ص عوبة ألن ه يتطلب من المه اجم أن يك ون‬
Passive session hijacking occurs when the attacker ‫ المع روف أيًض ا باس م‬OnPath‫لدي ه م وقع‬
eavesdrops on network traffic to steal the target’s session
ID. This type of attack is easier to execute because all an.‫("الرجل في المنتصف") بين الهدف والخادم‬
attacker needs is access to network traffic, which can be ‫يح دث اختط اف الجلس ة الس لبية عن دما يتنص ت‬
easily accomplished if they are on the same network as
‫المه اجم على حرك ة م رور الش بكة لس رقة‬
the target.
‫ يع د ه ذا الن وع من‬.‫مع رف جلس ة اله دف‬
27
‫الهجم ات أس هل في التنفي ذ ألن ك ل م ا يحتاج ه‬
،‫المه اجم ه و الوص ول إلى حرك ة م رور الش بكة‬
 Session Hijacking Attack
‫هجوم اختطاف الجلسة‬

Prevent Session Hijacking ‫الحماية ضد اختطاف الجلسة‬
There are several ways to prevent session hijacking from :‫هناك عدة طرق لمنع حدوث اختطاف الجلسة‬
happening:
Use strong passwords and multifactor authentication. ‫ استخدم كلمات مرور قوية ومصادقة متعددة‬
These techniques protect accounts from being accessed ‫ تعم ل ه ذه التقني ات على حماي ة‬.‫الع وامل‬
by hackers if they manage to steal a user’s session ID. ‫الحس ابات من الوص ول إلى المتس للين إذا‬
Only share session IDs with trusted sources. Be careful.‫تمكنوا من سرقة معرف جلسة المستخدم‬
when sharing links or sending requests to websites, as ‫ مش اركة معرف ات الجلس ة فق ط م ع المص ادر‬
these may include session IDs.
‫ والح ذر عن د مش اركة الرواب ط أو‬.‫الموثوق ة‬
Use a VPN. A VPN helps prevent attackers from
‫ حيث ق د‬،‫إرس ال الطلب ات إلى مواق ع ال ويب‬
intercepting traffic, making it more difficult for them to
steal session Ids..‫تتضمن هذه معرفات الجلسة‬
‫ على من ع‬VPN‫ تس اعد ش بكة‬VPN‫ اس تخدم‬
‫ مم ا‬،‫المه اجمين من اع تراض حرك ة الم رور‬
‫يزيد من صعوبة سرقة معرفات الجلسة‬
28
 Session Hijacking Attack
‫هجوم اختطاف الجلسة‬

Keep software up to date. Make sure to keep operating ‫ التأك د من‬.‫ المحافظ ة على تح ديث ال برامج‬
systems and software up to date with the latest security ‫تح ديث أنظم ة التش غيل وال برامج بأح دث‬
patches to prevent attackers from exploiting
‫تص حيحات األم ان لمن ع المه اجمين من‬
vulnerabilities to access users’ sessions.
‫اس تغالل الثغ رات األمني ة للوص ول إلى‬
Take cybersecurity training. Cybersecurity threats are.‫جلسات المستخدمين‬
constantly evolving, so it’s essential to stay informed
on the latest attack techniques and how to prevent ‫ تتط ور‬.‫ الت دريب على األمن الس يبراني‬
them. ‫ ل ذا من‬،‫تهدي دات األمن الس يبراني باس تمرار‬
‫الض روري البق اء على اطالع بأح دث تقني ات‬.‫الهجوم وكيفية منعها‬

29
 ‫‪Introduction‬‬
‫مقدمة‬
‫‪In discussions of cybercrime, especially nation-state‬‬
‫‪cyberattacks, the term advanced persistent threat‬‬
‫الجرائم‬ ‫ةب‬ ‫ات المتعلق‬ ‫في المناقش‬
‫‪(APT) is often used. APT activity is growing and‬‬ ‫اإللكتروني ة‪ ،‬وخاص ة الهجم ات اإللكتروني ة‬
‫‪becoming a bigger threat to organizations in every‬‬ ‫على مس توى ال دول‪ ،‬غالًب ا م ا ُيس تخدم‬
‫‪sector. There was a 100% rise in significant nation-‬‬ ‫مص طلح التهدي د المس تمر المتق دم (‪)APT‬‬
‫‪state incidents between 2017-2021, and APTs are‬‬
‫يتزاي د نش اط التهدي دات المس تمرة المتقدم ة‬
‫‪almost inevitably behind those attacks.‬‬
‫((‪ APT‬ويش كل تهدي ًدا أك بر للمؤسس ات في‬
‫ك ل قط اع‪.‬ك ان هن اك ارتف اع بنس بة ‪%100‬‬
‫في الح وادث الكب يرة ال تي وقعت على‬
‫مس توى ال دول بين ع امي ‪ 2017‬و‪،2021‬‬
‫ومن المؤك د تقريًب ا أن التهدي دات المس تمرة‬
‫المتقدمة تقف وراء تلك الهجمات‪.‬‬

‫‪30‬‬
 An Advanced Persistent Threat (APT)
)APT(‫التهديد المستمر المتقدم‬
An advanced persistent threat (APT): is a prolonged
and targeted cyberattack in which an intruder gains ‫) ه و‬APT(: ‫ التهدي د المس تمر المتق دم‬
access to a network and remains undetected for an ‫هج وم إلك تروني مط ول ومس تهدف‬
extended period of time. ‫يتمكن في ه المتس لل من الوص ول إلى‬
This type of attack is primarily associated with ‫الش بكة ويظ ل غ ير مكتش ف لف ترة‬
nation-state cybercrime and is frequently used as an
espionage tool..‫طويلة من الزمن‬
APT attacks can also be used as weapons of war to ‫ ويرتب ط ه ذا الن وع من الهجم ات في‬
hamper enemy operations or sow chaos, as ‫المق ام األول ب الجرائم اإللكتروني ة ال تي‬
exemplified in the Russia-Ukraine conflict.
‫ وكثيًر ا ما يستخدم كأداة‬،‫ترتكبها الدول‬.‫تجسس‬
‫ ويمكن أيًض ا اس تخدام هجم ات‬
‫التهديدات المستمرة المتقدمة كأسلحة‬
‫ح رب لعرقل ة عملي ات الع دو أو زرع‬
31
‫ كم ا ح دث في الص راع‬،‫الفوض ى‬
 The Main Objectives of APTs
APTs‫األهداف الرئيسية لـ‬
The goal of an APT is to establish ongoing access
‫ ه و إنش اء وص ول مس تمر إلى‬APT ‫ اله دف من‬
to a target’s systems and data to facilitate further ‫أنظم ة وبيان ات اله دف لتس هيل المزي د من‬
cyberattacks and data theft..‫الهجمات اإللكترونية وسرقة البيانات‬
APTs also strike at linchpins in a country’s military, ‫ تضرب التهديدات المستمرة المتقدمة أيًض ا نقاط‬
government, transportation, infrastructure and ‫الض عف في العملي ات العس كرية والحكومي ة‬
manufacturing operations to cause their rival harm, ‫والنق ل والبني ة التحتي ة والتص نيع في بل د م ا وذل ك‬
hamper military or manufacturing operations and/or ‫إلح داث ض رر لمنافس يها وإعاق ة العملي ات‬
spread public uncertainty. ‫العس كرية أو التص نيعية أو نش ر حال ة من ع دم‬
APTs are best known as corollaries to nation-state.‫اليقين العام‬
cybercrime. ‫ ُتع رف التهدي دات المس تمرة المتقدم ة بأنه ا نت ائج‬.‫طبيعية للجرائم اإللكترونية التي ترتكبها الدول‬
An estimated 90% of advanced persistent threat
groups regularly attack organizations outside of the ‫ من مجموع ات التهدي د‬%90 ‫ ما يق در بنح و‬
government or critical infrastructure sectors. ‫المس تمر المتقدم ة ته اجم بانتظ ام مؤسس ات‬.‫خارج الحكومة أو قطاعات البنية التحتية الحيوية‬

32
 APT Groups
APT ‫مجموعات‬
Advanced persistent threat groups (APTs) are
typically state-sponsored cybercriminal ‫ مجموع ات التهدي د المس تمر المتقدم ة‬
organizations that identify and exploit ‫ هي ع ادًة منظم ات إجرامي ة‬APTs
vulnerabilities in a country’s digital ‫إلكتروني ة ترعاه ا الدول ة وتق وم بتحدي د‬
infrastructure, attacking targets like public
utilities, corporations, government agencies and ‫واس تغالل نق اط الض عف في البني ة‬
assets in the defense industrial base. ‫ وتهاجم‬،‫التحتية الرقمية للدول االخرى‬
‫أهداًفا مثل المرافق العامة والشركات‬
Russia, China, Iran and North Korea are the four ‫والوك االت الحكومي ة واألص ول في‬
largest sponsors of APT groups..‫القاعدة الصناعية الدفاعية‬
Experts consider Russian nation-state actors to
‫ تع د روس يا والص ين وإي ران وكوري ا‬
be the most effective APT groups, jumping from
a 21% successful compromise rate in 2020 to a ‫الش مالية أك بر أربع ة رع اة لمجموع ات‬
32% rate in 2021. APT
‫ ويعت بر الخ براء أن الجه ات الفاعل ة في‬
33
‫الدول ة الروس ية هي مجموع ات‬
 The Most Notable APT Groups
APT ‫أبرز مجموعات‬
These are a few of the more well-known APT groups: :‫ األكثر شهرة‬APT‫هذه بعض من مجموعات‬
Lazarus Group is a North Korean APT group ‫ كوري ة ش مالية‬APT‫ هي مجموع ة‬Lazarus Group:
known for the retaliatory attack on Sony in 2014 ‫ في ع ام‬Sony ‫معروف ة ب الهجوم االنتق امي على ش ركة‬
Fancy Bear is an APT group well known for.2014
causing political chaos during Hillary Clinton’s ‫ معروف ة بتس ببها‬APT ‫ هي مجموع ة‬Fancy Bear:
presidential election campaign in 2016. ‫في فوض ى سياس ية خالل حمل ة االنتخاب ات الرئاس ية‬
Machete is a South American APT group first noted.2016 ‫لهيالري كلينتون في عام‬
in 2014. ‫ في أمريك ا الجنوبي ة تم‬APT‫ هي مجموع ة‬Machete:.2014 ‫اكتشافها ألول مرة في عام‬
Chinese hacking group Hafnium is an active
organization that is commonly associated with APT ‫ هي منظم ة‬Hafnium‫ مجموع ة القرص نة الص ينية‬
attacks..APT ‫نشطة ترتبط عادًة بهجمات‬
The Equation Group is generally suspected to be a ‫ هي غط اء‬The Equation Group ‫ ُيش تبه عموًم ا أن‬
cover for the U.S. NSA’s nation-state hacking ‫لعملي ات القرص نة ال تي تق وم به ا وكال ة األمن الق ومي‬
‫األمريكية‬
operations..

34
 The Characteristics of APTs
APTs ‫خصائص‬
APT attacks share a few common characteristics..‫ في بعض الخص ائص المش تركة‬APT‫تش ترك هجم ات‬
Familiarity with them can help IT professionals spot red ‫يمكن أن يس اعد اإللم ام به ا متخصص ي تكنولوجي ا‬
flags..‫المعلومات في اكتشاف العالمات الحمراء‬
Advanced persistent threat attacks generally target ‫ تس تهدف هجم ات التهدي د المس تمر المتقدم ة بش كل‬
government and military assets, infrastructure and ‫ع ام األص ول الحكومي ة والعس كرية والبني ة التحتي ة‬
businesses..‫والشركات‬
Malware including ransomware is the preferred ‫ تع د ال برامج الض ارة بم ا في ذل ك ب رامج الفدي ة هي‬
weapon of nation-state threat actors..‫السالح المفضل للجهات الفاعلة التي تهدد الدول‬
An estimated 60% of nation-state activity is directed at ‫ من نش اط الدول ة القومي ة موج ه‬٪60 ‫ م ا يق در بنح و‬
IT companies, commercial facilities, manufacturing ‫إلى ش ركات تكنولوجي ا المعلوم ات والمراف ق التجاري ة‬
facilities and financial services firms..‫ومنشآت التصنيع وشركات الخدمات المالية‬
APT attacks can slowly unfold over a long period of ‫ ببطء على م دى ف ترة‬APT ‫ يمكن أن تتكش ف هجم ات‬
time and be very hard to detect..‫طويلة من الزمن ويكون من الصعب جًدا اكتشافها‬
Phishing is a common method used to initiate attacks ‫ التص يد االحتي الي ه و أس لوب ش ائع يس تخدم لب دء‬
by APT groups..APT ‫هجمات من قبل مجموعات‬

35
 APT Attack
APT ‫هجوم‬
An APT attack is a multistage cyberattack by a state- ‫ ه و هج وم إلك تروني متع دد المراح ل‬APT: ‫ هج وم‬
sponsored cybercrime group that typically results in ‫من قب ل مجموع ة ج رائم إلكتروني ة ترعاه ا الدول ة‬
damage to a rival nation’s assets. An APT attack can.‫وي ؤدي ع ادًة إلى اإلض رار بأص ول دول ة منافس ة‬
also be an information gathering expedition as part of ‫ عب ارة عن حملة‬APT‫يمكن أيًض ا أن يكون هجوم‬
espionage operations. APT attacks are characterized by.‫لجم ع المعلوم ات كج زء من عملي ات التجسس‬
being highly sophisticated, difficult to detect and long ‫ بكونها متطورة للغاية ويصعب‬APT‫تتميز هجمات‬
lasting..‫اكتشافها وتدوم طويًال‬
The goal of an APT attack is to gain access to systems
and information that can be exploited for espionage ‫ ه و الوص ول إلى األنظم ة‬APT‫ اله دف من هج وم‬
purposes or used to do damage to a rival nation’s ‫والمعلوم ات ال تي يمكن اس تغاللها ألغ راض‬
infrastructure or economy. Apt attacks are generally ‫التجس س أو اس تخدامها إللح اق الض رر بالبني ة‬
tightly targeted and aimed at government, military, ‫ عادًة ما تكون‬.‫التحتية أو االقتص اد لدولة منافسة‬
infrastructure or essential industrial targets. ‫الهجم ات موجه ة بش كل محكم وتس تهدف‬
‫الحكوم ة أو الجيش أو البني ة التحتي ة أو األه داف‬.‫الصناعية األساسية‬

36
 APT Attack Phases
APT ‫مراحل هجوم‬
Most advanced persistent threat attacks unfold in this pattern: :‫معظم هجمات التهديد المستمر المتقدمة تتجلى في هذا النمط‬
Research: Accumulating important information about the target, looking ‫ والبحث عن نق اط‬،‫ تجمي ع معلوم ات مهم ة ح ول اله دف‬:‫ البحث‬
for vulnerabilities in the target’s network and identifying likely successful ‫الض عف في ش بكة اله دف وتحدي د أس اليب الهندس ة االجتماعي ة‬
social engineering tactics..‫الناجحة‬

Entry: The hackers gain access to the target’s environment using a
‫ يتمكن المتسللون من الوصول إلى بيئة الهدف باستخدام‬:‫ اإلدخال‬
،‫ مث ل رس الة التص يد االحتي الي‬،‫طريق ة ذات فرص ة كب يرة للنج اح‬
method with a high chance of success, like a phishing message, often.‫وغالًبا ما تنشر برامج ضارة مخصصة‬
deploying customized malware.
‫ يظ ل المتس للون تحت ال رادار ويرس مون خريط ة‬:‫ رس م الخرائ ط‬
Mapping: The hackers stay under the radar and map out the network, ‫ وغالًبا ما يستغلون هذه الفرصة لتمهيد الطريق لهجمات‬،‫للشبكة‬
often using this opportunity to set the stage for future attacks by doing.‫مستقبلية من خالل القيام بأشياء مثل فتح األبواب الخلفية‬
things like opening back doors.
‫ هي أن‬APT‫ إح دى النت ائج الش ائعة لهج وم‬:‫ التق اط البيان ات‬
Data Capture: One common result of an APT attack is that bad actors are ‫الجهات الفاعلة السيئة قادرة على جمع بيانات حساسة ألكثر من‬
able to gather sensitive data for over months or years..‫أشهر أو سنوات‬
Ransomware/Malware Deployment: Another common result of an APT ‫ إحدى النتائج الشائعة األخرى‬:‫البرامج الضارة‬/‫ نشر برامج الفدية‬
intrusion is the deployment of malware like ransomware to force the ‫ هي نشر برامج ضارة مثل برامج الفدية إلجبار الهدف‬APT‫لتطفل‬
target to stop operations by encrypting systems and/or data and ‫على إيق اف العملي ات عن طري ق تش فير األنظم ة أو البيان ات‬
demanding payment for the decryptor..‫والمطالبة بالدفع مقابل برنامج فك التشفير‬

37
 Reasons of the Success of APT Attacks
APT ‫أسباب نجاح هجمات‬
Advanced persistent threat attacks are frequently ‫غالًب ا م ا تك ون هجم ات التهدي د المس تمر‬
successful because they’re hard to detect and the
‫ كم ا‬،‫المتقدم ة ناجح ة نظ ًر ا لص عوبة اكتش افها‬
cybercriminals that perpetrate them are highly skilled
‫أن المج رمين اإللكترون يين ال ذين يرتكبونه ا‬
at using techniques like spear phishing, credential
compromise and social engineering. After an attack, ‫يتمتع ون بمه ارات عالي ة في اس تخدام تقني ات‬
APT groups may also leave behind difficult-to-detect ‫مث ل التص يد االحتي الي وتس وية بيان ات االعتم اد‬
back doors in systems that they can exploit later. ‫ ق د ت ترك‬،‫ بع د الهج وم‬.‫والهندس ة االجتماعي ة‬
‫مجموع ات التهدي دات المتقدم ة أيًض ا وراءه ا‬
‫أبواًبا خلفي ة يص عب اكتش افها في األنظم ة ال تي‬.‫يمكنها استغاللها الحًقا‬
38
 The best measures to avoid APT attacks
APT ‫أفضل التدابير لتجنب هجمات‬

The best measures to avoid APT attacks include: APT‫تش مل أفض ل اإلج راءات لتجنب هجم ات‬
Consistent patching to reduce exploitable :‫ما يلي‬
vulnerabilities
‫ التص حيح المتس ق (اقف ال الثغ رات) لتقلي ل‬
Strong email security to stop phishing.‫نقاط الضعف القابلة لالستغالل‬
Secure identity management, like using multifactor
‫ أم ان ق وي للبري د اإللك تروني لوق ف التص يد‬
(MFA) or two-factor authentication (2FA) for all user
logins to prevent unauthorized access.‫االحتيالي‬
Regular security awareness training for all employees ‫ مث ل اس تخدام المص ادقة‬،‫ إدارة الهوي ة اآلمن ة‬
‫) ) أو المص ادقة الثنائي ة‬MFA‫متع ددة الع وامل‬
‫) لجمي ع عملي ات تس جيل دخ ول‬2FA(
39
 Attack Indication Events
‫أحداث إشارة الهجوم‬
To detect security policy violations within a controlled area ‫ للكش ف عن انتهاك ات سياس ة األم ان داخ ل منطق ة خاض عة‬
(network traffic of log file), it is necessary to know how to ‫ من الض روري‬،)‫للتحكم (لمل ف س جل حرك ة م رور الش بكة‬
identify them and how to distinguish them from normal security ‫معرفة كيفية التعرف عليها وكيفية تمييزها عن األحداث األمنية‬
events..‫العادية‬
The following events can be considered to be attack indications: :‫ يمكن اعتبار األحداث التالية بمثابة مؤشرات للهجوم‬
Repeated occurrence of specific events ‫ تكرار حدوث أحداث محددة‬
Incorrect commands or commands that do not correspond
‫ أوامر غير صحيحة أو أوامر ال تتوافق مع الوضع الحالي‬
to the current situation
Exploiting vulnerabilities ‫ استغالل نقاط الضعف‬
Inappropriate parameters of the network traffic ‫ معلمات غير مناسبة لحركة مرور الشبكة‬
Unexpected attributes ‫ سمات غير متوقعة‬
Inexplicable problems ‫ مشاكل ال يمكن تفسيرها‬
Additional information on security violations ‫ معلومات إضافية عن االنتهاكات األمنية‬
Any security tool (firewalls, authentication servers, access control ،‫ وخ وادم المص ادقة‬،‫ تس تخدم أي أداة أمني ة (ج دران الحماي ة‬
systems, and so on) use one or two of the above-listed conditions, ‫ وما إلى ذلك) واح ًدا أو اثنين من‬،‫وأنظمة التحكم في الوصول‬
while intrusion detection systems (depending on the ‫ بينما تستخدم أنظمة كشف التسلل‬،‫الشروط المذكورة أعاله‬
implementation) employ nearly all attack indications..‫(اعتماًدا على التنفيذ) جميع مؤشرات الهجوم تقريًبا‬

40
 Repeated Occurrence of Specific Events
‫تكرار حدوث أحداث محددة‬
Recognizing specific actions or events that take place ‫يمثل التعرف على إجراءات أو أحداث محددة تحدث‬
repeatedly represents one of the best methods of intrusion.‫بشكل متكرر إحدى أفضل طرق اكتشاف التسلل‬
detection.
This mechanism is based on the assumption that, if the ‫ وتعتمد هذه اآللية على افتراض أنه في حالة‬
first attempt has failed, the intruder repeats his attempts of ‫ يكرر الدخيل محاوالته‬،‫فشل المحاولة األولى‬
unauthorized access to a specific resource..‫للوصول غير المصرح به إلى مورد معين‬
For example, port scanning in order to find available ‫ يمكن اعتبار فحص المنفذ‬،‫ على سبيل المثال‬
network services or any attempts of guessing the ‫للعثور على خدمات الشبكة المتاحة أو أي‬
password can be considered to be such an attempt. ‫محاوالت لتخمين كلمة المرور بمثابة محاولة‬
Algorithms used for detecting unauthorized activity must.‫من هذا القبيل‬
recognize such repeated attempts and decide how many
additional attempts are, in fact, indications of an attack. ‫ يجب أن تتعرف الخوارزميات المستخدمة‬
‫للكشف عن النشاط غير المصرح به على مثل‬
‫هذه المحاوالت المتكررة وتقرر عدد المحاوالت‬
‫اإلضافية التي تعتبر في الواقع مؤشرات على‬.‫الهجوم‬
41
 Repeated Occurrence of Specific Events
‫تكرار حدوث أحداث محددة‬
Detecting of repeated events represents a powerful approach, ‫ ألن ه‬،‫مث ل اكتش اف األح داث المتك ررة أس لوًبا قوًي ا‬
since it allows detection even of those attacks about which ‫يسمح بالكشف حتى عن تلك الهجمات التي ال توجد‬
there is no additional information (in other words, it allows ‫ يسمح باكتشاف‬،‫معلومات إضافية عنها (بمعنى آخر‬
the detection of unknown attacks of a specific type)..)‫الهجمات غير المعروفة من نوع معين‬
Either (or both) of the following events can be used as a
criterion: ‫ يمكن اس تخدام أح د (أو كليهم ا) من األح داث‬
The number of repeated events exceeds a specific :‫التالية كمعيار‬
threshold value (for example, the permitted number ‫ يتج اوز ع دد األح داث المتك ررة قيم ة معين ة‬
of network logons might be exceeded). ‫ ق د يتم تج اوز الع دد‬،‫(على س بيل المث ال‬
‫المس موح ب ه لعملي ات تس جيل ال دخول إلى‬.)‫الشبكة‬
Events are repeated within a specified time interval
(for example, an attempt to connect host ports).
‫ يتم تك رار األح داث خالل ف ترة زمني ة مح ددة‬
‫ محاول ة توص يل مناف ذ‬،‫(على س بيل المث ال‬.)‫المضيف‬

42
 In Incorrect Commands
‫أوامر غير صحيحة‬
Another method of identifying unauthorized activity ‫ هن اك طريق ة أخ رى لتحدي د النش اط غ ير‬
involves detection of invalid or incorrect requests or ‫المص رح ب ه تتض من اكتش اف الطلب ات أو‬
responses expected from automated processes or
programs. ‫االس تجابات غ ير الص الحة أو غ ير الص حيحة‬
Lack of correspondence to the expected reactions enables.‫المتوقعة من العمليات أو البرامج اآللية‬
us to come to the conclusion that one of the participants ‫ إن ع دم التط ابق م ع ردود الفع ل المتوقع ة‬
of the information exchange — either the one requesting
information or the one returning the answer — has been
‫يمّكنن ا من التوص ل إلى نتيج ة مفاده ا أن أح د‬
replaced. ‫ إم ا ال ذي‬- ‫المش اركين في تب ادل المعلوم ات‬
‫ ق د‬- ‫يطلب المعلوم ات أو ال ذي يعي د اإلجاب ة‬.‫تم استبداله‬

43
 Exploiting Vulnerabilities
‫استغالل نقاط الضعف‬
the process of using automated tools for searching for the
most common vulnerabilities (the so-called security ‫ عملي ة اس تخدام األدوات اآللي ة للبحث عن‬
scanners) or attack implementation is generally ‫نقاط الضعف األكثر شيوًعا (ما يسمى ببرامج‬
distinguished as a separate category of attack indications.
‫الفحص األم ني) أو تنفي ذ الهج وم يتم تمييزه ا‬
There is a wide range of such tools, from freeware utilities
‫بش كل ع ام كفئ ة منفص لة من مؤش رات‬
such as X-Spider, up to commercial products such as the
Internet Scanner..‫الهجوم‬
Despite the fact that vulnerability search tools are ‫ بدًءا‬،‫ هن اك مجموعة واسعة من ه ذه األدوات‬
intended for noble purposes, they are quite often misused. X- ‫من األدوات المس اعدة المجاني ة مث ل‬
This is especially true for cases when vulnerability
searching tools are not protected from such misuse, or are ‫ وح تى المنتج ات التجاري ة مث ل‬،Spider
themselves freeware.. Internet Scanner
‫ على الرغم من أن أدوات البحث عن الثغرات‬
‫ إال أنه غالًبا ما‬،‫األمنية مخصصة ألغراض نبيلة‬
‫ وينطب ق ه ذا بش كل‬.‫يتم إس اءة اس تخدامها‬
‫خ اص على الح االت ال تي تك ون فيه ا أدوات‬
44
‫البحث عن الثغ رات األمني ة غ ير محمي ة من‬
 Exploiting Vulnerabilities
‫استغالل نقاط الضعف‬
There are two aspects of detecting such tools: :‫هناك جانبان الكتشاف هذه األدوات‬
Detection of vulnerability scanners. Some.‫ الكش ف عن ماس حات نق اط الض عف‬
specialized tools, such as the Courtney system
developed in Computer Incident Advisory ‫ مث ل‬،‫يمكن لبعض األدوات المتخصص ة‬
Capability (CIAC), can detect the fact of the ‫ ال ذي تم تط ويره في‬Courtney‫نظ ام‬
SATAN scanner usage. ‫الق درة االستش ارية لح وادث الكم بيوتر‬
Detection of attack implementation. The ‫ اكتش اف حقيق ة اس تخدام‬،))CIAC
RealSecure Network Sensor system developed by.SATAN ‫الماسح‬
ISS can log that the intruder has imitated the
action externally in relation to the host being ‫ يمكن لنظ ام‬.‫ الكش ف عن تنفي ذ الهج وم‬
scanned; this is committed by the intruder using ‫ ال ذي‬RealSecure ‫مستش عر الش بكة‬
various security scanners such as Queso. ‫ تس جيل قي ام ال دخيل بتقلي د‬ISS‫ط ورته‬
‫اإلجراء خارجًيا فيما يتعلق بالمضيف الذي‬
‫يتم فحص ه؛ يتم تنفي ذ ذل ك من قب ل‬
‫ال دخيل باس تخدام الماس حات األمني ة‬.Queso ‫المختلفة مثل‬
45
 Inappropriate Parameters of the Network Traffic
‫معلمات غير مناسبة لحركة مرور الشبكة‬
There are other parameters that can be used as indications of an ‫ ويمكن‬.‫هن اك معلم ات أخ رى يمكن اس تخدامها كمؤش رات للهج وم‬
‫ على س بيل‬،‫اس تخدام خص ائص معين ة لحرك ة م رور الش بكة له ذا الغ رض‬
attack. Certain characteristics of network traffic can be used for :‫المثال‬
this purpose, for example:
External network addresses detected within the internal network ‫ عن اوين الش بكة الخارجي ة ال تي تم اكتش افها داخ ل الش بكة‬
‫الداخلية والتي تصل إلى عناوين الشبكة الخارجية األخرى‬
that access other external network addresses
Unexpected network traffic (for example, bypassing the firewall ‫ تجاوز‬،‫ حركة مرور غير متوقعة على الشبكة (على سبيل المثال‬
)‫جدار الحماية أو تجاوز مقدار حركة المرور المرسلة‬
or exceeding the amount of transmitted traffic)
Unexpected parameters of network traffic (non-standard flag ‫ معلمات غير متوقعة لحركة مرور الشبكة (مجموعات العالمات‬
)‫ وما إلى ذلك‬،‫غير القياسية‬
combinations, etc.)
Detection of scanning attempts (such as identification of ‫ اكتش اف مح اوالت المس ح (مث ل تحدي د مض يفي الش بكة‬
)‫وخدماتها‬
network hosts and services)
Repeated half-open connections, which might characterize ‫ وال تي ق د تم يز إم ا هجم ات‬،‫ اتص االت متك ررة نص ف مفتوح ة‬
‫) ) أو انتح ال الحزم ة مح اوالت ناجح ة‬DoS ‫حجب الخدم ة‬
either DoS attacks or packet spoofing ‫لالتص ال بالخ دمات الن ادرة االس تخدام أو غ ير العادي ة على‬
Successful attempts of connecting to rarely used or unusual ‫مضيفي الشبكة‬
services on the network hosts ‫ االتص االت التسلس لية لمض يفي الش بكة أو الخ دمات ال تي تعم ل‬
Sequential connections to network hosts or services running on ‫على مضيف معين‬
a specific host ‫ اتصاالت من وإلى موقع غير متوقع‬
Connections TO and FROM an unexpected location
‫ محاوالت االتصال الفاشلة‬
Repeated failed connection attempts.

46
 Unexpected Attributes
‫سمات غير متوقعة‬
Requests from any system, network or user are characterized ‫تتميز الطلبات الواردة من أي نظام أو شبكة أو‬
by certain attributes that describe the so-called system, ‫مستخدم بسمات معينة تصف ما يسمى بملف‬
network, or user profile. These profiles are used for
monitoring and analysing the controlled object. The most.‫تعري ف النظ ام أو الش بكة أو المس تخدم‬
frequently used parameters that provide the capability of ‫ُتس تخدم ملف ات التعري ف ه ذه لمراقب ة وتحلي ل‬
detecting a potential attack are considered below. ‫ فيم ا يلي‬.‫الك ائن ال ذي يتم التحكم فيه‬
Date and Time: ‫المعلم ات األك ثر اس تخداًما وال تي ت وفر الق درة‬
Date and time represent the most characteristic attributes.‫على اكتشاف هجوم محتمل‬
that are used when detecting security policy violations. Let
us suppose, for example if an intrusion detection system :‫التاريخ و الوقت‬
registers a logon attempt during weekends and holidays for ‫يمثل التاريخ والوقت السمات األكثر تميًز ا التي‬
an employee of. another example which uses time as the
attack indicator: If the time interval between data input and ‫يتم اس تخدامها عن د اكتش اف انتهاك ات سياس ة‬
payment confirmation is too small (insufficient for normal ‫ إذا ق ام‬،‫ على س بيل المث ا?