خلي بالك وأنت بتدور على PoC.. الـ Webrat Malware بقا بيصطاد الـ Researchers!

فيه حملة Malware جديدة ماشية بقالها كام شهر ويفضل تاخدوا بالكم منها، خصوصاً الطلبة والـ Junior Security Researchers اللي بيدوروا على Exploits لثغرات لسه طالعة "تريند".

الموضوع بدأ بـ Malware اسمه Webrat. في الأول كان بيستهدف الجيمرز (Rust, Roblox, CS) عن طريق Game Cheats أو برامج مكركة. بس من أول شهر سبتمبر اللي فات، الـ Threat Actors قرروا يغيروا "الزبون" ويستهدفوا الناس اللي شغالة في الـ InfoSec.



بيحصل إيه بالظبط؟ (The Attack Vector) 🤔

الهكرز بيعملوا GitHub Repositories شكلها احترافي جداً لثغرات حقيقية وليها High CVSS scores (زي CVE-2025-59295).

الـ README: مكتوب بـ AI، متقسم صح جداً (Overview, Specifications, Mitigation)، عشان يخليك تثق إن ده PoC حقيقي.

الـ Trap: جوا الـ Repo بتلاقي ملف ZIP محمي بكلمة سر (عشان يهرب من الـ Scanner بتاع GitHub).

> "The attackers are leveraging the sense of urgency around new vulnerabilities to trick researchers into bypassing their own security protocols."



تحليل الـ Infection Chain
لما بتفك الضغط عن الملف، بتلاقي 4 حاجات:

1. pass – 8511: ملف فاضي، بس اسمه هو الباسورد بتاع الـ Archive.

2. payload.dll: ده مجرد Decoy (ملف تالف) ملوش لازمة غير إنه يشتت انتباهك.

3. rasmanesc.exe: ده "السم في العسل". أول ما بيشتغل بيعمل:

- Privilege Escalation: بيعلي صلاحياته للـ Admin.

- Disable Windows Defender: بيقفل الحماية عشان يشتغل براحته.

- Fetch Payload: بيكلم الـ C2 Server عشان ينزل الـ Webrat الأساسي.

4. start_exp.bat: ملف بسيط بيشغل الـ exe عشان يسهل عليك تلبس في الـ Malware.



إيه هو الـ Webrat ده أصلاً وبيعمل إيه؟ 🕵️‍♂️
الـ Webrat عبارة عن Backdoor قوي جداً، وإمكانياته مش سهلة:

Info Stealing: بيسرق الـ Sessions بتاعة (Telegram, Discord, Steam) والـ Crypto Wallets.

Spyware: بيقدر يفتح الميكروفون والكاميرا، ويعمل Screen Recording و Keylogging.

Remote Control: الهكر بيبقا معاه Control كامل على جهازك.


الهكرز عارفين إن الـ Researchers بيجروا ورا الـ Zero-days والـ PoCs الجديدة، فبيستخدموا ده طُعم.

Rule #1: مفيش حاجة اسمها تجرب PoC على جهازك الشخصي (Host Machine).

Rule #2: أي شغل تحليل أو تجربة لازم يكون جوا Isolated Environment (زي VMware أو VirtualBox أو Sandbox).

Rule #3: بص بصه على الـ Code قبل ما تشغل أي .exe أو .bat جاي من Repo مجهول، حتى لو شكله احترافي.


Stay Safe and Happy Hunting! 🛡

عشان فرص الشغل الـ Remote والشركات العالمية بقت حلم لكل Developer، بقى فيه Hackers محترفين بيستغلوا ده عشان يوقعوا المطورين ويسرقوا بياناتهم من خلال فخ الـ "Contagious Interview" - فالبوست ده هقولك تعمل إيه عشان تحمي جهازك وشغلك لو جالك عرض مغري وطلبوا منك Technical Task، قبل ما تقع في الفخ وتخسر كل حاجة!

أول حاجة، لازم تشك في أي Recruiter بيكلمك من شركة Crypto مسمعتش عنها قبل كدة وبيبعتلك Repository عشان تحل فيه تاسك، وخد بالك جداً من الـ Folder اللي اسمه .vscode وتحديداً ملف الـ tasks.json، لأن الهاكرز بيخبوا جواه Malicious Commands بتشتغل أول ما تعمل Build للمشروع، ومتحاولش تفتح أي مشروع وتدوس "Trust" وأنت مغمض لمجرد إنك مستعجل تخلص التاسك!

تاني حاجة، لو مضطر تفتح مشروع من حد غريب، افتحه دايماً في بيئة معزولة زي Sandbox أو Virtual Machine، عشان تضمن إن أي أمر "مستخبي" يشتغل بعيد عن ملفات جهازك الأساسية والـ Crypto Wallets بتاعتك. الهاكرز دول هدفهم يزرعوا برامج خبيثة زي BeaverTail و InvisibleFerret عشان يشفطوا الـ Passwords بتاعتك ويبنوا Backdoor في جهازك، فخليك دايماً أذكى منهم.

ولو شاكك في أي Task جالك، اسأل زمايلك الـ Experts أو اتأكد من هوية الشخص اللي بيكلمك كويس جداً، بلاش الفرحة بعرض الشغل تنسيك أمن جهازك لأن غلطة واحدة بضغطة زرار ممكن تنهي مستقبلك الرقمي وتخلي جهازك ميبقاش ملكك خلاص.

ياريت نخلي بالنا.

محتاج حد متخصص في blue team ينشر محتوى، ينشر بشكل مستمر.
@ANB0_01

من السجلات إلى الرؤى: بناء خط أنابيب SIEM باستخدام Elasticsearch و Kibana و Winlogbeat

من مشاهد التطور في CyberSecurity، الـ Logs هي العمود الفقري لأي أستراتيجية دفاعيه، اذا فتحت اي ملف logs ممكن تلاحظ ان الملف غير مفهوم، وده امر طبيعي وهنا ممكن نطلق عليه مصطلح السجلات الخام، لأنها غير مرتبه وصعب ان يتم تفسيرها يدوياً، وده موضوعنا انهارده.

في نظام SIEM بشكل مختصر ده عباره عن نظام اداري للمعلومات، وفي المقال هنطبق مفهومه بحيث اننا نقدر نتعامل مع الداتا الـ Logs بشكل اننا نفهمها، هنستخدم حاجة اسمها الـ pipline، هو مفهوم بسيط وفعال علشان نقدر نحول اي Logs من شكل غير مرتب انه يكون مرتب ومفهوم وهنستخدم حاجة أسمها Elastic Stack

‼️ المكونات الرئيسية (The Stack)

هنستخدم حاجة اسمها ElasticSearch، وهو Search هيقوم بتخزين وفهرسه الـ data، وهنستخدم الـ Kibana وهي واجهه بيتم استخدامها في تصور الData واستكشافها، بالنسبة الى Winlogbeat، هو proxy خفيف في الحجم تقدر تثبه في ويندوز ومن خلال الـ Proxy بيبعت الـ Log لـ elasticsearch، خلينا نبدأ في تثبيت الادوات.

‼️ تثبيت Elasticsearch

اول حاجة التثبيت هيكون من الموقع الرسمي لـ elastic وطبعاً التحميل هيكون معتمد على نظامك وبعدها تفتح ملف الـ config/elasticsearch.yml وهتعمل التعديلات دي

 network.host: 0.0.0.0
http.port: 9200
discovery.type: single-node
xpack.security.enabled: false

وقت عملية التشغيل هيكون من هنا bin/elasticsearch.bat وهتبدأ في دخول الى http://localhost:9200.

‼️ تحميل Kibana وتجهيزه

بشكل مختصر هو العين هتشوف من خلال الـ Logs، الطبيعي انت هتحمله من مصدره، وبعدها هتفك الضغط، بعدها هتفتح ملف الـ config وهتعمل الأعدادات دي

server.port: 5601
server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]

هتشغل الملف من خلال kibana.bat وبعدها هيحمل شويه، ولما ينتهي هتفتح الـ localhost على نفس البورت

‼️ تحميل وتجهيز winlogbeat

اهميته هو تجميع الـ Logs وإرسالها، الطبيعي انك هتحمله وهتفك الضغط، وتثبيته هيكون من خلال PowerShell كـ administrator وهتبدأ التثبيت:

cd "C:\Program Files\Winlogbeat"
.\install-service-winlogbeat.ps1

هتفتح ملف الـ config هيكون اسمه winlogbeat.yml هتحديد الـ Logs

winlogbeat.event_logs:
  - name: Application
  - name: System
  - name: Security

output.elasticsearch:
  hosts: ["localhost:9200"]

طيب هنبدأ تجهيز الـ dashboards، الـ Winlogbeat بيوفرها جاهزة وهتشغلها بالامر ده

.\winlogbeat.exe setup

وبعد كده

Start-Service winlogbeat

بمجرد ما تشغل winlogbeat، هتبدأ البيانات انها تتبعت للـ Elasticsearch، هتفتح Kibana وبعدها قسم الـ dashboard، هتبحث عن الـ dashboard الخاصه بـ winlogbeat.

وبعدها هتشوف تمثيل بالرسوم لكل حاجة بتحصل في الويندوز، زي اي محاولات Login غلط، واذا حد حاول يعمل bruteforce هيظهر.

في حاله لو عايز تعمل مستخدم جديد هتقدر، ولو عايز تعدل الصلاحيات برده هتقدر، هتقدر برده تشوف الـ Log الخاصه بالنظام والـ applications.

DFIR LAB

https://github.com/frankwxu/digital-forensics-lab

السلام عليكم ورحمة الله وبركاته
أنا عمر الشافعي، عضو معاكم في الكوميونيتي، وحابب أبدأ سلسلة مقالات عن Blue Team وأمن المعلومات بشكل عملي وبسيط.
في المقالات الجاية إن شاء الله هشارك خبرتي، ونفهم مع بعض يعني إيه Blue Team، دوره الحقيقي، والأدوات والمهارات اللي أي شخص حابب يدخل المجال محتاجها.
لو حد عنده سؤال أو محتاج مساعدة، ده اليوزر بتاعي @ONATS123وإن شاء الله أساعد أي حد أقدر عليه.

هل ترى كل شيء في شبكتك؟ رحلة من الـ Raw Logs إلى الـ SIEM Dashboard

القوة الحقيقية لل logs
الـ Logs هي "الصندوق الأسود" لأي شبكة او جهاز . القوة الحقيقية للـ Logs مش في عددها (ممكن يكون عندك تيرا بايت لوجز ومستفدش منها)، لكن القوة في المعلومة (Intelligence) اللي بتديك إجابة شاملة عن الحادثة.
الـ Logs هي المصدر الوحيد للحقيقة (Single Source of Truth) اللي بتجاوبك على أسئلة التحقيق.

عشان تفهم أي Security Incident، الـ Logs لازم تجاوبك على 5 أسئلة جوهرية

Who من؟ مين اللي عمل الفعل؟
أمثلة: اسم المستخدم (User ID)، عنوان الـ IP (Source IP)، أو اسم العملية (Process Name).
Whatماذا؟إيه اللي حصل بالضبط؟
أمثلة: عملية دخول ناجحة (Login Success)، تعديل صلاحيات (Privilege Escalation)، حذف ملفات حساسة.
Where أين؟: فين حصل الحدث ده؟
أمثلة: على الـ Domain Controller، على جهاز الموظف (Endpoint)، أو داخل الـ Database.
When متى؟: توقيت الحدوث.
أهمية قصوى: لازم نركز هنا على الـ Timestamp
Why لماذا؟:
الـ "Why" مش دايماً مكتوبة صريحة في اللوج، لكن بنستنتجها من الـ Context.
مثال: لو شوفت Failed Login 50 مرة وبعدها Success، الـ "Why" هنا غالباً محاولة اختراق (Brute Force).

من أين تأتي LOGS؟

LOG اللي بتغذي مركز العمليات الأمنية (SOC) بتنقسم لنوعين رئيسيين:
Network-Centric Logs:
المصدر: Routers, Switches, Firewalls, IPS/IDS.
المعلومات: Source IP, Destination IP, Ports, Protocol.
Host-Centric Logs:
المصدر: Windows Event Logs, Linux Syslog, EDR Logs.
المعلومات: مين فتح ملف، مين شغل PowerShell Script، مين غير في الـ Registry.

ايه هو الSIEM

تخيل إن عندك 1000 جهاز، وكل جهاز بيطلع آلاف السطور من الـ Logs كل دقيقة. مستحيل بشري يراجع ده بعينه. هنا بيجي دور الـ SIEM (Security Information and Event Management).
الـ SIEM هو الحل المركزي اللي بيعمل Centralization. هو "المخ" اللي بيجمع كل البيانات دي في مكان واحد عشان يحللها

ايه عناصر SIEM

عشان الـ Log يتحول من "نص خام" لـ "تنبيه أمني" (Alert)، بيمر بـ 5 مراحل:

Collection التجميع
الخطوة الأولى هي سحب الـ Logs من المصادر المختلفة (Firewalls, Servers, Cloud, etc.)
وتروح ل Siem

Parsing التحليل والترجمة
الـ Logs بتيجي "خام" (Raw Text). الـ Parsing هو عملية استخراج البيانات المهمة ووضعها في حقول (Fields).
مثال ده شكل قبل ماتعملها parsing
: Jan 10 10:00:01 firewall01 Deny TCP 192.168.1.10 → 8.8.8.8 Port 443
ده شكلها بعد ال parsing
Action = Deny
Protocol = TCP
Source IP = 192.168.1.10
Destination IP = 8.8.8.8
Destination Port = 443

Normalization توحيد المعايير
دي أهم خطوة! كل جهاز بيكتب اللوج بلغة مختلفة.
كا مثال
Firewall يقول src_ip
Server يقول client_address
SIEM يوحدهم باسم Source IP

Aggregationالتلخيص
بدل ما نسجل كل Log لوحده → الـ SIEM يعمل Group للأحداث المتشابهة.
الهدف: تقليل الحجم + التركيز على الـ Pattern.
مثال:
لو 1000 محاولة Login فاشلة من نفس الـ IP في دقيقة → يتجمعوا كـ "Failed Logins from 192.168.1.50 (1000
times)"

Correlation الربط الذكي
• الوظيفة: ربط أحداث مختلفة ببعض عشان تكشف Attack Scenario.
• الفكرة: مش مجرد تكرار نفس الحاجة، لكن أحداث متنوعة مرتبطة ببعض بتدل على هجوم.
• مثال:
User عمل Login ناجح من روسيا.
نفس User بعد دقيقتين بيعمل Data Download ضخم من السيرفر.
نفس الـ User قبلها كان فيه 50 فشل Login.
الـ SIEM يربط الـ Events دي مع بعض = Suspicious Behavior → ممكن يكون Account Compromise.

ازاي logs بتروح ل Siem

إزاي الـ Logs بتروح من الجهاز للـ SIEM؟ عندنا طريقتين أساسيتين:
Log Shippers
دي برامج صغيرة (Agents) بتنزل على السيرفرات عشان تقرأ اللوجز وتبعتها.
الوظيفة: Collect -> Parse/Format -> Ship.
أمثلة:
Winlogbeat:
Filebeat:
Fluentd:


Protocols
Syslog: البروتوكول الأشهر عالمياً (Standard). بيشتغل UDP (سريع بس ممكن يضيع داتا) أو TCP (مضمون). معظم أجهزة الشبكات بتستخدمه.

WEF (Windows Event Forwarding): طريقة مايكروسوفت الخاصة لتجميع اللوجز من أجهزة الويندوز وبعتها لسيرفر مركزي (Collector) ومنه للـ SIEM.
API الطريقة الحديثة، خصوصاً مع الـ Cloud Services زي AWS و Azure اللي بتبعت اللوجز عن طريق برمجة واجهة التطبيقات.

لو في اي اقتراح او حاجه حابب طبعا اسمعها