✔️ مقدمة
🧵 كيف تحلل ملف مشبوه وتربطه بحملات خبيثة أخرى؟
سنستخدم أداتين مجانيتين: Hybrid Analysis (لتحليل السلوك) و ThreatCrowd (لربط المؤشرات).
مثال عملي يبدأ من ملف مجهول وينتهي بخريطة علاقات للهجوم.
الخطوة الأولى : فحص الملف
1️⃣ نرفع الملف المشبوه على Hybrid Analysis:
🌐 hybrid-analysis.com
الخدمة تشغّل الملف في بيئة Sandbox معزولة وتسجل كل تحركاته:
🔹 العمليات التي ينشئها
🔹 الاتصالات بالشبكة
🔹 الملفات التي يعدلها
🔹 مؤشرات الاختراق (IoCs)
2️⃣ – مثال من التقرير
📝 في تقريرنا، لاحظنا أن الملف يتصل بعنوان IP: 203.0.113.55 ويطلب دومين مشبوه update-secure[.]net
هذه تعتبر مؤشرات اختراق مهمة للتحقيق.
(Hybrid Analysis يوفر لك هذه البيانات تلقائيًا)
3️⃣ – الخطوة 2: ربط المؤشرات
نأخذ الـ IP ونبحث عنه في ThreatCrowd:
🌐 threatcrowd.org
نضع الـ IP في البحث ونشاهد النتيجة:
🔹 دومينات مرتبطة بنفس الـ IP
🔹 ملفات خبيثة استخدمته
🔹 عناوين بريد مرتبطة بحملات سابقة
4️⃣ – خريطة العلاقات
🕵️♂️ ThreatCrowd يعرض لك Graph يربط كل هذه المؤشرات.
الآن نعرف أن الـ IP جزء من بنية تحتية لهجوم أكبر، مع أكثر من 5 دومينات و3 عينات برمجيات خبيثة.
5️⃣ – النتيجة
📌 بالجمع بين تحليل السلوك (Hybrid Analysis) وربط المؤشرات (ThreatCrowd)
حصلنا على:
✔️ قائمة دومينات خبيثة
✔️ روابط بين حملات مختلفة
✔️ فهم أوسع للبنية التحتية للهجوم
هذه الطريقة تُستخدم في Threat Intelligence والتحقيقات الرقمية.
6️⃣ – الختام
⚠️ ملاحظة: لا تشغّل الملفات المشبوهة على جهازك مباشرة.
أستخدم بيئة افتراضية أو خدمات تحليل أونلاين.
