تحليل حادثة اختراق كاملة (RIG Exploit Kit) باستخدام Security Onion و Wireshark

قمت بمحاكاة وتحليل دورة حياة هجوم إلكتروني كاملة بدأت باختراق مستخدم داخلي وانتهت بتحديد نوع البرمجيات الخبيثة. تم العمل على بيئة Security Onion لربط الأحداث وتحليل الثغرات الأمنية في حركة مرور الشبكة. المهام التي قمت بتنفيذها (Technical Workflow): 1- مرحلة الكشف (Detection): رصد وتحليل تنبيهات الـ IDS (Snort/Suricata) عبر واجهة Kibana للتعرف على محاولات استغلال الثغرات الحية. 2- تحليل حركة الشبكة (Traffic Analysis): - استخدام أداة capME! و Wireshark لتفحص الـ PCAP Files وتحديد أطراف الهجوم (Attacker/Victim IPs). - تتبع تسلسل طلبات الـ HTTP (GET/POST) وتحليل الـ Referrer Header لتحديد المصدر الأول للعدوى (Patient Zero). 3- تحليل الـ Payload وجمع الأدلة (Artifacts Extraction): - تحليل الـ JavaScript المسؤول عن فحص بصمة جهاز الضحية (Fingerprinting) وتحديد الثغرات المستهدفة. - استخراج الـ Malicious Payloads المشفرة من الـ HTTP Stream وتحليل محتواها تقنياً. 4- الاستخبارات الأمنية (Threat Intelligence): - استخراج الـ Hashes (MD5/SHA256) للملفات المستخلصة وفحصها عبر VirusTotal لتأكيد نوع الـ Trojan (RIG Exploit Kit) ومدى خطورته. 5- التقييم النهائي (Remediation Recommendations): تحديد نظام التشغيل المصاب (Windows 7/XP) وتقديم توصيات لسد الثغرات المسببة للهجوم. الأدوات المستخدمة (Tech Stack): - Monitoring: Kibana, Sguil, Security Onion. - Analysis: Wireshark, capME!, Network Miner. - Threat Intel: VirusTotal, Whois Lookup, CyberChef.