Threat Intelligence practical

Sen00ooYassin Saad (Sen00oo) -

 

إزاي تطبّق اللي بتذاكره في مجال Threat Intelligence

ملحوظه - لايوجد روابط لكي تتعلم مهاره البحث بنفسك 



______________________________

1. جهّز بيئة شغل بسيطة

الأدوات اللي هتحتاجها:

الأداةالاستخدام
Kali / Ubuntuجهاز تحليلي أساسي
Wiresharkتحليل الترافيك (لو فيه PCAP)
Browser + VPNتصفح المواقع المشبوهة بأمان
Excel / Notionتوثيق المؤشرات والـ TTPs
أدوات تحليل مفتوحة (هتجيلك دلوقتي تحت)للتحليل والربط

 2. خطوات عملية تطبق بيها اللي ذاكرته

 المرحلة 1: استخراج وتحليل IOC

التطبيق:

  1. اختار حملة تهديد حقيقية (مثلاً "Lazarus Malware 2024")

  2. دور على عيّنة (ملف PDF أو EXE أو Log أو تقرير)

  3. استخرج منها:

    • IPs

    • Domains

    • Hashes

    • Registry Keys

 الأدوات اللي تستخدمها:

  • VirusTotal

  • URLScan

  • Hybrid Analysis

  • ThreatFox

  • Any.Run

 النتيجة:

سجل كل Indicator في ملف خاص بيك، وحدد نوعه وسياقه.

 المرحلة 2: تحليل TTPs وسلوك المهاجم (MITRE)

 التطبيق:

  1. خد أي حملة تهديد (مثلاً APT29)

  2. افتح MITRE ATT&CK Navigator

  3. حدد الـ Tactics والـ Techniques اللي استخدموها

  4. اربطها بالـ IOCs اللي جمعتهم

 الأدوات:

  • ATT&CK Navigator

  • Threat Reports PDF

  • Excel أو Maltego

 النتيجة:

خريطة توضح سلوك المهاجمين بترتيب الخطوات اللي عملوها.

 المرحلة 3: متابعة تهديدات في الوقت الحقيقي

 التطبيق:

  1. تابع مواقع التهديدات (مواقع هقولك عليها تحت)

  2. كل يوم، اختار تهديد واحد جديد

  3. اعمل عليه تحقيق كامل:

    • مين المهاجم؟

    • إيه هدفه؟

    • بيستخدم أدوات إيه؟

    • التوصيات الفنية لإيقافه؟

 المواقع:

  • theDFIRreport

  • ThreatMon

  • ThreatPost

  • Shadowserver

  • Twitter/X (حسابات TI زي: vx-underground, RedCanary)

 النتيجة:

تقرير استخباراتي من إنتاجك اليومي.

 المرحلة 4: الربط مع SIEM وتحويل الـ Intel لتنبيه

 التطبيق:

  1. خد أي IOC (مثلاً IP مشبوه)

  2. حطه في أداة تحليل (ELK أو Wazuh أو حتى مجرد Log File)

  3. ابني Rule:

    • لو IP ده اتشاف → alert

  4. جرب تعمل Simulation لترافيك فيه الـ IP ده

 النتيجة:

تشوف إن الـ SIEM بيشتغل بناءً على الـ Intel اللي إنت جهزته.

 المرحلة 5: كتابة تقرير استخباراتي

 التطبيق:

اكتب تقرير بسيط لأي حملة تهديد بالشكل ده:

 الحملة: APT28 - May 2024 Phishing  
 الأدوات المستخدمة: Word Macro + PowerShell Downloader  
 المؤشرات:
- IP: 185.121.X.X
- Domain: secure-docs-login.com
- File Hash: a9b3...e7d

 توصيات:
- حظر الدومين والـ IP
- تعطيل ماكرو داخل المؤسسة
- مراقبة PowerShell Logs

 المصدر: TheDFIRReport, VirusTotal

 مواقع تطبّق وتتمرن عليها

الموقعالاستخدام
ThreatFoxتسحب IOCs من تهديدات يومية
URLHausدومينات خبيثة لتحليلها
Malpediaتحليل سلوك مالوير
MITRE ATT&CKتحليل TTPs
TryHackMe – Threat Intel Roomsسيناريوهات جاهزة (أنت هتبحث عنهم بنفسك)
BlueTeamLabsتحقيقات واقعية باستخدام مؤشرات تهديد

 نصائح للتطبيق:

  • كل تهديد جديد شوفه، اعمله تحليل كامل وسجله بصيغة استخباراتية.

  • إبني ملف خاص بيك (TI Playbook) يكون فيه كل حاجة:

    • الأدوات

    • طرق الربط

    • التقارير

    • Templates جاهزة

  • اتدرب على كتابة 1 تقرير Threat Intel في الأسبوع.

 


حساباتي على منصات التواصل:

المنصةالرابط أو المعرف
فيسبوك[حسابي الشخصي]
يوتيوب[قناتي الرسمية]
تويتر (X)[Sen00oo]
تليجرام (شخصي)@Sen00oo
جروب تليجرام[انضم للجروب]
قناة تليجرام[تابع القناة]
جروب واتساب[انضم للجروب]

💰 للدعم المادي:

الطريقةالتفاصيل
InstaPaysen00oo@instapay
رقم الهاتف01272834923
PayPal[رابط PayPal ]
التسميات

إرسال تعليق

أحدث أقدم

نموذج الاتصال