Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2023:forenzika_mikrotik_rutera [2024/01/17 13:53] nanic |
racfor_wiki:seminari2023:forenzika_mikrotik_rutera [2024/12/05 12:24] (trenutno) |
||
|---|---|---|---|
| Redak 3: | Redak 3: | ||
| ===== Sažetak ===== | ===== Sažetak ===== | ||
| - | Ovaj rad istražuje sigurnost MikroTik rutera i provodi forenzičku analizu dva različita napada na ove uređaje. MikroTik, poznat po svojim ruterima i mrežnoj opremi, često se koristi u različitim mrežnim okruženjima, | + | Ovaj rad istražuje sigurnost MikroTik rutera i provodi forenzičku analizu dva različita napada na ove uređaje. MikroTik, poznat po svojim ruterima i mrežnoj opremi, često se koristi u različitim mrežnim okruženjima, |
| - | + | ||
| - | Prvi napad analiziran u radu je Hydra Malware napad koji koristi brute-forcing tehnike za probijanje lozinki mrežnih usluga. Forenzička analiza ovog napada uključuje praćenje dnevnika prometa, korištenje API-ja za daljinski pristup ruteru te identifikaciju napadača i njegovih aktivnosti. | + | |
| - | + | ||
| - | Drugi napad koji je istražen je Trickbot napad, koji uključuje ugrađivanje zlonamjernog softvera u sustav kako bi napadač mogao izvršavati različite aktivnosti, uključujući krađu podataka i daljinsko upravljanje. Rad opisuje kako Microsoftov forenzički alat RouterOS Scanner pomaže u analizi ovog napada te kako se identificiraju sumnjiva svojstva i sigurnosne slabosti sustava. | + | |
| - | + | ||
| - | Zaključno, ovaj rad naglašava važnost forenzičke analize u otkrivanju i sprječavanju napada na MikroTik rutere te ističe važnost sigurnosti mrežnih sustava u današnjem digitalnom svijetu. | + | |
| Redak 30: | Redak 24: | ||
| Prvi napad koji ćemo analizirati je poznati Hydra Malware dictionary napad. Hydra je brute-forcing alat koji pomaže napadačima probiti lozinke mrežnih usluga. Napadačev cilj je | Prvi napad koji ćemo analizirati je poznati Hydra Malware dictionary napad. Hydra je brute-forcing alat koji pomaže napadačima probiti lozinke mrežnih usluga. Napadačev cilj je | ||
| - | saznati lozinku za odabani username sustavnom provjerom i pokušajem svih mogućih zaporki s popisa (dictionary-a) pomoću Hydra alata. | + | saznati lozinku za odabani username sustavnom provjerom i pokušajem svih mogućih zaporki s popisa (dictionary-a) pomoću Hydra alata. Više o dictionary napadu može se pročitati na [4]. |
| Instalacija: | Instalacija: | ||
| Redak 49: | Redak 43: | ||
| / | / | ||
| </ | </ | ||
| + | |||
| + | a može se pronaći na [3]. | ||
| Sadržaj users.txt datoteke: | Sadržaj users.txt datoteke: | ||
| Redak 67: | Redak 63: | ||
| Napadač je uspješno napao MikroTik ruter na adresi 10.10.137.76 pomoću SSH protokola i saznao da je za username „molly“ password „butterfly“. | Napadač je uspješno napao MikroTik ruter na adresi 10.10.137.76 pomoću SSH protokola i saznao da je za username „molly“ password „butterfly“. | ||
| + | |||
| + | Detaljan opis korištenja Hydra alata dostupan je na [2]. | ||
| Za forenzičku analizu ovog napada u nastavku ćemo pretpostavit da je napadač napravio sljedeći Hydra napad na MikroTik ruter na adresi 192.168.1.1 pomoću FTP protokola: | Za forenzičku analizu ovog napada u nastavku ćemo pretpostavit da je napadač napravio sljedeći Hydra napad na MikroTik ruter na adresi 192.168.1.1 pomoću FTP protokola: | ||
| Redak 146: | Redak 144: | ||
| Forenzičkom analizom mreže i MikroTik rutera uspješno smo saznali da je napad došao s PC uređaja imena „HACKER“ MAC adrese 00: | Forenzičkom analizom mreže i MikroTik rutera uspješno smo saznali da je napad došao s PC uređaja imena „HACKER“ MAC adrese 00: | ||
| + | |||
| + | Detaljan opis same analize može se naći u [1]. | ||
| ==== Forenzička analiza nakon Trickbot napada ==== | ==== Forenzička analiza nakon Trickbot napada ==== | ||
| - | Nakon nekoliko Trickbot napada na MikroTik uređaje Microsoft je razvio forenzički alat RouterOS Scanner kojim je moguće analizirati ruter te pronaći sumnjiva svojstva i slabe sigurnosne točke sustava. | + | Nakon nekoliko Trickbot napada na MikroTik uređaje Microsoft je razvio forenzički alat RouterOS Scanner kojim je moguće analizirati ruter te pronaći sumnjiva svojstva i slabe sigurnosne točke sustava |
| RouterOS Scanner može: | RouterOS Scanner može: | ||
| - | • saznati verziju uređaja i mapirati ju na rječnik koji klasificira ranjivosti (CVE) | + | * saznati verziju uređaja i mapirati ju na rječnik koji klasificira ranjivosti (CVE) |
| - | • pronaći pravila za preusmjeravanje prometa | + | |
| - | • pronaći zakazane naredbe | + | |
| - | • pronaći promjene zadanih portova | + | |
| - | • pronaći non-default korisnike | + | |
| - | • pronaći sumnjive datoteke | + | |
| - | • pronaći proxy i pravila vatrozida | + | |
| - | a u nastavku ćemo vidjeti kako ga iskoristiti nakon što se dogodio Trickbot napad opisan u prethodnom poglavlju. | + | a u nastavku ćemo vidjeti kako ga iskoristiti nakon što se dogodio Trickbot napad opisan u prethodnom poglavlju |
| Kako bi saznali je li postavljeno novo NAT pravilo na ruter možemo pokrenuti komandu: | Kako bi saznali je li postavljeno novo NAT pravilo na ruter možemo pokrenuti komandu: | ||
| Redak 170: | Redak 170: | ||
| < | < | ||
| - | chain=dstnat action=dst-nat to-addresses=< | + | chain=dstnat action=dst-nat to-addresses=< |
| + | to-ports=80 protocol=tcp dst-address=< | ||
| + | dst-port=449 chain=srcnat action=masquerade src-address=< | ||
| </ | </ | ||
| Redak 180: | Redak 182: | ||
| /ip firewall nat remove numbers=< | /ip firewall nat remove numbers=< | ||
| </ | </ | ||
| + | |||
| + | Više o RouterOS Scanneru i analizi koja je moguća pomoću tog alata može se pronaći na [5] i [6]. | ||
| Redak 196: | Redak 200: | ||
| ===== Literatura ===== | ===== Literatura ===== | ||
| + | [1] https:// | ||
| + | |||
| + | [2] https:// | ||
| + | |||
| + | [3] https:// | ||
| + | |||
| + | [4] https:// | ||
| + | |||
| + | [5] https:// | ||
| + | |||
| + | [6] https:// | ||