Cara Mengatasi Serangan Hajime Botnet Dan Chimay-Red Exploit Di Router Mikrotik

Cara Mengatasi Serangan Hajime Botnet dan Chimay-Red Exploit Di Router Mikrotik - Beberapa waktu yang kemudian saya sempat kaget alasannya yaitu ada beberapa router client saya yang pakai IP Public tiba-tiba saja konfigurasi DNSnya berubah sendiri, padahal saya sama sekali tidak mengubah-ubah konfigurasi DNS di router tersebut.

Kejadian ini gres saya ketahui ketika saya menerima complain dari client yang menyampaikan bahwa koneksinya mati total, begitu sanggup complain lantas saya eksklusif login ke router dan langkah pertama yang biasa saya lakukan yaitu menguji konektivitas jaringan dengan tool ping, saya coba test ping ke google.com tapi hasilnya domain google.com tidak dikenali oleh DNS, saya sempat heran alasannya yaitu secara link, router client saya sanggup terkoneksi ke router gateway.

Setelah saya cek konfigurasi DNS, alangkah kagetnya alasannya yaitu DNS yang semula menggunakan DNS saya sendiri tiba-tiba bermetamorfosis DNS yang tidak saya kenal, kemudian saya cek log, dan hasilnya mencengangkan menyerupai ini.

Dari screenshoot diatas sanggup dilihat ada log yang tertulis "dns changed by admin", yang artinya konfigurasi DNS diubah oleh user admin, user tersebut memang hanya saya dan rekan satu tim saja yang tahu, namun masalahnya bukan itu, kalau diperhatikan dengan teliti, user admin tersebut login dari alamat IP aneh yaitu 42.177.206.6.

Tentu saja alamat IP itu bukan berasal dari network saya, sehabis saya lookup ternyata alamat IP tersebut berasal dari china, artinya yaitu ? my router has been hacked !

Akhirnya case ini saya posting di group facebook mikrotik indonesia, ternyata, saya tidak sendirian, banyak member lain disana yang mengalami hal yang sama dengan saya, menurut tanggapan yang diberikan oleh member lain, bahwa pada beberapa versi routeros mikrotik terdapat bug pada service www yang digunakan oleh webfig, yaitu service yang memungkinan kita mengkonfigurasi router mikrotik melalui web browser.

Dari log yang saya sanggup pun memang memperlihatkan bahwa orang yang meretas router saya berhasil login melalui service web / www / webfig, akibatnya saya browsing untuk mencari rujukan mengenai case yang saya alami ketika ini.

Dan saya menemukan ini, ternyata tool hacking yang digunakan untuk mengeksploitasi router mikrotik yaitu bernama Hajime yaitu botnet yang semenjak 26 Maret 2018 kemudian sudah melaksanakan scanning besar-besaran diseluruh dunia.

The new Hajime variant has been scanning wide range of tcp ports since 2018-03-26. Now it scans 80, 81, 82, 8080, 8081, 8082, 8089, 8181, 8291 and 8880. We observe these scanning activities at out honeypots.@360Netlab @chudyPB

— Masafumi Negishi (@MasafumiNegishi) March 27, 2018

So the old Hajime botnet is coming back with a new exploit which was published only about 13 days ago ( https://t.co/UEAOTF4DiZ ), it also looks for some old exploits like tr-064 but nothing exciting there. https://t.co/vyIDU7CXpn

— 360 Netlab (@360Netlab) March 25, 2018

Menggunakan Chimay-Red untuk Menyerang Perangkat Mikrotik

Chimay Red merupakan sebuah bug yang terdapat pada routeros mikrotik versi 6.38.4 dan versi sebelumnya, melalui bug ini memungkinkan si attacker mengunggah payload menyerupai HIVE atau TinyShell ke router mikrotik sebelum menjalankan botnet hajime, dengan adanya bug ini maka memungkinkan attacker sanggup mengambil alih perangkat mikrotik yang ada di jaringan kita (Sumber : Vault 7 : CIA Hacking Tools Revealed)

Untuk versi routeros yang mempunyai celah keamanan pada service www disebutkan yaitu routeros versi 6.38.4 kebawah, pihak mikrotik pun sudah menghimbau penggunanya untuk melaksanakan upgrade routeros ke versi terbaru, atau setidaknya di atas v6.38.5.

It has come to our attention that a a mass scan for open ports 80/8291(Web/Winbox) is taking place. To be safe, firewall these ports and upgrade RouterOS devices to v6.41.3 (or at least, above v6.38.5)

— MikroTik (@mikrotik_com) March 27, 2018

Namun ternyata untuk routeros versi v6.41.x juga masih mempunyai celah keamanan pada service www, ini terbukti alasannya yaitu beberapa router mikrotik di jaringan saya yang sudah menggunakan versi v6.41.x juga berhasil diretas, berikut versi routeros pada jaringan saya yang berhasil diretas diantaranya yaitu : RouterOS versi v6.35.4, v6.36.2, v6.39.1, v6.39.2, v6.41, v6.41.2, v6.41.3.

Cara Kerja Botnet Hajime 

Botnet Hajime akan melaksanakan scan ke alamat IP (Public) sasaran dengan cara mengirimkan paket TCP SYN melalui port 8291 (port winbox), apabila dari alamat IP tersebut mengirimkan tanggapan berupa SYN ACK maka sanggup dipastikan bahwa alamat IP sasaran terpasang pada perangkat mikrotik.

Selanjutnya botnet hajime akan melaksanakan scanning untuk mendeteksi apakah diantara port 80,81,82,8080, 8081, 8089, 8181, 8080 statusnya open (terbuka) atau tidak, jikalau diantara port-port tersebut ada yang terbuka, selanjutnya bot akan mendeteksi versi routeros yang digunakan, kalau versi routeros yang digunakan merupakan versi routeros yang mempunyai vulnerability / celah keamanan pada service www, maka bot akan melaksanakan exploit.

Setelah router mikrotik berhasil diexploit dan shellcode sanggup dihukum maka botnet hajime akan didownload oleh router dan dijalankan, kalau sudah begitu maka attacker akan leluasa keluar masuk router. Untuk lebih jelasnya silahkan lihat gambar dibawah ini.

Source Image : www.bleepingcomputer.com

Cara Mengatasi Serangan Hajime Botnet Pada Router Mikrotik

Lalu bagaimana cara  mengatasi router yang sudah kadung diserang oleh botnet hajime ? Berikut beberapa langkah preventif yang sanggup dilakukan untuk mengamankan router sobat, diantaranya yaitu :

# 1. Mengubah username dan password

Apabila router teman sudah terkena serangan botnet hajime, langkah pertama yang sanggup teman coba yaitu dengan cara mengubah username dan juga password, saya sarankan teman menghapus username admin pada router dan menggantinya dengan username lain yang tidak umum.

# 2. Upgrade routeros

Setiap versi routeros terbaru yang dirilis oleh mikrotik tentu saja bukan tanpa alasan, setiap rilis versi routeros tentu saja dibarengi dengan penambahan fitur dan juga perbaikan fitur maupun bug yang sebelumnya terjadi, apalagi dengan adanya insiden serangan botnet hajime yang menjangkit perangkat mikrotik di aneka macam negara tentu saja pihak mikrotik tidak akan tinggal membisu begitu saja.

Kaprikornus sekali lagi, upgrade routeros mikrotik kau sob biar kondusif dan nyaman, kalau teman masih galau bagaimana cara upgrade routeros mikrotik, nih tutorialnya sudah saya buatkan.

: Tutorial cara upgrade routeros mikrotik

# 3. Disable service www 

Agar router mikrotik teman aman, ada baiknya teman mematikan semua service yang tidak diperlukan, contohnya saja service www, caranya klik hidangan IP > Services, kemudian disable service www port 80, dengan begitu service tersebut tidak akan sanggup dieksploitasi oleh attacker, namun kekurangannya teman juga tidak akan sanggup menggunakan service tersebut.

# 4. Memasang ACL (Access Control List)

Apabila service www port 80 masih teman perlukan untuk keperluan konfigurasi router melalui web browser, sebaiknya teman memasang ACL atau Access Control List, dengan ACL kita sanggup memilih sebuah service pada router hanya sanggup diakses dari alamat IP mana saja.

Caranya klik hidangan IP > Services, kemudian double klik service www, kemudian tentukan Available From dengan alamat IP yang akan diijinkan untuk mengakses service tersebut, dengan begitu maka setiap ada request masuk ke router melalui port 80 dari alamat IP yang sudah terdaftar, maka akan diaccept oleh router, selain itu maka akan di block / drop.

# 5. Memasang firewall filter

Cara mengamankan router mikrotik dari serangan hajime botnet yang terakhir yaitu dengan cara memasang rule filter pada firewall mikrotik, tujuannya yaitu untuk memblok semua koneksi yang masuk melalui port 80 kedalam router dari interface publik / interface WAN.

Caranya klik hidangan IP > Firewall > tab Filter Rules > klik tombol Add berwarna biru, kemudian buatlah satu rule sederhana menyerupai pola dibawah ini.

Rule filter diatas berfungsi untuk mendrop semua koneksi yang masuk kedalam router melalui port 80, tidak peduli koneksi tersebut berasal dari alamat IP mana, selama koneksi tersebut masuk melalui port interface publik (dalam hal ini ether1) maka secara otomatis oleh router akan didrop. Sedangkan untuk koneksi yang berasal dari lokal area network maka tidak akan didrop.

Kesimpulan

Demikianlah tutorial cara mengatasi serangan hajime botnet dan chimay-red exploit pada router mikrotik, sehabis mempelajari ini semua saya harapkan teman sanggup memahami apa itu hajime botnet dan bagaimana langkah-langkah pencegahannya semoga router teman lebih aman.

Dalam penyusunan artikel ini, saya mengambil rujukan dari aneka macam sumber, jadi apabila ada klarifikasi yang keliru mohon dimaafkan, sekiranya teman bersedia memperlihatkan kritik, saran dan masukan melalui kolom komentar, tentu saya akan sangat berterima kasih.

Akhir kata, semoga apa yang saya sampaikan ini sanggup bermanfaat untuk kita semua, terima kasih.


Sumber rujukan :

• https://github.com/BigNerd95/Chimay-Red/blob/master/docs/ChimayRed.pdf
• https://www.bleepingcomputer.com/news/security/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers/

Share this post