تخصصات الأمن السيبراني

 

من المهم إدراك بأن مجال الأمن السيبراني لا يقتصر على تعلم الاختراق. علم الأمن السيبراني يهدف إلى تحصين الأنظمة الرقمية من الهجمات الالكترونية اعتمادا على عدة جوانب منها جانب تقني وجانب آخر إداري تنظيمي (غير تقني).

لذلك من المهم أن يدرك المهتمين بدخول تخصصات  الأمن السيبراني ان هناك مسارات متعددة ضمن عالم الأمن السيبراني، وبالمجمل هي تنقسم لجزئين رئيسيين:

·       مسارات فنية Technical

·       ومسارات غير فنية Non-Technical

المسار غير الفني يتعلق بالمجالات التالية:

الحوكمة والامتثال وادارة المخاطر GRC، التشريعات والمقايسس العالمية. 

ايضا هناك جانب مهم وهو ارتباط أتمتة الأعمال والتحول الرقمي للمؤسسات وتحديد المخاطر على المؤسسات وأهمها المخاطر السيبرانية.

المسار الفني واسع، وفيه عدة مجالات منها:

Security Operation Center (SOC)

Digital Forensic and Incident Response (DFIR)

Reverse Engineering

Security Architect (وهذا مجال متقدم)

System and Network Security

Penetration Test (ويتفرع لعدة تخصصات)

Red Team/Blue Team/ Purple team

 

على العموم اذا كنت مهتم بالمسار الفني اهتم بالمجالات (الدورات) التالية، جميعها او بعضها كمرحلة ابتدائية تحضيرية لمراحل متقدمة:

Network (CCNA)

Windows Servers

Linux Administration

Security Systems (Firewall, Endpoint Protection, Email Security, Web Security, NAC, IAM, IPS/IDS, Windows Security, Linux Security)

 

 

 

 

هل يمكن اختراق أنظمة التحكم الصناعية

 كشفـت شركة Schneider Electric بتاريخ 11-ابريل-2023 عن ثغرة أمنية عالية الخطورة على أحد منتجاتها وهو برنامج EcoStruxure™ Control Expert نسخة رقم V15.1 والاصدارات الأحدث، تمكن المخترقين من تنفيذ أوامر عن بعد remote code execution (RCE) على الجهاز المخترَق.

رابط تبليغ شركة Schneider Electric عن الثغرة:

https://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-03&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-2023-101-03.pdf

ما هو EcoStruxure™ Control Expert

يعد نظام EcoStruxure™ Control Expert من البرمجيات الهامة لخبراء انظمة التحكم، فمن خلاله يتم برمجة وإعداد وحدات وأنظمة التحكم المنتجة من شركة Schneider Electric بشقيها PLCs (Programmable Logic Controllers) وPACs (Programmable Automation Controllers) وتحديدا منتجات Modicon M340 و Modicon M580 وأيضا Modicon M580 Safety Momentum, Premium, Quantum applications.

يوفر البرنامج امكانيات متقدمة  لاعداد وحدات وأنظمة التحكم (PLCs  أو PACs) سالفة الذكر من خلال بناء البرامج والتطبيقات المنطقية للتحكم (logic controller) عبر  تعريف العلاقات (statement lists) والروابط (ladder logic) والمخططات الوظيفية (functional block diagram) بين مكونات الأنظمة المراد التحكم بها ومراقبتها، وإدارة مكونات وحدة التحكم وتسمية نقاط التحكم. وتحميلها إلى وحدات أنظمة التحكم، وعمل تمثيل (simulation) للبرامج والتطبيقات المنطقية للتحكم وفحص الاعطال (debugging)، وكذلك ادارة ملفات المصادر (libraries) والبرمجيات الأخرى المساعدة على وحدات التحكم.

وصف الثغرة

هذه الثغرة تحمل الرقم CVE-2023-27976 وتم تصنيف خطورتها بدرجة 8.8، وهي تتصف بالخصائص الأمنية التالية حسب مقياس تصنيف الثغرات CVSS 3.1:

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

يتسطيع المخترق عند استغلال هذه الثغرة تنفيذ أوامر عن بعد (RCE) على أجهزة التحكم المخترَقة. وحسب الخصائص الأمنية لها تعتبر درجة التعقيد لاستغلال الثغرة لعمل تهديد ذات مستوى منخفض (AC:L) كما لا تحتاج لاسم استخدام لعمل والاختراق، وهذا يساهم في رفع مستوى خطورة الثغرة.

أثر الثغرة على أنظمة التحكم الصناعية؟

يتم استخدام نظام EcoStruxure™ Control Expert لتهيئة وحدات التحكم واعدادها بالبرامج المنطقية للتحكم لتؤدي هذه الوحدات وظائف المراقبة والتحكم حسب المشروع الذي تعمل به، فعلى سبيل المثال يتم تركيب هذه الوحدات للتحكم بخطوط انتاج المصانع الكبرى، او لتشغيل مرافئ الموانئ، أو تشغيل وحدات معالجة المياه العادمة، او للتحكم في شبكة القطارات، أو لإدراة ومراقبة أنظمة السلامة (safety system) في المنشآت الكبرى وغيرها من التطبيقات الصناعية. لذا فإن حساسية الاستخدام لهذه الأنظمة في قطاع أنظمة التحكم الصناعية (ICS) تجعل اختراقها أمر في غاية الخطورة.

يعتمد نظام EcoStruxure™ Control Expert على تشغيل خدمات web endpoint للتواصل بين جهاز الحاسوب (PC) الذي يعمل عليه هذا النظام مع وحدات التحكم لبرمجتها أو لتحميل أوتنزيل ملفات من هذه الوحدات أو أية عملية أخرى من العمليات المعتادة. عند تنصيب هذا النظام على جهاز الحاسوب يقوم بانشاء مجلدات تحتوي على عدة ملفات، احد الملفات يقدم خدمة web endpoint وهو ملف SE.SODB.Host.exe. وهذا الملف هو الذي يتسبب بوجود هذه الثغرة ويتم اسغلاله لرفع ملفات على وحدات التحكم من أجل تغيير الوظائف المعدة عليها او تتسبب في احداث هجمات على مكونات الأنظمة التشغيلية (OT).

الرابط التالي يقدم تحليل لبرمجية الملف التنفيذي وكيفية استغلال الثغرة والقدرة على الدخول على وحدات التحكم العاملة دون الحاجة لاسم استخدام، وبالتالي امكانية ارسال أوامر تحكم لعمليات تشغيلية (control commands for industrial systems):

https://www.reversemode.com/2023/04/losing-control-over-schneiders.html

مقدمة عن مطاردة هجمات الاستطلاع السيبرانية عبر سجلات الاحداث

 

للكشف عن نشاطات سيبرانية مشبوهة على أنظمة تشغيل ويندوز مرتبطة بهجمات الاستطلاع (Reconnaissance) ولعمل مطاردة للتهديدات (Threat Hunting)، يلزم بشكل مبدئي بالتفتيش بسجلات الاحداث (event viewer) ضمن قسم سجلات الحماية (Security Event Log) على سجلات تحمل الارقام التالية:

·       Event ID 4624: Successful logon events

·       Event ID 4625: Failed logon events

·       Event ID 4634: Successful logoff events

·       Event ID 4647: User initiated logoff events

ايضا في حال كان Sysmon مفعل ويقوم بحفظ سجلات، يلزم البحث عن سجلات اضافية على النحو التالي:

·       Event ID 1: Process creation events

·       Event ID 3: Network connection events

·        Event ID 7: Image load events

·       Event ID 8: CreateRemoteThread events

ثم تحليل السجلات المنوعة محط الاهتمام والتي جمعها وأهمية دراسة ترابط هذه السجلات التي توثق احداث مشبوهة للاستدلال عن طبيعة الهجوم من أجل اكمال رحلة التحري الرقمي ومعرفة الضرر والأثر الذي احدثه الاختراق ونطاق الانتشار داخل الشبكة وكذلك الأنظمة والأجهزة العاملة المتضررة. وبناء عليه  عمل اجراءات الاصلاح والتعافي واحتواء الاختراق.

وبعد يجب توثيق تفاصيل الحادثة بما يشمل كيفية اكتشاف الاختراق، والاجراءات التي تمت واستخراج مؤشرات الاختراق (IoCs).

الثغرة الخطيرة "Apache Log4Shell"

CVE-2021-44228

"Apache Log4Shell"

الثغرة الخطيرة جدا

يمكن استغلال هذه الثغرة من أجل تنفيذ أوامر على نظام معين عن بعد (unauthenticated remote code execution "RCE") تمكّن من السيطرة الكاملة على النظام المخترَق.

يتم استغلال خاصية (Java Naming and Directory Interface) أو JNDI لتحميل ملف يحتوي على برمجية تسبب السيطرة على النظام وتنفيذ أوامر بصلاحيات عالية عن طريق تحويل ملف لتكوين object باستخدام خاصية Java deserialization .يُستغل هذا الـ object لتكوين malicious code على الجهاز المخترق.

الـ JNDI عبارة عن Java API يتيح الربط مع خدمات الاسماء والأدلة naming and directory services للاستعلام عن المعلومات data والمصادر resources عبر عدة وسائل منها بروتوكول LDAP وبروتوكول DNS كما في الشكل بالأسفل. من الأشياء التي يمكن الاستعلام عنها هو URI يؤشر على Java class يحتوي على خورازميات تنفيذية.

يتيح JNDI شمول متغيرات variables ضمن نص الرسالة للحدث بحيث يقوم بالاستعلام عن قيمة المتغير (مثلا اسم المستخدم أو اسم الجهاز) عبر أحدى الوسائل المتوفرة لديه. يعمل على النظام المصاب بهذه الثغرة خدمة او مجموعة من الخدمات (مثلا web server firewall، وغيرهما)، الخدمة العاملة تقوم بتسجيل الاحداث من خلال النظام LOG4J الذي يعمل من خلال JNDI.

يقوم المخترق بارسال طلب HTTP Get ويضمن في جزء user-agent متغير يشير لمصدر على خادم الـ LDAP. خادم الـ LDAP هو ضمن منطومة المخترق وتحت إدارته وعليه ملفات تخريبية (malware) حسب الشكل بالأسفل.

سيقوم الـ JNDI بارسال طلب لخادم الـ LDAP لاستعلام عن المصدر المطلوب والذي بدوره سيجيب الطلب بارسال الملف الذي يحتوي على الاوامر التنفيذية بعد تحويل محتوي الملف ل object.

Exploit Kits

Exploit Kits

هي أسلوب مأتمت يستخدمها المخترقون لمهاجمة واختراق الشبكات عن طريق استكشاف الثغرات في الأجهزة الطرفية الواصلة على الشبكات واستغلالها بحقن ملفات ضارة في تلك الأجهزة لتنفيذ اعمال تخريبية.

تقوم Exploit Kits باستخدام أسلوب يسمى drive-by download لتحميل ملفات ضارة مخفية باعلانات مثلاً او من خلال مواقع الكترونية مخترَقة لكي تعمل اعادة توجيه HTTP redirect المستخدمين إلى صفحات مواقع بشكل متكرر لينتهي بهم المطاف لموقع الكتروني يستضيف برمجيات Exploit Kits.

تحتوي Exploit Kits على مجموعة من الكودات وغالبا تكون PHP scripts، يتم تحميلها من الموقع المستضيف لل Exploit Kits إلى جهاز المستخدم، تعمل على استشكاف البرمجيات والتطبيقات العاملة على جهاز المستخدم وايضا نظام التشغيل للجهاز، للبحث عن ثغرات مناسبة لتحميل ملفات ضارة أخرى للتمكن من الجهاز.

خطوات الاختراق باستخدام Exploit Kits

1.      يقوم الضحية بزيارة موقع الكتروني مخترق

2.      يقوم الموقع المخترق باعادة توجيه المستخدم لمواقع مخترقة وبشكل متكرر لعدة مرات ليصل لموقع Exploit Kits

3.      تقوم Exploit Kits بارسال كودات  PHPضارة لمسح (استشكاف) جهاز المستخدم لمعرفة تفاصيل نظام التشغيل، والبحث عن برمجيات معينة مثبتة على الجهاز مثل Java وFlash Player كونها برمجيات يسهل اختراقها

4.      بعد تحديد الثغرات تقوم الكوادات المحملة من قبل Exploit Kits بالاتصال معExploit Kits server لتحميل ملفات ضارة تناسب الثغرات المكتشفة للسيطرة على جهاز المستخدم.

5.      بعد ذلك يصبح جهاز المستخدم تحت سيطرة المخترِق وتنشأ سبل اتصال Command and Control (CnC) بين الطرفين تسهل عملية التواصل وتمكن المخترق من تحميل ملفات وبرمجيات على جهاز المستخدم.

6.      يقوم المخترق بتحميل وتنصيب برمجيات وملفات خبيثة Malware (payload) على جهاز المستخدم لتحقيق غاية المخترق من الاختراق.