Mengapa hacker Mikrotik dan bagaimana saya menyembunyikan 100 ribu. RouterOS dari botnet

RouterOS adalah alat yang sangat kuat di tangan para profesional dan profesional yang bertanggung jawab. Tetapi di tangan pemula atau mereka yang melakukan segalanya dengan "dan turun", Mikrotik mulai menjalani hidupnya sendiri dan berubah menjadi simpul botnet.

Kembali pada Mei 2018, saya menulis artikel dengan rekomendasi tentang cara melindungi Mikrotik saya .

Anehnya, masih ada ribuan router Mikrotik "terbuka" dalam jaringan dan pasukan botnet sedang mengisi ulang.

Di waktu senggang saya dari kerja dan bersantai, saya mencari perangkat yang rentan di seluruh jaringan dan membuat pengaturan sesuai dengan rekomendasi saya, yaitu, saya menambahkan aturan firewall yang memblokir akses ke router bukan dari jaringan lokal. Dalam komentar saya menulis informasi tentang kerentanan dan meninggalkan alamat saluran telegram @router_os, di mana saya bisa mengajukan pertanyaan yang menarik (seharusnya muncul di admin normal).



Dari Mei hingga hari ini, saya "menarik" lebih dari 100 ribu perangkat Mikrotik dari cengkeraman botnet.

Karena saya tidak dapat berbicara di MUM 2018 di Moskow , saya memutuskan untuk menerbitkan laporan saya di habr.com

Ada banyak analitik di jaringan persis bagaimana RouterOS digunakan oleh peretas (misalnya, di sini ). Tetapi artikel saya berdasarkan pengalaman saya secara pribadi.

Admin dan reaksi mereka

Di seluruh dunia, administrator router cepat atau lambat menemukan telur Paskah.




Paling sunyi menutupi lubang. Seseorang tidak terlalu malas untuk menulis saya "terima kasih". Tetapi ada beberapa yang dengan keras membenci tidak mengerti.


Selama ini, tidak lebih dari 50 orang menulis kepada saya ...

Karena reaksi pengguna sangat minim, saya sampai pada kesimpulan bahwa sebagian besar bahkan tidak akan menyadari bahwa ada sesuatu yang salah pada router. Oleh karena itu, saya mulai memperbaiki skrip saya, yang, selain aturan firewall, akan menghapus pintu belakang yang saya ketahui bahwa para penyerang pergi.

Adalah logis bahwa metode saya tidak cocok untuk semua orang. Tetapi saya belum menemukan pendekatan yang berbeda untuk tugas ini.

Peretas Cinta RouterOS

Dalam sebagian besar kasus, saya menemukan perangkat yang sudah terinfeksi oleh seseorang. Sayangnya, saya tidak segera mulai menganalisis isinya. Inilah yang saya temukan dan apa yang akan menjadi pertanda pasti bahwa router Anda terganggu.

Proxy dan Socks web

Penggunaan router yang paling umum adalah melalui web standar dan proksi kaus kaki. Jika Anda tidak menggunakannya, tetapi dihidupkan, matikan saja.

/ip proxy set enabled=no
/ip socks set enabled=no

Tetapi untuk mematikannya, peretas menambahkan skrip ke sheduler, yang akan dihidupkan oleh proksi setelah beberapa saat:


Anda dapat menemukan file webproxy/error.html yang diberikan oleh proxy kepada Anda, dan pada gilirannya, memanggil penambang.

Parameter ekstra muncul di sini:

/ip proxy access print
/ip socks access print

Script dapat melakukan apa saja

90% dari Mikrotik full-blown memiliki skrip /system script skrip /system script dan bagi mereka jadwal eksekusi /system scheduler dikonfigurasikan.

Menurut jadwal, skrip diunduh, yang selanjutnya dieksekusi.



Dengan demikian, penyerang selalu memiliki kesempatan untuk "memberi makan" skrip baru dan, misalnya, melakukan serangan DDOS skala besar.



Karena itu, periksa tempat-tempat ini dengan cermat. Pada RouterOS yang bersih, tempat-tempat ini kosong.

DST-NAT

Saya sangat terkejut, tetapi ada banyak perangkat yang lalu lintasnya dibungkus /ip firewall nat .


Cara yang baik untuk menyembunyikan ip asli Anda.

VPN

Seperti tanpa dia. RouterOS dapat mengambil berbagai jenis vpn, tetapi peretas paling sering menggunakan pptp dan L2TP.

Jadi periksa bagian /ppp secret

Bahkan jika bagian ini kosong, peretas yang licik dapat masuk melalui Radius.
Periksa catatan /radius print
Jika Anda tidak mengonfigurasi apa pun, maka itu harus kosong. Kalau tidak, perlu dibersihkan:
/radius remove numbers=[/radius find ]
Dan melarang penggunaan Radius
/ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no
Nonaktifkan penggunaan Radius untuk otorisasi pada perangkat
/user aaa set use-radius=no

Jika Anda tidak menggunakan vpn, maka nonaktifkan
/interface l2tp-server server set enabled=no
/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no

DNS statis

Itu bukan tanpa fischig. Pada router di / ip dns statis, Anda dapat menemukannya


Semuanya sangat sederhana: Anda mengarahkan alamat situs yang Anda tahu ke bilah alamat, tetapi sebenarnya Anda bisa masuk ke server penyerang.

Hapus konten

/ip dns static remove numbers=[/ip dns static find]

Memotong hak admin

UPD: Ada juga sekelompok router tempat hacker memotong hak admin dan memulai sendiri dengan hak penuh (misalnya, router dan cnt), atau hanya menghilangkan hak dan memperbarui firmware ke yang terbaru.





Sebagai opsi untuk mengatasi masalah ini: melalui netinstall, turunkan ke firmware yang rentan dan gunakan exploit.

Paket sniffer

Rekan kerja dari Kaspersky Lab menyebutkan pencurian lalu lintas dengan mengarahkannya ke simpul yang tidak dikenal.

Anda dapat mematikannya seperti ini:
/tool sniffer stop
/tool sniffer set streaming-enabled=no filter-ip-protocol="" filter-port="" filter-interface="" filter-stream=no


Masalah Produk Mikrotik

Sistem yang sepenuhnya aman tidak ada. Dan distribusi massal produk Mikrotik juga memerlukan studi besar-besaran terhadap perangkat ini.
Karena fungsionalitas RouterOS memungkinkan Anda untuk melakukan sejumlah besar tugas, itu menarik untuk peretas juga.

Karena fakta bahwa produk ini berkembang sangat dinamis, laju munculnya "lubang" baru juga besar. Meskipun demikian, Mikrotik dengan cepat mengeluarkan tambalan untuk sistemnya.

Keluar

Sampai saat ini, satu-satunya solusi yang tepat untuk melindungi RouterOS adalah firewall yang dikonfigurasi dengan benar, yang bekerja berdasarkan prinsip "segala sesuatu yang jelas-jelas tidak diizinkan dilarang."
Dan semua karena Mikrotik menggunakan firewall Linux klasik, yang telah diasah oleh pasukan spesialis selama bertahun-tahun.

Jika Anda memerlukan akses ke perangkat dari jaringan global, maka gunakan prinsip " port knocking ". Prinsip "fail2ban" tidak selalu membenarkan dirinya sendiri, karena masih mendeteksi perangkat.

Solusi global

Mode lamer

Karena perangkatnya sangat murah, mereka dibeli oleh pengguna yang tidak memiliki pengetahuan khusus. Mikrotik perlu mengembangkan antarmuka "lamer", yang memiliki jumlah pengaturan minimum, seperti kebanyakan router SOHO. Selain itu, itu harus menjadi default. Dan pengguna harus mengaktifkan mode lanjutan secara sadar. "Pengaturan cepat" saat ini tidak cukup baik. Selain itu, karena banyaknya tombol, pengguna mungkin tidak memperhatikan fungsi ini.

Penganalisa bug

Ini juga membutuhkan modul yang menganalisis konfigurasi saat ini untuk kemungkinan kerentanan dan memberi tahu pengguna jika ia yakin bahwa router mungkin akan dikompromikan. Modul ini harus memuat "basis pengetahuan" yang diisi karyawan Mikrotik berdasarkan kesalahan umum. Dan dalam hal kerentanan serius, aktifkan mode "darurat".
Jika saya bisa mensistematisasikan sebagian dari ancaman, maka para pengembang dan bahkan lebih lagi ...

Firewall - sebagai layanan penyedia

Pasar untuk perangkat "pintar" berkembang pesat dan mereka jauh dari semua terlindungi dengan baik. Kebanyakan orang yang membelinya juga tidak memiliki pengetahuan khusus untuk melindungi gadget mereka sendiri.

Karenanya, sudah saatnya bagi penyedia layanan Internet untuk membuat layanan komersial untuk melindungi gadget tersebut. Pengguna basi di akun Anda menunjukkan port mana yang dibuka dari Internet.
Penyedia juga dapat membuat database terpusat dari perangkat yang ada dan kebutuhan normal mereka. Pengguna menunjukkan di LC perangkat mana yang ia gunakan. Dalam hal perilaku abnormal perangkat semacam itu, beri tahu pengguna.
Saya percaya bahwa pasar sudah matang untuk layanan seperti itu.

Layanan ini memiliki keunggulan sebagai berikut:

1. Untuk penyedia, item pendapatan lain
2. Kurangi lalu lintas palsu
3. Kurangi perekrutan perangkat ke botnet
4. Promosi pengembangan layanan rumah pintar
5. Pengguna tidak lagi dapat mengganggu keamanan mereka.

Sedikit tentang diriku

Saya akan mencoba menjawab pertanyaan yang mungkin akan mereka tanyakan kepada saya.

1. Saya bekerja di posisi yang tidak terkait dengan Mikrotik dan jaringan pada umumnya.
2. Namun, saya memiliki sertifikat MTCNA.
3. Mikrotik adalah hobi saya. Semua yang saya lakukan - saya suka saja. Jadi bisa dikatakan "untuk bersenang-senang."
4. Mengapa tidak mendapat pekerjaan berdasarkan profil? Mereka yang membeli mikrotik di kota kami tidak dapat membayar banyak ZP. Mereka yang dapat membayar saya layak membeli cisco.
5. Dalam komentar di firewall, saya menunjukkan dompet saya, tetapi sejak Mei mereka melemparkan saya hanya sekitar $ 40. Mereka menulis kepada telegram dari berbagai negara, mengatakan bahwa mereka tidak memiliki wmz, tetapi semuanya tetap sama, “terima kasih”.

PS:

Bagikan pengalaman Anda bagaimana cara lain yang dapat digunakan peretas menggunakan Mikrotik.