Ovaj rad istražuje sigurnost MikroTik rutera i provodi forenzičku analizu dva različita napada na ove uređaje. MikroTik, poznat po svojim ruterima i mrežnoj opremi, često se koristi u različitim mrežnim okruženjima, što ga čini privlačnom metom za napadače.

Prvi napad analiziran u radu je Hydra Malware napad koji koristi brute-forcing tehnike za probijanje lozinki mrežnih usluga. Forenzička analiza ovog napada uključuje praćenje dnevnika prometa, korištenje API-ja za daljinski pristup ruteru te identifikaciju napadača i njegovih aktivnosti.

Drugi napad koji je istražen je Trickbot napad, koji uključuje ugrađivanje zlonamjernog softvera u sustav kako bi napadač mogao izvršavati različite aktivnosti, uključujući krađu podataka i daljinsko upravljanje. Rad opisuje kako Microsoftov forenzički alat RouterOS Scanner pomaže u analizi ovog napada te kako se identificiraju sumnjiva svojstva i sigurnosne slabosti sustava.

Zaključno, ovaj rad naglašava važnost forenzičke analize u otkrivanju i sprječavanju napada na MikroTik rutere te ističe važnost sigurnosti mrežnih sustava u današnjem digitalnom svijetu.

MikroTik, kompanija osnovana 1996. godine u Latviji, započela je svoj put kao pružatelj internetskih usluga, ali se brzo preorijentirala na proizvodnju mrežne opreme. Danas je MikroTik prepoznatljiv u svijetu mrežne tehnologije posebno po svojim ruterima i mrežnim uređajima pomoću kojih nudi visoko konfigurabilne i pristupačne mrežne uređaje koji se koriste u različitim mrežnim okruženjima, od malih ureda do velikih ISP-ova (poslužitelja internetskih usluga).

U sklopu ovog rada proučavat ćemo prednosti i mane MikroTik rutera, opisati moguće napade te proći korake forenzičke analize samih rutera. Bavit ćemo se dvama MikroTik proizvodima.

Prvi je MikroTik RouterOS, operativni sustav koji pokreće RouterBOARD uređaje. Temelji se na Debian GNU/Linux kernelu a nudi širok spektar funkcionalnosti, uključujući napredno usmjeravanje, firewall, upravljanje propusnošću, bežične funkcije i mnoge druge mogućnosti. Drugi je MikroTik RouterBOARD, linija proizvoda koja uključuje različite vrste Ethernet rutera i preklopnika, te vanjske bežične sustave koji dolaze u raznolikim konfiguracijama i veličinama, prilagođenim za različite upotrebe, od kućnih mreža do korporativnih data centara.

Uz širok spektar mogućnosti i funkcionalnosti koje pružaju MikroTik ruteri raste i broj mogućih napada kako na software tako i na hardware a samim time i potreba za forenzičkom analizom navedenih rutera.

Prvi napad koji ćemo analizirati je poznati Hydra Malware dictionary napad. Hydra je brute-forcing alat koji pomaže napadačima probiti lozinke mrežnih usluga. Napadačev cilj je saznati lozinku za odabani username sustavnom provjerom i pokušajem svih mogućih zaporki s popisa (dictionary-a) pomoću Hydra alata.

Instalacija:

brew install hydra

Napad:

hydra -L users.txt -P /usr/share/wordlists/rockyou.txt 10.10.137.76 ssh

Napadač ima listu username-ova sustava u datoteci users.txt i za njih pokušava napraviti dictionary napad pomoću Rockyou rječnika lozinki koji se nalazi na lokaciji

/usr/share/wordlists/rockyou.txt.

Sadržaj users.txt datoteke:

root
admin
user
molly
steve 
richard

Ispis:

Napadač je uspješno napao MikroTik ruter na adresi 10.10.137.76 pomoću SSH protokola i saznao da je za username „molly“ password „butterfly“.

Za forenzičku analizu ovog napada u nastavku ćemo pretpostavit da je napadač napravio sljedeći Hydra napad na MikroTik ruter na adresi 192.168.1.1 pomoću FTP protokola:

hydra -L login.txt -P /pass.txt 192.1.1. 246 ftp

Drugi napad na MikroTik rutere koji ćemo promatrati je Trickbot napad u kojem se zlonamjerni softver ugrađuje u postojeći sustav te na taj način napadač može ukrasti povjerljive podatke, isporučiti ransomware te kontrolirati sustav na daljinu.

Svrha Trickbot napada na MikroTik ruter je osiguravanje komunikacije između uređaja pogođenog Trickbotom i C2 (Command-and-Control) poslužitelja koju standardni obrambeni sustavi u mreži ne mogu otkriti. Napadač počinje hakiranjem MikroTik rutera krađom podataka za prijavu što je moguće napraviti Hydra napadom opisanim u prethodnom poglavlju.

Nakon što je pristupio ruteru napadač preusmjerava promet između portova rutera te na taj način osigurava komunikaciju između Trickbot uređaja i C2 poslužitelja.

MikroTik uređaji imaju jedinstven hardver i softver, RouterBOARD i RouterOS što znači da za izvršavanje takvog napada napadači trebaju poznavati RouterOS SSH komande. S druge strane praćenje promete koji se odvijao kada su se izvršavale te komande može nam pomoći u analizi napad.

U nastavku ćemo pogledati jedna primjer napada pokretanjem RouterOS SSH komandi. MikroTik uređaji imaju jedinstveni OS temeljen na Linuxu pod nazivom RouterOS s jedinstvenom SSH ljuskom kojoj se može pristupiti putem SSH protokola korištenjem ograničenog skupa naredbi. Ove se naredbe lako mogu prepoznati po prefiksu “/”.

Na primjer:

/ip
/system
/tool

U uobičajenim ljuskama temeljenim na Linuxu ove naredbe nemaju nikakvo značenje a namijenjene su isključivo MikroTik uređajima.

Pogledajmo sada što napadač može napravit korištenjem neke od navedenih naredbi.

Izvršavanjem

/ip firewall nat add chain=dstnat proto=tcp dst-port=449 to-port=80 action=dst-nat to-addresses=<infected device> dst-address=<real C2 address> 

napadač postavlja novo pravilo (rule) koje preusmjerava promet s uređaja na portu 449 na server koji se nalazi na portu 80. Ovaj napad nije ništa drugo nego izvršavanje legitimne naredbe prevođenja mrežnih adresa (NAT) koja NAT ruteru omogućuje prepisivanje IP adresa, no u ovom slučaju koristi se u zlonamjerne svrhe. U sljedećem poglavlju vidjet ćemo koje alate možemo koristiti kako bi analizirali opisani napad.