تحليل أمني لاختراق نظام بريد عبر الشبكة

البوست ده مبني على سيناريو أمني حقيقي حصل أثناء تحليل نظام بريد تابع لشركة كبيرة.
البيئة كانت معقدة شوية: شبكة داخلية مقسّمة، مفيش خدمات ظاهرة، ومفيش أي طريق مباشر للوصول للحسابات 👀
في الحالات دي، الهجوم المباشر زي:

• كسر كلمات السر
• محاولات تجاوز 2FA

بيكون: ❌ صعب ❌ مكلف ❌ وممكن يكشفك بسرعة
علشان كده، الحل كان تحليل حركة الشبكة الداخلية بدل الهجوم المباشر 🎯

🌐 نقطة الدخول وفهم بيئة النظام​

الوصول كان لشبكة داخلية معزولة خاصة بخدمة البريد فقط.
النظام شغال على Linux وبيعتمد على أكتر من Docker Container 🐳
من ناحية التصميم:

• مفيش خدمات مكشوفة
• مفيش Ports واضحة
• مفيش بيانات دخول سهلة

بس كعادة أغلب الأنظمة… ملفات الإعدادات وبيانات الاعتماد كانت موجودة محليًا ⚠️

---

🗂️ تحليل بيانات الاعتماد المحلية​

من خلال فحص الملفات المحلية، تم الوصول لبيانات حساسة خاصة بخدمات داخلية. النتيجة كانت:

• الوصول لبيانات MySQL الخاصة بنظام البريد
• فهم طريقة تخزين المستخدمين والجلسات
• تحليل النظام بدون تسجيل دخول مباشر

📌 ملحوظة أمنية مهمة: قوة كلمة السر مالهاش أي قيمة لو بيانات الاعتماد متخزنة بشكل غير آمن

---

📡 ليه تحليل حركة الشبكة كان الحل الأذكى​

حتى لو معاك كلمات سر أو هاشات:

• كسرها بياخد وقت ⏳
• تسجيل الدخول ممكن يفعّل 2FA
• أي محاولة غلط ممكن تعمل Alert 🚨

الحل كان استخدام Passive Network Monitoring
يعني:

• مفيش Scan
• مفيش Traffic غريب
• مفيش لفت نظر لأنظمة الحماية

مثال بسيط لمراقبة الترافيك (تحليل فقط): tcpdump -i eth0 -A port 80

---

🔍 اكتشاف مشكلة الاتصالات الداخلية​

رغم إن واجهة البريد الخارجية كانت HTTPS 🔒 الاتصالات الداخلية بين الخوادم كانت HTTP بدون تشفير 😬
ده أدى إلى:

• رؤية Requests & Responses كاملة
• اكتشاف Proxy داخلي
• تحديد السيرفر الحقيقي اللي بيستقبل بيانات الدخول

ومن هنا ظهر منفذ داخلي غير تقليدي مسؤول عن تمرير بيانات البريد.

---

🍪 تحليل الجلسات وتجاوز الحماية​

بعض الحسابات كان مفعّل عليها 2FA ✅ لكن تحليل الترافيك كشف Session Cookies شغالة 💣
📌 نقطة خطيرة جدًا: لو المهاجم حصل على Session Cookie نشطة مش محتاج:

• كلمة سر
• ولا كود 2FA

يعني الحماية كانت مركزة على Login لكن الجلسة نفسها مش متأمنة كويس

---

🛡️ أهم الدروس الأمنية المستفادة​

1️⃣ الاتصالات الداخلية لازم تتأمن زي الخارجية HTTP داخل الشبكة خطر حقيقي
2️⃣ 2FA مش حل سحري لازم تأمين الجلسات بنفس القوة
3️⃣ تحليل حركة الشبكة سلاح خطير 🟥 لو استُخدم غلط 🟩 وقوي جدًا لو استُخدم دفاعيًا
4️⃣ التقسيم الشبكي لوحده وهم أمان أي ثغرة داخلية ممكن تهد السيستم كله

---

✅ الخلاصة الأمنية​

تحليل حركة الشبكة مش خطوة جانبية، ده عنصر أساسي في أي عملية:

• اختراق احترافي
• أو دفاع حقيقي

أي نظام بيركّز على Perimeter Security
ويسيب الاتصالات الداخلية من غير تشفير أو مراقبة، بيفتح الباب لاختراق كامل… من غير ما يحس 🔓