Beberapa waktu yang lalu saya sempat kaget karena ada beberapa router client saya yang pakai IP Public tiba-tiba saja konfigurasi DNSnya berubah sendiri, padahal saya sama sekali tidak mengubah-ubah konfigurasi DNS di router tersebut.
Kejadian ini baru saya ketahui ketika saya mendapat complain dari client yang mengatakan bahwa koneksinya mati total, begitu dapat complain lantas saya langsung login ke router dan langkah pertama yang biasa saya lakukan yaitu menguji konektivitas jaringan dengan tool ping, saya coba test ping ke google.com tapi hasilnya domain google.com tidak dikenali oleh DNS, saya sempat heran karena secara link, router client saya dapat terkoneksi ke router gateway.
Setelah saya cek konfigurasi DNS, alangkah kagetnya karena DNS yang semula memakai DNS saya sendiri tiba-tiba berubah menjadi DNS yang tidak saya kenal, lalu saya cek log, dan hasilnya mencengangkan seperti ini.
Dari screenshoot diatas bisa dilihat ada log yang tertulis "dns changed by admin", yang artinya konfigurasi DNS diubah oleh user admin, user tersebut memang hanya saya dan rekan satu tim saja yang tahu, namun masalahnya bukan itu, kalau diperhatikan dengan teliti, user admin tersebut login dari alamat IP asing yaitu 42.177.206.6.
Tentu saja alamat IP itu bukan berasal dari network saya, setelah saya lookup ternyata alamat IP tersebut berasal dari china, artinya adalah ? my router has been hacked !
Akhirnya case ini saya posting di group facebook mikrotik indonesia, ternyata, saya tidak sendirian, banyak member lain disana yang mengalami hal yang sama dengan saya, berdasarkan jawaban yang diberikan oleh member lain, bahwa pada beberapa versi routeros mikrotik terdapat bug pada service www yang digunakan oleh webfig, yaitu service yang memungkinan kita mengkonfigurasi router mikrotik melalui web browser.
Dari log yang saya dapat pun memang menunjukkan bahwa orang yang meretas router saya berhasil login melalui service web / www / webfig, akhirnya saya browsing untuk mencari referensi mengenai case yang saya alami saat ini.
Dan saya menemukan ini, ternyata tool hacking yang dipakai untuk mengeksploitasi router mikrotik yaitu bernama Hajime yaitu botnet yang sejak 26 Maret 2018 lalu sudah melakukan scanning besar-besaran diseluruh dunia.
Menggunakan Chimay-Red untuk Menyerang Perangkat Mikrotik
Chimay Red merupakan sebuah bug yang terdapat pada routeros mikrotik versi 6.38.4 dan versi sebelumnya, melalui bug ini memungkinkan si attacker mengunggah payload seperti HIVE atau TinyShell ke router mikrotik sebelum menjalankan botnet hajime, dengan adanya bug ini maka memungkinkan attacker dapat mengambil alih perangkat mikrotik yang ada di jaringan kita (Sumber : Vault 7 : CIA Hacking Tools Revealed)
Untuk versi routeros yang memiliki celah keamanan pada service www disebutkan yaitu routeros versi 6.38.4 kebawah, pihak mikrotik pun sudah menghimbau penggunanya untuk melakukan upgrade routeros ke versi terbaru, atau setidaknya di atas v6.38.5.
Cara Kerja Botnet Hajime
Botnet Hajime akan melakukan scan ke alamat IP (Public) target dengan cara mengirimkan paket TCP SYN melalui port 8291 (port winbox), apabila dari alamat IP tersebut mengirimkan jawaban berupa SYN ACK maka bisa dipastikan bahwa alamat IP target terpasang pada perangkat mikrotik.
Selanjutnya botnet hajime akan melakukan scanning untuk mendeteksi apakah diantara port 80,81,82,8080, 8081, 8089, 8181, 8080 statusnya open (terbuka) atau tidak, jika diantara port-port tersebut ada yang terbuka, selanjutnya bot akan mendeteksi versi routeros yang digunakan, kalau versi routeros yang digunakan merupakan versi routeros yang memiliki vulnerability / celah keamanan pada service www, maka bot akan melakukan exploit.
Setelah router mikrotik berhasil diexploit dan shellcode dapat dieksekusi maka botnet hajime akan didownload oleh router dan dijalankan, kalau sudah begitu maka attacker akan leluasa keluar masuk router. Untuk lebih jelasnya silahkan lihat gambar dibawah ini.
Source Image : www.bleepingcomputer.com
Cara Mengatasi Serangan Hajime Botnet Pada Router Mikrotik
Lalu bagaimana cara mengatasi router yang sudah kadung diserang oleh botnet hajime ? Berikut beberapa langkah preventif yang bisa dilakukan untuk mengamankan router sobat, diantaranya yaitu :
# 1. Mengubah username dan password
Apabila router sobat sudah terkena serangan botnet hajime, langkah pertama yang bisa sobat coba yaitu dengan cara mengubah username dan juga password, saya sarankan sobat menghapus username admin pada router dan menggantinya dengan username lain yang tidak umum.
# 2. Upgrade routeros
Setiap versi routeros terbaru yang dirilis oleh mikrotik tentu saja bukan tanpa alasan, setiap rilis versi routeros tentu saja dibarengi dengan penambahan fitur dan juga perbaikan fitur maupun bug yang sebelumnya terjadi, apalagi dengan adanya kejadian serangan botnet hajime yang menjangkit perangkat mikrotik di berbagai negara tentu saja pihak mikrotik tidak akan tinggal diam begitu saja.
Jadi sekali lagi, upgrade routeros mikrotik kamu sob biar aman dan nyaman, kalau sobat masih bingung bagaimana cara upgrade routeros mikrotik, nih tutorialnya sudah saya buatkan.
# 3. Disable service www
Agar router mikrotik sobat aman, ada baiknya sobat mematikan semua service yang tidak diperlukan, misalnya saja service www, caranya klik menu IP ~> Services, lalu disable service www port 80, dengan begitu service tersebut tidak akan bisa dieksploitasi oleh attacker, namun kekurangannya sobat juga tidak akan bisa menggunakan service tersebut.
# 4. Memasang ACL (Access Control List)
Apabila service www port 80 masih sobat perlukan untuk keperluan konfigurasi router melalui web browser, sebaiknya sobat memasang ACL atau Access Control List, dengan ACL kita bisa menentukan sebuah service pada router hanya bisa diakses dari alamat IP mana saja.
Caranya klik menu IP ~> Services, lalu double klik service www, kemudian tentukan Available From dengan alamat IP yang akan diijinkan untuk mengakses service tersebut, dengan begitu maka setiap ada request masuk ke router melalui port 80 dari alamat IP yang sudah terdaftar, maka akan diaccept oleh router, selain itu maka akan di block / drop.
# 5. Memasang firewall filter
Cara mengamankan router mikrotik dari serangan hajime botnet yang terakhir yaitu dengan cara memasang rule filter pada firewall mikrotik, tujuannya yaitu untuk memblok semua koneksi yang masuk melalui port 80 kedalam router dari interface publik / interface WAN.
Caranya klik menu IP ~> Firewall ~> tab Filter Rules ~> klik tombol Add berwarna biru, lalu buatlah satu rule sederhana seperti contoh dibawah ini.
Rule filter diatas berfungsi untuk mendrop semua koneksi yang masuk kedalam router melalui port 80, tidak peduli koneksi tersebut berasal dari alamat IP mana, selama koneksi tersebut masuk melalui port interface publik (dalam hal ini ether1) maka secara otomatis oleh router akan didrop. Sedangkan untuk koneksi yang berasal dari lokal area network maka tidak akan didrop.
Kesimpulan
Demikianlah tutorial cara mengatasi serangan hajime botnet dan chimay-red exploit pada router mikrotik, setelah mempelajari ini semua saya harapkan sobat bisa memahami apa itu hajime botnet dan bagaimana langkah-langkah pencegahannya agar router sobat lebih aman.
Dalam penyusunan artikel ini, saya mengambil referensi dari berbagai sumber, jadi apabila ada penjelasan yang keliru mohon dimaafkan, sekiranya sobat bersedia memberikan kritik, saran dan masukan melalui kolom komentar, tentu saya akan sangat berterima kasih.
Akhir kata, semoga apa yang saya sampaikan ini dapat bermanfaat untuk kita semua, terima kasih.
Sumber referensi :
- https://github.com/BigNerd95/Chimay-Red/blob/master/docs/ChimayRed.pdf
- https://www.bleepingcomputer.com/news/security/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers/
- https://www.dodiventuraz.net/2018/05/cara-mengatasi-serangan-hajime-botnet-dan-chimay-red-exploit-di-router-mikrotik.html
Tidak ada duitisasi dengan Ilmu..