Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:forenzika_mikrotik_rutera [2024/01/17 13:49]
nanic 		racfor_wiki:seminari2023:forenzika_mikrotik_rutera [2024/12/05 12:24] (trenutno)
Redak 3: Redak 3:
  
 ===== Sažetak ===== ===== Sažetak =====
-Ovaj rad istražuje sigurnost MikroTik rutera i provodi forenzičku analizu dva različita napada na ove uređaje. MikroTik, poznat po svojim ruterima i mrežnoj opremi, često se koristi u različitim mrežnim okruženjima, što ga čini privlačnom metom za napadače. +Ovaj rad istražuje sigurnost MikroTik rutera i provodi forenzičku analizu dva različita napada na ove uređaje. MikroTik, poznat po svojim ruterima i mrežnoj opremi, često se koristi u različitim mrežnim okruženjima, što ga čini privlačnom metom za napadače.Prvi napad analiziran u radu je Hydra Malware napad koji koristi brute-forcing tehnike za probijanje lozinki mrežnih usluga. Forenzička analiza ovog napada uključuje praćenje dnevnika prometa, korištenje API-ja za daljinski pristup ruteru te identifikaciju napadača i njegovih aktivnosti.Drugi napad koji je istražen je Trickbot napad, koji uključuje ugrađivanje zlonamjernog softvera u sustav kako bi napadač mogao izvršavati različite aktivnosti, uključujući krađu podataka i daljinsko upravljanje. Rad opisuje kako Microsoftov forenzički alat RouterOS Scanner pomaže u analizi ovog napada te kako se identificiraju sumnjiva svojstva i sigurnosne slabosti sustava.Zaključno, ovaj rad naglašava važnost forenzičke analize u otkrivanju i sprječavanju napada na MikroTik rutere te ističe važnost sigurnosti mrežnih sustava u današnjem digitalnom svijetu.
- +
-Prvi napad analiziran u radu je Hydra Malware napad koji koristi brute-forcing tehnike za probijanje lozinki mrežnih usluga. Forenzička analiza ovog napada uključuje praćenje dnevnika prometa, korištenje API-ja za daljinski pristup ruteru te identifikaciju napadača i njegovih aktivnosti. +
- +
-Drugi napad koji je istražen je Trickbot napad, koji uključuje ugrađivanje zlonamjernog softvera u sustav kako bi napadač mogao izvršavati različite aktivnosti, uključujući krađu podataka i daljinsko upravljanje. Rad opisuje kako Microsoftov forenzički alat RouterOS Scanner pomaže u analizi ovog napada te kako se identificiraju sumnjiva svojstva i sigurnosne slabosti sustava. +
- +
-Zaključno, ovaj rad naglašava važnost forenzičke analize u otkrivanju i sprječavanju napada na MikroTik rutere te ističe važnost sigurnosti mrežnih sustava u današnjem digitalnom svijetu.+
  
  
Redak 30: Redak 24:
  
 Prvi napad koji ćemo analizirati je poznati Hydra Malware dictionary napad. Hydra je brute-forcing alat koji pomaže napadačima probiti lozinke mrežnih usluga. Napadačev cilj je Prvi napad koji ćemo analizirati je poznati Hydra Malware dictionary napad. Hydra je brute-forcing alat koji pomaže napadačima probiti lozinke mrežnih usluga. Napadačev cilj je
-saznati lozinku za odabani username sustavnom provjerom i pokušajem svih mogućih zaporki s popisa (dictionary-a) pomoću Hydra alata. +saznati lozinku za odabani username sustavnom provjerom i pokušajem svih mogućih zaporki s popisa (dictionary-a) pomoću Hydra alata.  Više o dictionary napadu može se pročitati na [4].
  
 Instalacija:  Instalacija: 
Redak 49: Redak 43:
 /usr/share/wordlists/rockyou.txt. /usr/share/wordlists/rockyou.txt.
 </code> </code>
 +
 +a može se pronaći na [3].
  
 Sadržaj users.txt datoteke:  Sadržaj users.txt datoteke: 
Redak 67: Redak 63:
  
 Napadač je uspješno napao MikroTik ruter na adresi 10.10.137.76 pomoću SSH protokola i saznao da je za username „molly“ password „butterfly“. Napadač je uspješno napao MikroTik ruter na adresi 10.10.137.76 pomoću SSH protokola i saznao da je za username „molly“ password „butterfly“.
 +
 +Detaljan opis korištenja Hydra alata dostupan je na [2].
  
 Za forenzičku analizu ovog napada u nastavku ćemo pretpostavit da je napadač napravio sljedeći Hydra napad na MikroTik ruter na adresi 192.168.1.1 pomoću FTP protokola:  Za forenzičku analizu ovog napada u nastavku ćemo pretpostavit da je napadač napravio sljedeći Hydra napad na MikroTik ruter na adresi 192.168.1.1 pomoću FTP protokola: 
Redak 126: Redak 124:
 RouterOS ima ugrađeni API koji se može koristiti za komunikaciju između ruteru i prilagođenog softvera te pomoći prilikom forenzičke analiza uoči napada. RouterOS ima ugrađeni API koji se može koristiti za komunikaciju između ruteru i prilagođenog softvera te pomoći prilikom forenzičke analiza uoči napada.
  
-Prvu stvar koju radimo prilikom analize je pregled log-ova aktivnosti na ruteru. Za navedeni napad dobili smo popis aktivnosti na ruteru te uočavamo kako je napravljeno 38 neuspješnih upita na IP adresu 192.168.1.246 unutar 2 sekunde. Iz toga zaključujemo kako je napad morao izvršiti neki program jer je ovo premali vremenski period za ljudsku aktivnost. Nakon toga vidimo kako je nakon minute napadač uspješno prijavljen i dobiva pristup ruteru. Na kraju vidimo da je u 16:11 dodan novi korisnik na ruter imena „jebol“ iz čega možemo zaključiti kako je napadač uspješno provalio u MikroTik ruter koristeći Hydra dictionary tool, dobio pristup i dodao novog korisnika koji sada može upravljati konfiguracijom samog rutera. +Prvu stvar koju radimo prilikom analize je pregled log-ova aktivnosti na ruteru koje možemo naći na slici 4. Za navedeni napad dobili smo popis aktivnosti na ruteru te uočavamo kako je napravljeno 38 neuspješnih upita na IP adresu 192.168.1.246 unutar 2 sekunde. Iz toga zaključujemo kako je napad morao izvršiti neki program jer je ovo premali vremenski period za ljudsku aktivnost. Nakon toga vidimo kako je nakon minute napadač uspješno prijavljen i dobiva pristup ruteru. Na kraju vidimo da je u 16:11 dodan novi korisnik na ruter imena „jebol“ iz čega možemo zaključiti kako je napadač uspješno provalio u MikroTik ruter koristeći Hydra dictionary tool, dobio pristup i dodao novog korisnika koji sada može upravljati konfiguracijom samog rutera. 
  
 {{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_server_log.png?600 |}} {{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_server_log.png?600 |}}
 +
 +**Slika 4**: Ispis log aktivnosti [[https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf|Izvor]]
  
 Nakon što smo saznali IP adresu napadača iskoristit ćemo Wireshark kako bi za .pcap datoteku saznali komunikaciju koja se odvijala FTP protokolom. Iz toga možemo pomoću ARP liste za poznatu IP adresu napadača saznati njegovu MAC adresu.  Nakon što smo saznali IP adresu napadača iskoristit ćemo Wireshark kako bi za .pcap datoteku saznali komunikaciju koja se odvijala FTP protokolom. Iz toga možemo pomoću ARP liste za poznatu IP adresu napadača saznati njegovu MAC adresu. 
-Dobivamo:+**Slika 5** prikazuje dobiveni rezultat:
  
 {{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_arp.png?600 |}} {{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_arp.png?600 |}}
  
-Na kraju ostalo je još samo iskoristiti DHCP Server Leasses kako bi saznali Host Name napadača:+**Slika 5**: ARP tablica [[https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf|Izvor]] 
 + 
 +Na kraju ostalo je još samo iskoristiti DHCP Server Leasses kako bi saznali Host Name napadača što je vidljivo na slici u nastvaku.
  
 {{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_dhcp.png?600 |}} {{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_dhcp.png?600 |}}
 +
 +**Slika 6**: DHCP tablica [[https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf|Izvor]]
  
 Forenzičkom analizom mreže i MikroTik rutera uspješno smo saznali da je napad došao s PC uređaja imena „HACKER“ MAC adrese 00:0C:29:48:0B:0A te IP adrese 192.168.1.246. Forenzičkom analizom mreže i MikroTik rutera uspješno smo saznali da je napad došao s PC uređaja imena „HACKER“ MAC adrese 00:0C:29:48:0B:0A te IP adrese 192.168.1.246.
 +
 +Detaljan opis same analize može se naći u [1].
  
 ==== Forenzička analiza nakon Trickbot napada ==== ==== Forenzička analiza nakon Trickbot napada ====
  
-Nakon nekoliko Trickbot napada na MikroTik uređaje Microsoft je razvio forenzički alat RouterOS Scanner kojim je moguće analizirati ruter te pronaći sumnjiva svojstva i slabe sigurnosne točke sustava. +Nakon nekoliko Trickbot napada na MikroTik uređaje Microsoft je razvio forenzički alat RouterOS Scanner kojim je moguće analizirati ruter te pronaći sumnjiva svojstva i slabe sigurnosne točke sustava [5]
  
 RouterOS Scanner može:  RouterOS Scanner može: 
-saznati verziju uređaja i mapirati ju na rječnik koji klasificira ranjivosti (CVE) +  * saznati verziju uređaja i mapirati ju na rječnik koji klasificira ranjivosti (CVE) 
-pronaći pravila za preusmjeravanje prometa +  pronaći pravila za preusmjeravanje prometa 
-pronaći zakazane naredbe +  pronaći zakazane naredbe 
-pronaći promjene zadanih portova +  pronaći promjene zadanih portova 
-pronaći non-default korisnike +  pronaći non-default korisnike 
-pronaći sumnjive datoteke +  pronaći sumnjive datoteke 
-pronaći proxy i pravila vatrozida  +  pronaći proxy i pravila vatrozida  
-a u nastavku ćemo vidjeti kako ga iskoristiti nakon što se dogodio Trickbot napad opisan u prethodnom poglavlju. +a u nastavku ćemo vidjeti kako ga iskoristiti nakon što se dogodio Trickbot napad opisan u prethodnom poglavlju [6]
  
 Kako bi saznali je li postavljeno novo NAT pravilo na ruter možemo pokrenuti komandu: Kako bi saznali je li postavljeno novo NAT pravilo na ruter možemo pokrenuti komandu:
Redak 164: Redak 170:
  
 <code> <code>
-chain=dstnat action=dst-nat to-addresses=<public IP address> to-ports=80 protocol=tcp dst-address=<your MikroTik IP> dst-port=449 chain=srcnat action=masquerade src-address=<your MikroTik IP>+chain=dstnat action=dst-nat to-addresses=<public IP address>  
 +to-ports=80 protocol=tcp dst-address=<your MikroTik IP>  
 +dst-port=449 chain=srcnat action=masquerade src-address=<your MikroTik IP>
 </code> </code>
  
Redak 174: Redak 182:
 /ip firewall nat remove numbers=<rule number to remove>  /ip firewall nat remove numbers=<rule number to remove> 
 </code> </code>
 +
 +Više o RouterOS Scanneru i analizi koja je moguća pomoću tog alata može se pronaći na [5] i [6].
  
  
Redak 190: Redak 200:
 ===== Literatura ===== ===== Literatura =====
  
 +[1] https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf
 +
 +[2] https://www.freecodecamp.org/news/how-to-use-hydra-pentesting-tutorial/
 +
 +[3] https://github.com/teamstealthsec/wordlists
 +
 +[4] https://www.rapid7.com/fundamentals/brute-force-and-dictionary-attacks/
 +
 +[5] https://github.com/microsoft/routeros-scanner
 +
 +[6] https://www.microsoft.com/en-us/security/blog/2022/03/16/uncovering-trickbots-use-of-iot-devices-in-command-and-control-infrastructure/
  
racfor_wiki/seminari2023/forenzika_mikrotik_rutera.1705499398.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0