الوحدة 7

الفحص النشط - تحليل صفحات الويب الضارة

آخر تحديث في: 15 يناير 2025

حالة استخدام

عادةً ما تكون رسائل البريد الإلكتروني الاحتيالية مجرد الخطوة الأولى في الهجوم، ويحاول معظمها جعل الشخص المستهدف يزور صفحة ويب ذات هدف هجوم محدد. ستعلّمك وحدة المهارات هذه إلقاء نظرة على مواقع الويب التي يتحكم فيها المهاجمون لفهم أفعالهم واحتمال الكشف البنية التحتية الإضافية التي يتحكم فيها المهاجمون أو نواقل الإصابة المستخدمة في الهجمات. لاحظ أن مواقع الويب يمكن أن تكون معقدة للغاية وذات سلوك يتراوح من صفحات انتحال شخصية لسرقة بيانات الاعتماد البسيطة إلى الهجمات المعقدة ضد متصفح الويب أو جهاز التصفح نفسه.

لاحظ أن التفاعل مع مواقع الويب الضارة يمكن أن يعرض المحلل نفسه للخطر وتأكد من إعداد واستخدام بيئة معزولة ((انظر الموضوع الفرعي 3)) وجمع جميع صفحات الويب وتخزينها بأمان. وأخيرًا، هذه مهارة تتقاطع مع مسار تعلّم تحليل البرمجيات الضارة وتمهد له.

الأهداف

بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:

تحليل مواقع الويب التي يملكها المهاجمون من خلال النظر إلى شفرة مصدرها باستخدام ميزات فحص متصفحات الويب واستخدام أدوات اختيارية مثل اعتراض وكلاء أو مصححات أخطاء جافا سكريبت.
كشف البنية التحتية الإضافية التي يمكن أن ترتبط بها مواقع الويب هذه من خلال البحث عن عناوين مواقع ويب وعمليات إعادة التوجيه والنطاقات المرتبطة والأصول أو المعرفات الأخرى

العرض

المعرفة الأساسية

سيكون من الأسهل بكثير ممارسة هذا إذا كنت تعرف أساسيات جافاسكريبت ولغة تمييز النص التشعبي على الرغم من أنها ليست متطلبات أساسية ضرورية للغاية.

تجدر الإشارة إلى بعض الاختلافات الأساسية بين البريد الإلكتروني وصفحة الويب:

يمكن أن تكون صفحات الويب ديناميكية وبالتالي يمكن للخادم إنشاء صفحة ويب مختلفة بناءً على متغيرات مثل عنوان بروتوكول إنترنت لمقدم الطلب ونوع المتصفح والوقت من اليوم والعديد من المتغيرات الأخرى.
ستُعالج متصفحات الويب أنواعًا من لغة تمييز النص التشعبي أكثر من قارئات البريد الإلكتروني مع توفير حماية أقل، والأهم من ذلك أن متصفحات الويب ستقوم بتشغيل جافا سكريبت وهو أمر لن يتم على وكلاء البريد الإلكتروني.
تولد رسائل البريد الإلكتروني بتنسيق لغة تمييز النص التشعبي عند إرساله وهو إجراء يباشر به المهاجم. مع صفحات الويب، يباشر الزائر بالإجراء، فعند مشاهدتك لصفحة ويب ضارة يمكن أن يتابع المهاجم أفعالك بصورة مستمرة. في حين أن الآليات مثل الشبكة ظاهرية خاصة أو شبكة تور (Tor) يمكن أن تمنع مسؤول صفحة الويب من مشاهدة عنوان بروتوكول إنترنت الخاص بك، يمكن أن يحتوي الموقع نفسه على أدوات إحالة مرتبطة بالبريد الإلكتروني للتصيد الاحتيالي أو أن تكون مخصصة لكل مستلم. بهذه الطريقة سيعرف المهاجم بدرجة عالية من اليقين أن أولئك الذين لديهم حق الوصول إلى البريد الإلكتروني الاحتيالي فقط هم الذين سيزورون صفحة الويب.

ولهذا السبب نوصي فقط بتحليل صفحات الويب في بيئة آمنة مصممة خصيصًا لفتح الملفات التي يحتمل أن تكون مشبوهة مثل الجهاز الظاهري أو بيئة اختبار معزولة. بالإضافة إلى ذلك، ناقش نموذج التهديد الخاص بمتلقي البريد الإلكتروني للتأكد من أنه آمن لهم لإجراء نشاط التحليل الإضافي الذي يمكن أن يكون مرئيًا للمهاجم.

دراسات حالة

اقرأ دراستي حالة تحللان هجمات التصيد الاحتيالي التي استهدفت مجموعات المجتمع المدني، كان كلا الهجومين فيهما ناجحًا جزئيًا:

هيومن رايتس ووتش: إيران: قرصنة تدعمها الدولة ضد النشطاء والصحفيين والسياسيين (القسم التمهيدي هو سياق مفيد حول تكتيكات ودوافع المهاجمين؛ ومع ذلك، ركز على قسم التحليل الفني لحملة التصيد الاحتيالي لأغراض التعلّم).
بيلينغكات (Bellingcat): عودة غوسيفر؟ حملة التصيد احتيالي على بروتون ميل (ProtonMail) استمرت لأشهر استهدفت العشرات من الصحفيين والمنظمات غير الحكومية التي تركز على روسيا

مع التركيز على دراسة حالة هيومن رايتس ووتش أعلاه لاحظ بعض السمات الرئيسية للتحليل المستخدم في كل تحقيق. يتطلب بعضها مهارات فنية لإكمالها بينما يتطلب البعض الآخر البحث والتفكير النقدي ومهارات التعامل مع الآخرين، وتشمل بعض الأساليب المحددة في دراسة الحالة ما يلي:

استخدم المهاجمون خدمة اختصار عناوين موقع ويب وهو أمر شائع لرسائل البريد الإلكتروني السليمة وغيرها على حد سواء. يجب أن تكون قادرًا على التعرف على أدوات اختصار عناوين مواقع الويب ومعرفة كيفية توسيع عناوين مواقع ويب هذه حيثما أمكن (على سبيل المثال باستخدام آلية أداة الاختصار المدمجة مثل إضافة + إلى نهاية عنوان موقع ويب، أو باستخدام أداة توسيع مثل يو آرليكس Urlex) أو تتبع مراحل إعادة توجيه بروتوكول نقل النص التشعبي. يجدر ذكر أن المهاجم أنشأ خدمة اختصار عناوين موقع ويب خاصة به في هذه الحالة والتي انتحلت هوية أداة اختصار عناوين موقع ويب آخر معروفة (من خلال تغيير صغير في تهجئة اسم النطاق).
سُجلت نطاقات متعددة تهدف إلى إرباك الهدف (على سبيل المثال، Sharefilesonline[.]LIVE، التي تجمع بين أسماء منتجات مايكروسوفت شيربوينت (SharePoint) ولايف دوت كوم (Live.com).
روابط فريدة تُرسل إلى أهداف فردية بمعرف مكون من خمسة أحرف (يمكن تحقيق ذلك من خلال أي سلسلة فريدة في عنوان موقع ويب، عادةً داخل مسار عنوان موقع ويب أو يتم تمريرها في معلمة على سبيل المثال بعد ’?‘). باستخدام القوة العمياء لتجربة جميع معرفات الأحرف الخمسة الممكنة ومجموعات عناوين مواقع الويب، تمكن المحللون من اكتشاف العديد من الصفحات المقصودة الأخرى التي تستخدمها حملة التصيد الاحتيالي. لقد انتحلوا شخصية موفري البريد الإلكتروني المشهورين واستخدموا مجموعة التصيد الاحتيالي التي تسمح بتقنيات تجاوز المصادقة متعددة العوامل.
تواصل المحللون مع الآخرين الذين ربما كانوا مستهدفين من قبل نفس الحملة لزيادة مشاركة معلومات التهديد وتحسين فهم تقنيات المتطفلين.
استخدم المهاجمون تكتيكات مثل الوصول إلى البيانات واستخدام غوغل تيك آوت (Google Takeout) (وهي أداة تسمح للمستخدمين بتنزيل جميع البيانات على حساب غوغل الخاص بهم).
نظر مؤلفو التقرير في سجل غوغل تيك آوت للأشخاص المستهدفين وسجلات أخرى، وساعد هذا في الكشف عن نشاط ما بعد الاختراق، وأسماء أجهزة المهاجمين، وعناوين بروتوكول الإنترنت لاتصالات المهاجمين.
كما أشار المؤلفون إلى أبحاث أخرى وأعمال نسب قاموا بها: -أشاروا إلى بحث أجرته مجموعات استخبارات التهديد حول مجموعات التهديد المتقدمة المستمرة (انظر وضع إشارة مرجعية على جدول غوغل لمجموعة إيه ب تي والعمليات القادمة من مصادر جماعيةAPT Group and Operations Google Sheet)).
- راجعوا التعليمات البرمجية المصدر لتحديد كتل التعليمات البرمجية المعاد استخدامها أو ما شابهها بين التهديدات التي سبق إجراء الأبحاث عليها سابقًا.
- كتبوا عن تكتيكات المهاجمين الأخرى مثل انتحال شخصية منظمي المؤتمر/القمة أو الشخصيات الرئيسية في المنظمات غير الحكومية.
أخيرًا يشارك التقرير أيضًا المؤشرات الفنية للاختراق.

الفحص الآلي في بيئة الاختبار المعزولة لحماية موقع الويب

تتمثل الخطوة الأولى عندما تكون مستعدًا لفحص موقع ويب مرتبط برسالة تصيد احتيالي في إلقاء نظرة آمنة على موقع الويب، ويستلزم درجة معينة من التفاعل مع الموقع. للتعامل المباشر مع موقع ويب يحتمل أن يكون ضارًا، يجب أن تكون قد نفذت الاحتياطات لمنح نفسك بيئة عمل آمنة، كما هو موضح في الموضوع الفرعي 3 لكن يمكنك أيضًا استخدام الأدوات عبر الإنترنت لفحص موقع ويب في بيئة اختبار معزولة آمنة عن بُعد:

🧰 تسمح أدوات مثل يو آر إل سكان UrlScan بإجراء مسح لعنوان موقع ويب، لاحظ بعض الميزات الرئيسية اللازمة لتفسير النتائج:
- عند إجراء مسح اختر إما عام أو غير مدرج أو خاص. اقرأ شرحهم للفرق ولكن عليك أن تعرف أن المسح العام (الخيار الافتراضي) سيدرج عنوان موقع ويب على صفحتهم الأولى.
- صورة حية لموقع الويب (قد تكون هذه هي الخطوة الأولى من التصنيف البسيط إذا كان نموذج التهديد يسمح لك ببدء هذا المسح)
- معلومات النطاق وبروتوكول الإنترنت
- الموارد المحمّلة بما في ذلك البرمجيات النصية وإيه جيه إي إكس (علامة تبويب بروتوكول نقل نص تشعبي)
- العناصر الديناميكية وملفات تعريف الارتباط والمتغيرات (علامة تبويب السلوك)
- عمليات إعادة التوجيه (إن وجدت)
- مؤشرات مثل المجالات وعناوين بروتوكول الإنترنت والسلاسل وشفرات التجزئة (علامة تبويب المؤشرات)
  - تُشبه شفرة التجزئة بصمة إصبع صغيرة للملف ويمكن استخدامها لتحديد ملف فريد دون الكشف عن محتوياته. يمكنك حساب شفرة التجزئة باستخدام سطر الأوامر على أنظمة تشغيل ويندوز وماك أو إس ولينوكس.
- المحتوى مثل النماذج (علامة تبويب المحتوى)
- التقنيات المستخدمة (مثل نظام إدارة المحتوى)
- الأحكام (في حالة قيام الآخرين بتحديد عنوان موقع ويب على أنه ضار)
- زر البحث للتحقق من الموقع في محركات التحليل الأخرى
🧰 هايبرد أناليسس Hybrid Analysis هي بيئة اختبار معزولة مستضافة يمكنها تحميل صفحة ويب ضمن بيئة اختبار ومقارنة سلوك موقع الويب مع الاستدلالات المختلفة للنشاط الضار والتحقق من المؤشرات الداخلية مقابل التهديدات المعروفة. لاحظ بعض الميزات الرئيسية والمهارات اللازمة لتفسير النتائج:
- بعد إرسال عنوان موقع ويب، حدد البيئة المراد استخدامها لتكون بيئة اختبار معزولة. في حالة تحديد “المسح السريع”، لن يجري تنفيذ بيئة الاختبار المعزولة وإنما مجموعة أصغر من التحليلات الثابتة وفحوصات المؤشرات.
- يمكن أن تفحص أداة فايروس توتاVirusTotal لأيضًا عنوان موقع ويب بحثًا عن المحتوى الضار. لاحظ أن هايبرد أناليسس تتضمن عمليات بحث فايروس توتال وتأخذ في الاعتبار مجموعة أوسع من المشكلات عند تحديد تصنيفها.

لاحظ أن تطبيق الويب المتطور يمكن أن يكتشف أن الطلب يأتي من نطاقات بروتوكولات الإنترنت لهذه الأدوات ويقدم بيانات مختلفة أو لا يقدم أي بيانات ردًا على الطلب في حين يقدم محتوى ضار إلى عناوين بروتوكول الإنترنت الأخرى.

أدوات يدوية ومحددة لفحص موقع الويب

تتمثل إحدى أسهل الطرق التي يمكننا من خلالها تحليل موقع الويب في استخدام أداة الفحص المدمجة في متصفح الويب الخاص بنا والتي عادةً ما تقسم موقع الويب إلى أجزاء فرعية مختلفة، ويمكن أن توضح أحيانًا التعليمات البرمجية الذي يطلبه موقع الويب من أي خادم ويسمح لنا بتعديل التعليمات البرمجية للموقع ومعرفة كيف يغير ذلك التخطيط والوظائف.

استخدام القوة العمياء

كما هو الحال في تقرير هيومن رايتس ووتش الوارد رابطه أعلاه، يجب استخدام الأساليب البرمجية لعناوين مواقع الويب التي تستخدم القوة العمياء وهذا أسلوب شائع الاستخدام في استخبارات المصادر المفتوحة. يمكن تعلّم العديد من الأدوات والنهج:

أو دبليو إيه إس ب (OWASP) دير بستر DirBuster
مولدات قوائم الكلمات: غالبًا ما تُستخدم قوائم الكلمات لكشف كلمات المرور كما تُستخدم أيضًا لاكتشاف المجلدات والنطاقات الفرعية عن طريق القوة العمياء. تعمل قوائم الكلمات هذه جنبًا إلى جنب مع الأدوات المدرجة في النقطة السابقة وانظر أدوات مثل كرنش (Crunch) ((Tالدليل التعليمي 1 | الدليل التعليمي 2)

تحليل مجموعة أدوات التصيد الاحتيالي

ستستخدم معظم الهجمات التي ستواجهها مجموعة تصيد احتيالي مسبقة الصنع أو معدّلة ومجموعة من التعليمات البرمجية والقوالب التي تسمح للمهاجمين بإنشاء موقع تصيد احتيالي مقنع بسهولة. تحتوي بعض مجموعات التصيد الاحتيالي على علامات واضحة ويستخدم العديد منها، على سبيل المثال آليات معينة لتجنب اكتشافها وفهرستها بواسطة محركات البحثdetected and indexed by search engines. قد ترفض التحميل حتى من عناوين بروتوكول الإنترنت لمحركات البحث أو شركات الأمنthe IP addresses of search engines or security companies](https://blog.sucuri.net/2017/07/protecting-phishing-pages-via-htaccess.html).

تتمتع بعض مجموعات التصيد الاحتيالي أيضًا بالقدرة على تجاوز المصادقة متعددة العوامل، على سبيل المثال عن طريق التقاط رمز قام شخص مستهدف بكتابته واستخدامه على الفور لتسجيل الدخول إلى صفحة الويب الحقيقية نيابة عنه. هذه عبارة عن مقالة رائعة حول كيف يمكن لمجموعة التصيد الاحتيالي مفتوحة المصدر التي تستخدمها فرق الأمان التي تختبر آليات الأمان تسجيل بيانات المصادقة الثنائية واستخدامها (وما يمكن فعله لمنع ذلك). يمكنك أيضًا الاطلاع على مقالة أخرى حول مجموعة التصيد الاحتيالي مقالة أخرى حول مجموعة التصيد الاحتيالي(كتب عن هذه المجموعة مجرمون عبر الإنترنت بدلًا من الباحثين الأمنيين)، والتي استخدمت بعض طرق تجاوز المصادقة متعددة العوامل والتقنيات الرائعة لإحباط الكشف.

الممارسة

اقرأ المقالة التالية التي توضح لك كيفية استخدام urlscan.io لتحليل صفحة، ويمكنك إجراء ذات عمليات البحث والتحليل المذكورة في المقالة والتفكير في كيفية وصول المؤلف إلى الاستنتاجات التي توصل إليها.
اطلع على تحليل ثانٍ من المؤلف ذاته. اتبع الروابط التي قدمها إلى فايروس توتال ويو آر إل سكان وهايبرد أناليسس لترى ما إذا كنت تفهم كيف توصل إلى الاستنتاجات التي توصل إليها.

اختبار مهارة

استكمل هذه الغرفة من تراي هاك مي (TryHackMe):

انظر المهمة الثانية هذه في غرفة تراي هاك مي تجربة التطبيقWalking An Application

حلل موقع الويب الضار (على سبيل المثال، نطاق مدرج على فيش تانكPhishTank)) باستخدام مزيج من التحليل غير النشط والنشط، مع التأكد من إجراء التحليل النشط في وضع الحماية أو باستخدام أداة مثل يو آر إل سكان. أجب عن الأسئلة التالية حول الموقع وناقش إجاباتك على الأسئلة المذكورة أعلاه مع نظير أو مُرشِد:
- من يملك البنية التحتية التي تخدم الموقع؟
- ما هي المجالات الأخرى التي يحملها هذا الجانب أو يرتبط بها؟ ما الّذي يقومون به؟
- متى تم تسجيل هذا النطاق؟
- (اختياري) ما البرمجيات المستخدمة لخدمة الموقع؟
- هل أدرج آخرون الموقع على أنه ضار؟

موارد التعلّم

W3LL phishing kit hijacks thousands of Microsoft 365 accounts, bypasses MFA

Free

This piece analyzes a phishing kit designed and sold by cybercriminals, which contains multiple mechanisms which frustrate analysis and also uses MFA bypass techniques.

اللغات: English