Mestercoputer

توسط: mestercoputer

در این مقاله، یکی از پیچیده‌ترین و خطرناک‌ترین سناریوهای حمله سایبری تحت عنوان ShadowLink را منتشر می‌کنم که حاصل تحلیل، تست و بهره‌برداری من از دو آسیب‌پذیری واقعی و قابل زنجیره‌سازی است.

این حمله، بدون نیاز به دسترسی روت، ابزارهای پیچیده یا سیستم‌های حرفه‌ای، تنها با استفاده از ابزارهای بومی لینوکس یا ترموکس قابل اجراست.

عنوان آسیب‌پذیری‌ها

Subdomain Takeover (تصاحب زیر‌دامنه رهاشده)
امتیاز CVSS: 6.5 (Medium)

NTLM Relay Attack via Exchange IMAP (بازپخش احراز هویت)
امتیاز CVSS: 8.1 (High)

امتیاز ترکیبی پیشنهادی برای زنجیره ShadowLink: 9.0 (Critical)

مقدمه حمله

ایده این حمله از ترکیب دو بردار نفوذ کلیدی شکل گرفت:

1. تصاحب یک زیر‌دامنه‌ی رهاشده

2. بازپخش احراز هویت NTLM روی سرور ایمیل Exchange

هدف: اثبات امکان نفوذ واقعی به شبکه داخلی، تنها با سوءاستفاده از سهل‌انگاری در تنظیمات DNS و پیکربندی پیش‌فرض Exchange.

مرحله اول: تصاحب Subdomain

با بررسی زیر‌دامنه‌ی dev.domin.com، (به علت مسائل امنیتی فرض کنید ) مشخص شد که این دامنه رها شده است:

host dev.domin.com

یا

dig dev.domin.com

پاسخ NXDOMAIN نشان می‌دهد این زیردامنه دیگر به سرور خاصی اشاره ندارد. بنابراین، آن را روی یک سرویس DNS عمومی ثبت کردم و یک صفحه آزمایشی با جاوااسکریپت روی آن بارگذاری کردم.

مرحله دوم: تحلیل سرور Exchange

با استفاده از ترموکس، اتصال به سرور Exchange به روش زیر بررسی شد:

openssl s_client -connect mail.domin.com:993 -quiet

پاسخ دریافتی:

* OK The Microsoft Exchange IMAP4 service is ready.

سپس با nmap بررسی شد که آیا سرور از احراز هویت NTLM پشتیبانی می‌کند:

nmap --script "imap-* and safe" -p 993 mail.domin.com

نتیجه: پاسخ شامل AUTH=NTLM بود.

مرحله سوم: اثبات قابلیت بازپخش NTLM

در این مرحله با ابزار ساده curl تست نهایی انجام شد:

curl -vk imaps://mail.domin.com:993/

خروجی سرور شامل دستورات CAPABILITY و AUTH=NTLM بود که نشان می‌دهد این سرور مستعد حمله NTLM Relay است.

چرا این زنجیره خطرناک است؟

ترکیب این دو آسیب‌پذیری به مهاجم اجازه می‌دهد:

کنترل یک نقطه در دامنه هدف را به دست گیرد.

درخواست‌های احراز هویت کاربران را از طریق NTLM به سرور داخلی بازپخش کند.

اطلاعات حساس استخراج کرده یا در موارد خاص، حتی کد اجرا کند.

پیشنهاد امنیتی برای مقابله با این حمله

تمام زیر‌دامنه‌های بدون استفاده باید از DNS حذف شوند.

احراز هویت NTLM روی سرویس‌های داخلی مانند Exchange غیرفعال گردد.

استفاده از Kerberos یا تنظیمات پیشرفته مانند EPA (Extended Protection for Authentication) توصیه می‌شود.

از ابزارهایی مثل Amass یا Subfinder برای بررسی دارایی‌های رها شده استفاده کنید.

وضعیت انتشار حمله

. به دلیل درخواست سازمان مربوطه بانام اختصاری az اطلاعات دامین و آدرس های ایشان از رکورد های مقاله حذف و جایگزین گردید. 

و انتشار مقاله و پارت بعدی به تعویق افتاد تاریخ : 2 خرداد ماه 1404

به دلیل حفظ اخلاق حرفه‌ای و جلوگیری از افشای اطلاعات حساس، اجرای کامل حمله منتشر نشده است.
ادامه تحلیل‌ها، بهره‌برداری کامل و گزارش فنی پیشرفته‌تر به‌صورت پارت به پارت در وبلاگ منتشر خواهد شد.

> این مقاله صرفاً جهت آگاه‌سازی امنیتی و ارتقاء دانش فعالان حوزه تست نفوذ و امنیت سایبری منتشر شده است.