- بواسطة x32x01 ||
البوست ده مبني على سيناريو أمني حقيقي حصل أثناء تحليل نظام بريد تابع لشركة كبيرة.
البيئة كانت معقدة شوية: شبكة داخلية مقسّمة، مفيش خدمات ظاهرة، ومفيش أي طريق مباشر للوصول للحسابات
في الحالات دي، الهجوم المباشر زي:
صعب مكلف وممكن يكشفك بسرعة
علشان كده، الحل كان تحليل حركة الشبكة الداخلية بدل الهجوم المباشر
الوصول كان لشبكة داخلية معزولة خاصة بخدمة البريد فقط.
النظام شغال على Linux وبيعتمد على أكتر من Docker Container
من ناحية التصميم:
من خلال فحص الملفات المحلية، تم الوصول لبيانات حساسة خاصة بخدمات داخلية. النتيجة كانت:
ملحوظة أمنية مهمة: قوة كلمة السر مالهاش أي قيمة لو بيانات الاعتماد متخزنة بشكل غير آمن
حتى لو معاك كلمات سر أو هاشات:
يعني:
رغم إن واجهة البريد الخارجية كانت HTTPS 
الاتصالات الداخلية بين الخوادم كانت HTTP بدون تشفير 
ده أدى إلى:
بعض الحسابات كان مفعّل عليها 2FA 
لكن تحليل الترافيك كشف Session Cookies شغالة 
نقطة خطيرة جدًا: لو المهاجم حصل على Session Cookie نشطة مش محتاج:
الاتصالات الداخلية لازم تتأمن زي الخارجية HTTP داخل الشبكة خطر حقيقي
2FA مش حل سحري لازم تأمين الجلسات بنفس القوة
تحليل حركة الشبكة سلاح خطير 
لو استُخدم غلط 
وقوي جدًا لو استُخدم دفاعيًا
التقسيم الشبكي لوحده وهم أمان أي ثغرة داخلية ممكن تهد السيستم كله
تحليل حركة الشبكة مش خطوة جانبية، ده عنصر أساسي في أي عملية:
ويسيب الاتصالات الداخلية من غير تشفير أو مراقبة، بيفتح الباب لاختراق كامل… من غير ما يحس
البيئة كانت معقدة شوية: شبكة داخلية مقسّمة، مفيش خدمات ظاهرة، ومفيش أي طريق مباشر للوصول للحسابات
في الحالات دي، الهجوم المباشر زي:
- كسر كلمات السر
- محاولات تجاوز 2FA
صعب مكلف وممكن يكشفك بسرعةعلشان كده، الحل كان تحليل حركة الشبكة الداخلية بدل الهجوم المباشر
نقطة الدخول وفهم بيئة النظام
الوصول كان لشبكة داخلية معزولة خاصة بخدمة البريد فقط.النظام شغال على Linux وبيعتمد على أكتر من Docker Container
من ناحية التصميم:
- مفيش خدمات مكشوفة
- مفيش Ports واضحة
- مفيش بيانات دخول سهلة
تحليل بيانات الاعتماد المحلية
من خلال فحص الملفات المحلية، تم الوصول لبيانات حساسة خاصة بخدمات داخلية. النتيجة كانت:- الوصول لبيانات MySQL الخاصة بنظام البريد
- فهم طريقة تخزين المستخدمين والجلسات
- تحليل النظام بدون تسجيل دخول مباشر
ملحوظة أمنية مهمة: قوة كلمة السر مالهاش أي قيمة لو بيانات الاعتماد متخزنة بشكل غير آمن
ليه تحليل حركة الشبكة كان الحل الأذكى
حتى لو معاك كلمات سر أو هاشات:- كسرها بياخد وقت
- تسجيل الدخول ممكن يفعّل 2FA
- أي محاولة غلط ممكن تعمل Alert
يعني:
- مفيش Scan
- مفيش Traffic غريب
- مفيش لفت نظر لأنظمة الحماية
tcpdump -i eth0 -A port 80
اكتشاف مشكلة الاتصالات الداخلية
رغم إن واجهة البريد الخارجية كانت HTTPS الاتصالات الداخلية بين الخوادم كانت HTTP بدون تشفير ده أدى إلى:
- رؤية Requests & Responses كاملة
- اكتشاف Proxy داخلي
- تحديد السيرفر الحقيقي اللي بيستقبل بيانات الدخول
تحليل الجلسات وتجاوز الحماية
بعض الحسابات كان مفعّل عليها 2FA لكن تحليل الترافيك كشف Session Cookies شغالة نقطة خطيرة جدًا: لو المهاجم حصل على Session Cookie نشطة مش محتاج:- كلمة سر
- ولا كود 2FA
أهم الدروس الأمنية المستفادة
الاتصالات الداخلية لازم تتأمن زي الخارجية HTTP داخل الشبكة خطر حقيقي 2FA مش حل سحري لازم تأمين الجلسات بنفس القوة تحليل حركة الشبكة سلاح خطير لو استُخدم غلط وقوي جدًا لو استُخدم دفاعيًا التقسيم الشبكي لوحده وهم أمان أي ثغرة داخلية ممكن تهد السيستم كله
الخلاصة الأمنية
تحليل حركة الشبكة مش خطوة جانبية، ده عنصر أساسي في أي عملية:- اختراق احترافي
- أو دفاع حقيقي
ويسيب الاتصالات الداخلية من غير تشفير أو مراقبة، بيفتح الباب لاختراق كامل… من غير ما يحس