===== Forenzika MikroTik rutera =====
===== Sažetak =====
Ovaj rad istražuje sigurnost MikroTik rutera i provodi forenzičku analizu dva različita napada na ove uređaje. MikroTik, poznat po svojim ruterima i mrežnoj opremi, često se koristi u različitim mrežnim okruženjima, što ga čini privlačnom metom za napadače.Prvi napad analiziran u radu je Hydra Malware napad koji koristi brute-forcing tehnike za probijanje lozinki mrežnih usluga. Forenzička analiza ovog napada uključuje praćenje dnevnika prometa, korištenje API-ja za daljinski pristup ruteru te identifikaciju napadača i njegovih aktivnosti.Drugi napad koji je istražen je Trickbot napad, koji uključuje ugrađivanje zlonamjernog softvera u sustav kako bi napadač mogao izvršavati različite aktivnosti, uključujući krađu podataka i daljinsko upravljanje. Rad opisuje kako Microsoftov forenzički alat RouterOS Scanner pomaže u analizi ovog napada te kako se identificiraju sumnjiva svojstva i sigurnosne slabosti sustava.Zaključno, ovaj rad naglašava važnost forenzičke analize u otkrivanju i sprječavanju napada na MikroTik rutere te ističe važnost sigurnosti mrežnih sustava u današnjem digitalnom svijetu.
===== Uvod =====
MikroTik, kompanija osnovana 1996. godine u Latviji, započela je svoj put kao pružatelj internetskih usluga, ali se brzo preorijentirala na proizvodnju mrežne opreme. Danas je MikroTik prepoznatljiv u svijetu mrežne tehnologije posebno po svojim ruterima i mrežnim uređajima pomoću kojih nudi visoko konfigurabilne i pristupačne mrežne uređaje koji se koriste u različitim mrežnim okruženjima, od malih ureda do velikih ISP-ova (poslužitelja internetskih usluga).
U sklopu ovog rada proučavat ćemo prednosti i mane MikroTik rutera, opisati moguće napade te proći korake forenzičke analize samih rutera. Bavit ćemo se dvama MikroTik proizvodima.
Prvi je MikroTik RouterOS, operativni sustav koji pokreće RouterBOARD uređaje. Temelji se na Debian GNU/Linux kernelu a nudi širok spektar funkcionalnosti, uključujući napredno usmjeravanje, firewall, upravljanje propusnošću, bežične funkcije i mnoge druge mogućnosti. Drugi je MikroTik RouterBOARD, linija proizvoda koja uključuje različite vrste Ethernet rutera i preklopnika, te vanjske bežične sustave koji dolaze u raznolikim konfiguracijama i veličinama, prilagođenim za različite upotrebe, od kućnih mreža do korporativnih data centara.
Uz širok spektar mogućnosti i funkcionalnosti koje pružaju MikroTik ruteri raste i broj mogućih napada kako na software tako i na hardware a samim time i potreba za forenzičkom analizom navedenih rutera.
===== Napadi na MikroTik router =====
==== Hydra Malware napad ====
Prvi napad koji ćemo analizirati je poznati Hydra Malware dictionary napad. Hydra je brute-forcing alat koji pomaže napadačima probiti lozinke mrežnih usluga. Napadačev cilj je
saznati lozinku za odabani username sustavnom provjerom i pokušajem svih mogućih zaporki s popisa (dictionary-a) pomoću Hydra alata. Više o dictionary napadu može se pročitati na [4].
Instalacija:
brew install hydra
Napad:
hydra -L users.txt -P /usr/share/wordlists/rockyou.txt 10.10.137.76 ssh
Napadač ima listu username-ova sustava u datoteci users.txt i za njih pokušava napraviti dictionary napad pomoću Rockyou rječnika lozinki koji se nalazi na lokaciji
/usr/share/wordlists/rockyou.txt.
a može se pronaći na [3].
Sadržaj users.txt datoteke:
root
admin
user
molly
steve
richard
Na slici u nastavku možemo vidjeti ispis:
{{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_attack.png?600 |}}
**Slika 1**: Rezultati Hydra napada [[https://www.freecodecamp.org/news/how-to-use-hydra-pentesting-tutorial/|Izvor]]
Napadač je uspješno napao MikroTik ruter na adresi 10.10.137.76 pomoću SSH protokola i saznao da je za username „molly“ password „butterfly“.
Detaljan opis korištenja Hydra alata dostupan je na [2].
Za forenzičku analizu ovog napada u nastavku ćemo pretpostavit da je napadač napravio sljedeći Hydra napad na MikroTik ruter na adresi 192.168.1.1 pomoću FTP protokola:
hydra -L login.txt -P /pass.txt 192.1.1. 246 ftp
==== Trickbot napad ====
Drugi napad na MikroTik rutere koji ćemo promatrati je Trickbot napad u kojem se zlonamjerni softver ugrađuje u postojeći sustav te na taj način napadač može ukrasti povjerljive podatke, isporučiti ransomware te kontrolirati sustav na daljinu kao što je prikazano na slici u nastavku.
{{ :racfor_wiki:forenzika_mikrotik_rutera:trickbot_attack.png?600 |}}
**Slika 2**: Trickbot napad [[https://www.microsoft.com/en-us/security/blog/2022/03/16/uncovering-trickbots-use-of-iot-devices-in-command-and-control-infrastructure/|Izvor]]
Svrha Trickbot napada na MikroTik ruter je osiguravanje komunikacije između uređaja pogođenog Trickbotom i C2 (Command-and-Control) poslužitelja koju standardni obrambeni sustavi u mreži ne mogu otkriti. Napadač počinje hakiranjem MikroTik rutera krađom podataka za prijavu što je moguće napraviti Hydra napadom opisanim u prethodnom poglavlju.
Nakon što je pristupio ruteru napadač preusmjerava promet između portova rutera te na taj način osigurava komunikaciju između Trickbot uređaja i C2 poslužitelja što je vidljivo na slici 3.
{{ :racfor_wiki:forenzika_mikrotik_rutera:trickbot_port_switch.png?600 |}}
**Slika 3**: Preusmjeravanje prometa uoći Trickbot napada [[https://www.microsoft.com/en-us/security/blog/2022/03/16/uncovering-trickbots-use-of-iot-devices-in-command-and-control-infrastructure/|Izvor]]
MikroTik uređaji imaju jedinstven hardver i softver, RouterBOARD i RouterOS što znači da za izvršavanje takvog napada napadači trebaju poznavati RouterOS SSH komande. S druge strane praćenje promete koji se odvijao kada su se izvršavale te komande može nam pomoći u analizi napad.
U nastavku ćemo pogledati jedna primjer napada pokretanjem RouterOS SSH komandi. MikroTik uređaji imaju jedinstveni OS temeljen na Linuxu pod nazivom RouterOS s jedinstvenom SSH ljuskom kojoj se može pristupiti putem SSH protokola korištenjem ograničenog skupa naredbi. Ove se naredbe lako mogu prepoznati po prefiksu “/”.
Na primjer:
/ip
/system
/tool
U uobičajenim ljuskama temeljenim na Linuxu ove naredbe nemaju nikakvo značenje a namijenjene su isključivo MikroTik uređajima.
Pogledajmo sada što napadač može napravit korištenjem neke od navedenih naredbi.
Izvršavanjem
/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses= dst-address=
napadač postavlja novo pravilo (rule) koje preusmjerava promet s uređaja na portu 449 na server koji se nalazi na portu 80. Ovaj napad nije ništa drugo nego izvršavanje legitimne naredbe prevođenja mrežnih adresa (NAT) koja NAT ruteru omogućuje prepisivanje IP adresa, no u ovom slučaju koristi se u zlonamjerne svrhe. U sljedećem poglavlju vidjet ćemo koje alate možemo koristiti kako bi analizirali opisani napad.
===== Forenzička analiza MikroTik router =====
==== Forenzička analiza nakon Hydra Malware napada ====
Saznali smo već da je Hydra Malware napad vrste napada putem mreže pa ćemo u nastavku opisati kako takav napad možemo analizirati tj. kako napraviti forenzičku analizu mreže uoči Hydra Malware napada.
Mrežna forenzika je dio digitalne forenzike koja se fokusira na praćenje i analizu podatkovnog prometa na mreži. Glavna zadaća rutera je upravljanje vezama za sve mrežne aktivnosti stoga će nam u analizi pomoći dnevnik prometa (traffic log) u kojem su zapisane aktivnosti računala spojenih na mrežu. Analizom dnevnika pokušat ćemo saznali potencijalnog napadača i njegove aktivnosti uoči napada. No nećemo se moći osloniti samo na logove ako ne prisluškujemo mrežu cijelo vrijeme dok traje napad. Naime, podatci koji prolaze mrežom su dinamički, čuvaju se u RAM memoriji i izgubljeni su nakon što se sustav ugasi pa ćemo morati pronaći i druge izvore podataka poput informacija s rutera. Za pristup informacijama na RouterOS-u kao što su aktivnost admin user-a, popis IP adresa klijenta, MAC adresa, konfiguracija mreže te konfiguracija vatrozida pomoći će nam API za daljinski pristup ruteru.
RouterOS ima ugrađeni API koji se može koristiti za komunikaciju između ruteru i prilagođenog softvera te pomoći prilikom forenzičke analiza uoči napada.
Prvu stvar koju radimo prilikom analize je pregled log-ova aktivnosti na ruteru koje možemo naći na slici 4. Za navedeni napad dobili smo popis aktivnosti na ruteru te uočavamo kako je napravljeno 38 neuspješnih upita na IP adresu 192.168.1.246 unutar 2 sekunde. Iz toga zaključujemo kako je napad morao izvršiti neki program jer je ovo premali vremenski period za ljudsku aktivnost. Nakon toga vidimo kako je nakon minute napadač uspješno prijavljen i dobiva pristup ruteru. Na kraju vidimo da je u 16:11 dodan novi korisnik na ruter imena „jebol“ iz čega možemo zaključiti kako je napadač uspješno provalio u MikroTik ruter koristeći Hydra dictionary tool, dobio pristup i dodao novog korisnika koji sada može upravljati konfiguracijom samog rutera.
{{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_server_log.png?600 |}}
**Slika 4**: Ispis log aktivnosti [[https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf|Izvor]]
Nakon što smo saznali IP adresu napadača iskoristit ćemo Wireshark kako bi za .pcap datoteku saznali komunikaciju koja se odvijala FTP protokolom. Iz toga možemo pomoću ARP liste za poznatu IP adresu napadača saznati njegovu MAC adresu.
**Slika 5** prikazuje dobiveni rezultat:
{{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_arp.png?600 |}}
**Slika 5**: ARP tablica [[https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf|Izvor]]
Na kraju ostalo je još samo iskoristiti DHCP Server Leasses kako bi saznali Host Name napadača što je vidljivo na slici u nastvaku.
{{ :racfor_wiki:forenzika_mikrotik_rutera:hydra_dhcp.png?600 |}}
**Slika 6**: DHCP tablica [[https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf|Izvor]]
Forenzičkom analizom mreže i MikroTik rutera uspješno smo saznali da je napad došao s PC uređaja imena „HACKER“ MAC adrese 00:0C:29:48:0B:0A te IP adrese 192.168.1.246.
Detaljan opis same analize može se naći u [1].
==== Forenzička analiza nakon Trickbot napada ====
Nakon nekoliko Trickbot napada na MikroTik uređaje Microsoft je razvio forenzički alat RouterOS Scanner kojim je moguće analizirati ruter te pronaći sumnjiva svojstva i slabe sigurnosne točke sustava [5].
RouterOS Scanner može:
* saznati verziju uređaja i mapirati ju na rječnik koji klasificira ranjivosti (CVE)
* pronaći pravila za preusmjeravanje prometa
* pronaći zakazane naredbe
* pronaći promjene zadanih portova
* pronaći non-default korisnike
* pronaći sumnjive datoteke
* pronaći proxy i pravila vatrozida
a u nastavku ćemo vidjeti kako ga iskoristiti nakon što se dogodio Trickbot napad opisan u prethodnom poglavlju [6].
Kako bi saznali je li postavljeno novo NAT pravilo na ruter možemo pokrenuti komandu:
/ip firewall nat print
Dobivamo:
chain=dstnat action=dst-nat to-addresses=
to-ports=80 protocol=tcp dst-address=
dst-port=449 chain=srcnat action=masquerade src-address=
iz čega zaključujemo da je došlo do postavljanja novog NAT pravila prilikom napada.
Kako bismo uklonili potencijalno zlonamjerno NAT pravilo možemo izvršiti naredbu:
/ip firewall nat remove numbers=
Više o RouterOS Scanneru i analizi koja je moguća pomoću tog alata može se pronaći na [5] i [6].
===== Zaključak =====
Ovaj rad analizira potencijalne napade na MikroTik rutere i provodi forenzičku analizu tih napada. Dva napada koja su istražena su Hydra Malware napad i Trickbot napad. Hydra Malware napad koristi brute-forcing alat za probijanje lozinki mrežnih usluga, dok Trickbot napad uključuje ugrađivanje zlonamjernog softvera u sustav radi krađe podataka i daljinskog upravljanja.
Forenzička analiza nakon Hydra Malware napada uključuje praćenje dnevnika prometa na mreži, upotrebu API-ja za daljinski pristup ruteru, i analizu aktivnosti na ruteru kako bi se identificirao napadač i njegove aktivnosti. Ova analiza omogućava otkrivanje napadača i njegovih radnji uoči napada.
Nakon Trickbot napada, Microsoft je razvio forenzički alat koji pomaže analizirati MikroTik rutere radi otkrivanja sumnjivih svojstava i slabih točaka u sigurnosti sustava. Alat može identificirati različite aspekte rutera, uključujući ranjivosti, pravila preusmjeravanja prometa, zakazane naredbe, promjene zadanih postavki, non-default korisnike i sumnjive datoteke.
U zaključku, ovaj rad naglašava važnost forenzičke analize u otkrivanju i sprječavanju napada na MikroTik rutere. Sigurnost mreže i integritet podataka su od ključnog značaja, a analiza napada i identifikacija napadača igraju ključnu ulogu u zaštiti mrežnih sustava. MikroTik uređaji su široko korišteni, stoga je važno razumjeti kako se nositi s potencijalnim prijetnjama i kako provesti detaljnu forenzičku analizu u slučaju napada.
===== Literatura =====
[1] https://www.researchgate.net/profile/Imam-Riadi-2/publication/315677409_Live_Forensics_on_RouterOS_using_API_Services_to_Investigate_Network_Attacks/links/58dab6e7a6fdccca1c65401a/Live-Forensics-on-RouterOS-using-API-Services-to-Investigate-Network-Attacks.pdf
[2] https://www.freecodecamp.org/news/how-to-use-hydra-pentesting-tutorial/
[3] https://github.com/teamstealthsec/wordlists
[4] https://www.rapid7.com/fundamentals/brute-force-and-dictionary-attacks/
[5] https://github.com/microsoft/routeros-scanner
[6] https://www.microsoft.com/en-us/security/blog/2022/03/16/uncovering-trickbots-use-of-iot-devices-in-command-and-control-infrastructure/