Cara Mengatasi Serangan Hajime Botnet Dan Chimay-Red Exploit Di Router Mikrotik
Cara Mengatasi Serangan Hajime Botnet dan Chimay-Red Exploit Di Router Mikrotik - Beberapa waktu yang kemudian saya sempat kaget alasannya ada beberapa router client saya yang pakai IP Public tiba-tiba saja konfigurasi DNSnya berubah sendiri, padahal saya sama sekali tidak mengubah-ubah konfigurasi DNS di router tersebut.
Kejadian ini gres saya ketahui ketika saya menerima complain dari client yang menyampaikan bahwa koneksinya mati total, begitu sanggup complain lantas saya pribadi login ke router dan langkah pertama yang biasa saya lakukan yaitu menguji konektivitas jaringan dengan tool ping, saya coba test ping ke google.com tapi hasilnya domain google.com tidak dikenali oleh DNS, saya sempat heran alasannya secara link, router client saya sanggup terkoneksi ke router gateway.
Setelah saya cek konfigurasi DNS, alangkah kagetnya alasannya DNS yang semula menggunakan DNS saya sendiri tiba-tiba menjelma DNS yang tidak saya kenal, kemudian saya cek log, dan hasilnya mencengangkan menyerupai ini.
Dari screenshoot diatas sanggup dilihat ada log yang tertulis "dns changed by admin", yang artinya konfigurasi DNS diubah oleh user admin, user tersebut memang hanya saya dan rekan satu tim saja yang tahu, namun masalahnya bukan itu, kalau diperhatikan dengan teliti, user admin tersebut login dari alamat IP absurd yaitu 42.177.206.6.
Tentu saja alamat IP itu bukan berasal dari network saya, sehabis saya lookup ternyata alamat IP tersebut berasal dari china, artinya yaitu ? my router has been hacked !
Akhirnya case ini saya posting di group facebook mikrotik indonesia, ternyata, saya tidak sendirian, banyak member lain disana yang mengalami hal yang sama dengan saya, menurut tanggapan yang diberikan oleh member lain, bahwa pada beberapa versi routeros mikrotik terdapat bug pada service www yang digunakan oleh webfig, yaitu service yang memungkinan kita mengkonfigurasi router mikrotik melalui web browser.
Dari log yang saya sanggup pun memang memperlihatkan bahwa orang yang meretas router saya berhasil login melalui service web / www / webfig, akibatnya saya browsing untuk mencari rujukan mengenai case yang saya alami dikala ini.
Dan saya menemukan ini, ternyata tool hacking yang digunakan untuk mengeksploitasi router mikrotik yaitu bernama Hajime yaitu botnet yang semenjak 26 Maret 2018 kemudian sudah melaksanakan scanning besar-besaran diseluruh dunia.
Dan saya menemukan ini, ternyata tool hacking yang digunakan untuk mengeksploitasi router mikrotik yaitu bernama Hajime yaitu botnet yang semenjak 26 Maret 2018 kemudian sudah melaksanakan scanning besar-besaran diseluruh dunia.
The new Hajime variant has been scanning wide range of tcp ports since 2018-03-26. Now it scans 80, 81, 82, 8080, 8081, 8082, 8089, 8181, 8291 and 8880. We observe these scanning activities at out honeypots.@360Netlab @chudyPB— Masafumi Negishi (@MasafumiNegishi) March 27, 2018
So the old Hajime botnet is coming back with a new exploit which was published only about 13 days ago ( https://t.co/UEAOTF4DiZ ), it also looks for some old exploits like tr-064 but nothing exciting there. https://t.co/vyIDU7CXpn— 360 Netlab (@360Netlab) March 25, 2018
Menggunakan Chimay-Red untuk Menyerang Perangkat Mikrotik
Chimay Red merupakan sebuah bug yang terdapat pada routeros mikrotik versi 6.38.4 dan versi sebelumnya, melalui bug ini memungkinkan si attacker mengunggah payload menyerupai HIVE atau TinyShell ke router mikrotik sebelum menjalankan botnet hajime, dengan adanya bug ini maka memungkinkan attacker sanggup mengambil alih perangkat mikrotik yang ada di jaringan kita (Sumber : Vault 7 : CIA Hacking Tools Revealed)Untuk versi routeros yang mempunyai celah keamanan pada service www disebutkan yaitu routeros versi 6.38.4 kebawah, pihak mikrotik pun sudah menghimbau penggunanya untuk melaksanakan upgrade routeros ke versi terbaru, atau setidaknya di atas v6.38.5.
It has come to our attention that a a mass scan for open ports 80/8291(Web/Winbox) is taking place. To be safe, firewall these ports and upgrade RouterOS devices to v6.41.3 (or at least, above v6.38.5)— MikroTik (@mikrotik_com) March 27, 2018
Cara Kerja Botnet Hajime
Botnet Hajime akan melaksanakan scan ke alamat IP (Public) sasaran dengan cara mengirimkan paket TCP SYN melalui port 8291 (port winbox), apabila dari alamat IP tersebut mengirimkan tanggapan berupa SYN ACK maka sanggup dipastikan bahwa alamat IP sasaran terpasang pada perangkat mikrotik.Selanjutnya botnet hajime akan melaksanakan scanning untuk mendeteksi apakah diantara port 80,81,82,8080, 8081, 8089, 8181, 8080 statusnya open (terbuka) atau tidak, kalau diantara port-port tersebut ada yang terbuka, selanjutnya bot akan mendeteksi versi routeros yang digunakan, kalau versi routeros yang digunakan merupakan versi routeros yang mempunyai vulnerability / celah keamanan pada service www, maka bot akan melaksanakan exploit.
Setelah router mikrotik berhasil diexploit dan shellcode sanggup dihukum maka botnet hajime akan didownload oleh router dan dijalankan, kalau sudah begitu maka attacker akan leluasa keluar masuk router. Untuk lebih jelasnya silahkan lihat gambar dibawah ini.
Source Image : www.bleepingcomputer.com |
Cara Mengatasi Serangan Hajime Botnet Pada Router Mikrotik
Lalu bagaimana cara mengatasi router yang sudah kadung diserang oleh botnet hajime ? Berikut beberapa langkah preventif yang sanggup dilakukan untuk mengamankan router sobat, diantaranya yaitu :# 1. Mengubah username dan password
Apabila router sahabat sudah terkena serangan botnet hajime, langkah pertama yang sanggup sahabat coba yaitu dengan cara mengubah username dan juga password, saya sarankan sahabat menghapus username admin pada router dan menggantinya dengan username lain yang tidak umum.
# 2. Upgrade routeros
Setiap versi routeros terbaru yang dirilis oleh mikrotik tentu saja bukan tanpa alasan, setiap rilis versi routeros tentu saja dibarengi dengan penambahan fitur dan juga perbaikan fitur maupun bug yang sebelumnya terjadi, apalagi dengan adanya tragedi serangan botnet hajime yang menjangkit perangkat mikrotik di banyak sekali negara tentu saja pihak mikrotik tidak akan tinggal membisu begitu saja.
Kaprikornus sekali lagi, upgrade routeros mikrotik kau sob biar kondusif dan nyaman, kalau sahabat masih galau bagaimana cara upgrade routeros mikrotik, nih tutorialnya sudah saya buatkan.
Baca juga : Tutorial cara upgrade routeros mikrotik
# 3. Disable service www
Agar router mikrotik sahabat aman, ada baiknya sahabat mematikan semua service yang tidak diperlukan, contohnya saja service www, caranya klik sajian IP > Services, kemudian disable service www port 80, dengan begitu service tersebut tidak akan sanggup dieksploitasi oleh attacker, namun kekurangannya sahabat juga tidak akan sanggup menggunakan service tersebut.
# 4. Memasang ACL (Access Control List)
Apabila service www port 80 masih sahabat perlukan untuk keperluan konfigurasi router melalui web browser, sebaiknya sahabat memasang ACL atau Access Control List, dengan ACL kita sanggup memilih sebuah service pada router hanya sanggup diakses dari alamat IP mana saja.
Caranya klik sajian IP > Services, kemudian double klik service www, kemudian tentukan Available From dengan alamat IP yang akan diijinkan untuk mengakses service tersebut, dengan begitu maka setiap ada request masuk ke router melalui port 80 dari alamat IP yang sudah terdaftar, maka akan diaccept oleh router, selain itu maka akan di block / drop.
# 5. Memasang firewall filter
Cara mengamankan router mikrotik dari serangan hajime botnet yang terakhir yaitu dengan cara memasang rule filter pada firewall mikrotik, tujuannya yaitu untuk memblok semua koneksi yang masuk melalui port 80 kedalam router dari interface publik / interface WAN.
Caranya klik sajian IP > Firewall > tab Filter Rules > klik tombol Add berwarna biru, kemudian buatlah satu rule sederhana menyerupai pola dibawah ini.
Rule filter diatas berfungsi untuk mendrop semua koneksi yang masuk kedalam router melalui port 80, tidak peduli koneksi tersebut berasal dari alamat IP mana, selama koneksi tersebut masuk melalui port interface publik (dalam hal ini ether1) maka secara otomatis oleh router akan didrop. Sedangkan untuk koneksi yang berasal dari lokal area network maka tidak akan didrop.
Kesimpulan
Demikianlah tutorial cara mengatasi serangan hajime botnet dan chimay-red exploit pada router mikrotik, sehabis mempelajari ini semua saya harapkan sahabat sanggup memahami apa itu hajime botnet dan bagaimana langkah-langkah pencegahannya biar router sahabat lebih aman.Dalam penyusunan artikel ini, saya mengambil rujukan dari banyak sekali sumber, jadi apabila ada klarifikasi yang keliru mohon dimaafkan, sekiranya sahabat bersedia memperlihatkan kritik, saran dan masukan melalui kolom komentar, tentu saya akan sangat berterima kasih.
Akhir kata, semoga apa yang saya sampaikan ini sanggup bermanfaat untuk kita semua, terima kasih.
Sumber rujukan :
Belum ada Komentar untuk "Cara Mengatasi Serangan Hajime Botnet Dan Chimay-Red Exploit Di Router Mikrotik"
Posting Komentar