Ovaj rad istražuje sigurnost MikroTik rutera i provodi forenzičku analizu dva različita napada na ove uređaje. MikroTik, poznat po svojim ruterima i mrežnoj opremi, često se koristi u različitim mrežnim okruženjima, što ga čini privlačnom metom za napadače.

Prvi napad analiziran u radu je Hydra Malware napad koji koristi brute-forcing tehnike za probijanje lozinki mrežnih usluga. Forenzička analiza ovog napada uključuje praćenje dnevnika prometa, korištenje API-ja za daljinski pristup ruteru te identifikaciju napadača i njegovih aktivnosti.

Drugi napad koji je istražen je Trickbot napad, koji uključuje ugrađivanje zlonamjernog softvera u sustav kako bi napadač mogao izvršavati različite aktivnosti, uključujući krađu podataka i daljinsko upravljanje. Rad opisuje kako Microsoftov forenzički alat RouterOS Scanner pomaže u analizi ovog napada te kako se identificiraju sumnjiva svojstva i sigurnosne slabosti sustava.

Zaključno, ovaj rad naglašava važnost forenzičke analize u otkrivanju i sprječavanju napada na MikroTik rutere te ističe važnost sigurnosti mrežnih sustava u današnjem digitalnom svijetu.

MikroTik, kompanija osnovana 1996. godine u Latviji, započela je svoj put kao pružatelj internetskih usluga, ali se brzo preorijentirala na proizvodnju mrežne opreme. Danas je MikroTik prepoznatljiv u svijetu mrežne tehnologije posebno po svojim ruterima i mrežnim uređajima pomoću kojih nudi visoko konfigurabilne i pristupačne mrežne uređaje koji se koriste u različitim mrežnim okruženjima, od malih ureda do velikih ISP-ova (poslužitelja internetskih usluga).

U sklopu ovog rada proučavat ćemo prednosti i mane MikroTik rutera, opisati moguće napade te proći korake forenzičke analize samih rutera. Bavit ćemo se dvama MikroTik proizvodima.

Prvi je MikroTik RouterOS, operativni sustav koji pokreće RouterBOARD uređaje. Temelji se na Debian GNU/Linux kernelu a nudi širok spektar funkcionalnosti, uključujući napredno usmjeravanje, firewall, upravljanje propusnošću, bežične funkcije i mnoge druge mogućnosti. Drugi je MikroTik RouterBOARD, linija proizvoda koja uključuje različite vrste Ethernet rutera i preklopnika, te vanjske bežične sustave koji dolaze u raznolikim konfiguracijama i veličinama, prilagođenim za različite upotrebe, od kućnih mreža do korporativnih data centara.

Uz širok spektar mogućnosti i funkcionalnosti koje pružaju MikroTik ruteri raste i broj mogućih napada kako na software tako i na hardware a samim time i potreba za forenzičkom analizom navedenih rutera.

Prvi napad koji ćemo analizirati je poznati Hydra Malware dictionary napad. Hydra je brute-forcing alat koji pomaže napadačima probiti lozinke mrežnih usluga. Napadačev cilj je saznati lozinku za odabani username sustavnom provjerom i pokušajem svih mogućih zaporki s popisa (dictionary-a) pomoću Hydra alata.

Instalacija:

brew install hydra

Napad:

hydra -L users.txt -P /usr/share/wordlists/rockyou.txt 10.10.137.76 ssh

Napadač ima listu username-ova sustava u datoteci users.txt i za njih pokušava napraviti dictionary napad pomoću Rockyou rječnika lozinki koji se nalazi na lokaciji

/usr/share/wordlists/rockyou.txt.

Sadržaj users.txt datoteke:

root
admin
user
molly
steve 
richard

Ispis:

Napadač je uspješno napao MikroTik ruter na adresi 10.10.137.76 pomoću SSH protokola i saznao da je za username „molly“ password „butterfly“.

Za forenzičku analizu ovog napada u nastavku ćemo pretpostavit da je napadač napravio sljedeći Hydra napad na MikroTik ruter na adresi 192.168.1.1 pomoću FTP protokola:

hydra -L login.txt -P /pass.txt 192.1.1. 246 ftp

Drugi napad na MikroTik rutere koji ćemo promatrati je Trickbot napad u kojem se zlonamjerni softver ugrađuje u postojeći sustav te na taj način napadač može ukrasti povjerljive podatke, isporučiti ransomware te kontrolirati sustav na daljinu.

Svrha Trickbot napada na MikroTik ruter je osiguravanje komunikacije između uređaja pogođenog Trickbotom i C2 (Command-and-Control) poslužitelja koju standardni obrambeni sustavi u mreži ne mogu otkriti. Napadač počinje hakiranjem MikroTik rutera krađom podataka za prijavu što je moguće napraviti Hydra napadom opisanim u prethodnom poglavlju.

Nakon što je pristupio ruteru napadač preusmjerava promet između portova rutera te na taj način osigurava komunikaciju između Trickbot uređaja i C2 poslužitelja.