الهدف: فهم ما هو الفريق الأحمر (Red Team)، الفرق بينه وبين اختبار الاختراق، منهجيته وأدواته، وكيف تبني مسارك المهني وتطبّق تمارين قانونية ترفع نضج منظمتك أو مهاراتك الشخصية.

---

ما هو الفريق الأحمر؟

الفريق الأحمر هو فريق هجومي أخلاقي يُحاكي قدرات وأساليب المهاجمين الحقيقيين لاختبار جاهزية المؤسسة نهايةً إلى نهاية (People, Process, Technology). بدل فحص ثغرة مفردة، يركّز على تحقيق هدف أعمال (مثلاً: الوصول إلى بيانات حساسة أو تعطيل خدمة حرجة) مع الحفاظ على التخفي والواقعية.

الفرق عن اختبار الاختراق (Pentest):

• البنتست: نطاق محدد، وقت قصير، قائمة ثغرات/تصحيحات، شفافية مع الفريق المُدافع.

• الريد تيمينغ: نطاق أهداف أعمال، أسابيع–أشهر، سرّية أعلى، قياس قدرة الكشف والاستجابة لدى فرق الدفاع، محاكاة عدو محدد (Adversary Emulation).

---

أهداف الريد تيمينغ

1. قياس القدرة على الاكتشاف والاستجابة (MTTD/MTTR).

2. اختبار سلاسل القتل (Kill Chain) الواقعية عبر بيئات الإنتاج.

3. تحديد فجوات الإجراءات والناس قبل التقنية.

4. تحسين التعاون بين الفرق عبر تمارين بنفسجية (Purple Team).

---

أشكال وأنواع التمارين

• Adversary Emulation: محاكاة مجموعة تهديد محددة (تكتيكات/تقنيات/إجراءات TTPs).

• Assumed Breach: افتراض اختراق أولي (حساب داخلي/وصول نقطة نهاية) لقياس الانتشار الجانبي.

• Purple Teaming: جلسات تعاونية “هجوم ↔ دفاع” في الزمن الحقيقي لتحسين الكشف.

• Social Engineering: تصيّد بريد/هاتف/رسائل، اختبار سياسات التحقق.

• Physical/OSINT: محاولات دخول مادي/جمع معلومات عامة تدعم مرحلة الاستطلاع.

تحذير قانوني: كل نشاط يجب أن يكون مأذونًا كتابيًا ضمن نطاق واضح وخطة سلامة وقنوات تواصل طارئة.

---

المنهجية (إطار عملي مختصر)

1. التخطيط والقواعد (Rules of Engagement):
   نطاق، ساعات العمل، بيانات ممنوعة، حدّ الأثر، قنوات الطوارئ.

2. الاستطلاع (Recon/OSINT):
   خرائط أصول، نطاقات، بصمات تقنيات، موظفون أهدف للتصيّد.

3. الوصول الأولي (Initial Access):
   تصيّد موجّه، استغلال خوادم بواجهة عامة، بوابات VPN ضعيفة.

4. الترسيخ (Foothold) والبقاء (Persistence):
   وكيل C2 هادئ، مهام مجدولة، مفاتيح تسجيل/خدمات مخصصة.

5. الرفع من الصلاحيات (Privilege Escalation):
   سوء ضبط صلاحيات، استغلالات محلية، Kerberoasting.

6. التحرك الجانبي (Lateral Movement):
   RDP/SMB/WMI، تذاكر Kerberos، تقنيات Pass-the-Hash/Pass-the-Ticket.

7. جمع البيانات والإخراج (Collection/Exfiltration):
   تحديد “تاج الجوهرة”، ضغط/تقطيع، قنوات إخراج منخفضة الضجيج.

8. التنظيف (Cleanup):
   إزالة المسارات، إرجاع الحالة، توثيق شامل للخطوات والأثر.

---

أدوات شائعة ومفيدة (تعليمية وقانونية)

• C2 ومرحلة ما بعد الاستغلال: Cobalt Strike (مرخّص)، Sliver، Mythic، Havoc.

• جمع الاعتمادات/AD: Rubeus، Mimikatz، BloodHound/SharpHound، CrackMapExec.

• تحرّك جانبي: Impacket (psexec, wmiexec, smbexec)، RDP، WinRM.

• استطلاع/OSINT: Amass، Subfinder، theHarvester، Maltego.

• فيزياء/هندسة اجتماعية: GoPhish للتصيّد التجريبي، King Phisher.

• محاكاة التهديد والاختبارات الذرّية: Atomic Red Team، Caldera.

احتفظ دائمًا ببدائل مفتوحة المصدر وأدوات مرخّصة قانونيًا، ولا تستخدم أدوات محظورة أو عينات خبيثة خارج مختبر معزول.

---

نواتج العمل (Deliverables) عالية الجودة

• تقرير تنفيذي (2–3 صفحات): ما الهدف؟ ماذا تحقق؟ أثر الأعمال؟ توصيات أولويات.

• تقرير تقني مفصّل: المخطط الزمني، TTPs حسب MITRE ATT&CK، لقطات أدلة، تجزئة الملفات، عناوين/حسابات استخدمت، خريطة الانتشار.

• خطة معالجة (Remediation Plan): إجراءات سريعة (30–90 يومًا) مقسّمة حسب المالك والأولوية.

• جلسة Purple Team ختامية: إعادة تشغيل سريعة للتقنيات مع فريق الدفاع لضبط القواعد والكشف.

---

مقاييس قياس النجاح (KPIs)

• MTTD/MTTR: زمن الاكتشاف وزمن الاستجابة.

• Coverage: نسبة تغطية تقنيات ATT&CK ذات الصلة.

• Dwell Time: المدة التي بقي فيها الفريق الأحمر دون كشف.

• Blocked Stages: كم مرحلة في السلسلة تم تعطيلها مبكرًا؟

• Noise/OpSec: كم ضجيجًا ألّفه النشاط؟ (إنذارات، سجلات غير طبيعية).

---

بناء مسيرة مهنية في الريد تيمينغ

مهارات أساسية:

• شبكات وWindows/AD ولينكس، برمجة/سكربت: Python/PowerShell/Bash.

• فهم عميق لـ ATT&CK، وبروتوكولات المصادقة (Kerberos/NTLM).

• كتابة تقارير قوية وسرد الأعمال Business Impact.

مسار تدريجي:

1. Pentest/Blue Basics →

2. Red Team Associate →

3. Red Team Operator →

4. Lead/Manager أو Purple Team Architect.

محفظة أعمال (Portfolio):

• لابات موثقة (سيناريو، هدف، خطوات، دروس).

• أدوات مساعدة صغيرة (Scripts) على GitHub.

• تدوينات قصيرة “كيف اكتشفت X وكيف أصلحت Y”.

---

لاب قانوني مقترح (منزلي)

الهدف: محاكاة انتشار داخل شبكة مختبرية صغيرة بشكل آمن.

1. أنشئ شبكة افتراضية بداخلها:

   • DC ويندوز + جهاز عضو، ماكينة كالي.

2. زوّد AD ببيانات تجريبية وصلاحيات واقعية (دون أسرار حقيقية).

3. استطلاع داخلي: BloodHound لجمع الرسوم البيانية للصلاحيات.

4. رفع صلاحيات: جرّب تقنيات Kerberoasting (حسابات وهمية بخدمات SPN).

5. Lateral Movement: Impacket (wmiexec.py) بين الأجهزة.

6. C2 تعليمي: Sliver على شبكة المختبر فقط.

7. توثيق: التقط الأدلة وأعد تقريرًا تقنيًا + ملخص تنفيذي.

8. Purple Pass: شغّل Atomic Red Team لتوليد أحداث، وراجع القواعد في SIEM منزلي (مثلاً Wazuh/Elastic).

لا تربط المختبر بالإنترنت العام أثناء التشغيل، واستخدم لقطات Snapshots للرجوع بسرعة.

---

أفضل الممارسات والأخطاء الشائعة

افعل:

• وثّق ROE بوضوح، وخط اتصال طوارئ 24/7.

• ابدأ بأهداف أعمال واضحة يمكن قياسها.

• حافظ على OpSec منخفض (تردّد الاتصالات، أحجام الحزم، جداول المهام).

• تعاون لاحقًا مع الأزرق في جلسات Purple لتحويل النتائج إلى كشف فعلي.

لا تفعل:

• تشغيل تقنيات عالية الخطورة دون تنسيق.

• استخدام حِملات (Payloads) غير معروفة المصدر.

• الاكتفاء بعرض “ثغرات” بلا سياق أعمال.

• إهمال التنظيف وإرجاع الحالة كما كانت.

---

نموذج سيناريو مختصر (Use Case)

هدف الأعمال: الوصول إلى مجلد “المالية/Q3” على ملف مشترك.

1. OSINT → أسماء موظفين وحملة توظيف حديثة.

2. تصيّد مستهدف برسالة داخلية مزيفة من HR (مجرد تمثيل داخل نطاق مأذون).

3. موطئ قدم على جهاز مستخدم محدود.

4. كشف مسارات المشاركة (SMB) ورفع صلاحيات عبر Misconfig.

5. التحرك إلى خادم الملفات، حصر “تاج الجوهرة”، اختبار إخراج منخفض الضجيج.

6. تسجيل كل خطوة، قياس متى اكتشف فريق الدفاع وماذا فعل.

---

خاتمة + ما الخطوة التالية؟

• إن كنت صاحب متجر/محتوى: قدّم دليل Red Team أساسي وقالب تقرير وشيّت TTPs كمنتجات رقمية.

• إن كنت متعلّمًا فرديًا: ضع خطة 30–60 يومًا لبناء مختبر وكتابة 3 تقارير لمشاريع مصغّرة.