TROJAN dan CELAH PADA WordPress, ANCAM OPERASIONAL WEBSITE dan BLOG

 

Keamanan sudah pasti sangat penting bagi setiap website karena mewakili citra pemiliknya. Maka tidak mengherankan jika sebuah perusahaan ataupun seseorang pemilik website akan melakukan banyak hal dari mulai membuat sebaik mungkin, sampai melakukan maintenance demi websitenya tersebut.

Jika terdapat satu saja celah didalam theme maupun plugin maka akan berakibat pada kerusakan pada website. Dampak lanjutannya bisa mempengaruh operasional bisnis, terutama jika pada website tersebut juga terdapat fasilitas untuk transaksi keuangan secara online.

Salah satu contoh dapat dilihat pada gambar disamping, dimana sebuah website
berhasil diretas oleh pihak lain karena adanya kerentanan di WordPress.
Peretas berhasil memasukan advertising code kedalam website. Peretas melakukan
perusakan lebih jauh terhadap website karena ia bisa mengakses server website.
ESET Endpoint Security suite berhasil mendeteksi adanya virus pada website
setelah mencoba mencoba membuka web tersebut.

 

Resiko keamanan tidak hanya pada website bisnis, maupun website individu, bahkan  pada beberapa kasus, mengunjungi website  keamanan internet pun, berresiko terinfeksi. Salah satu website tersebut adalah zerosecurity.org. Jika Anda mengunjungi zerosecurity.org  belakangan ini, pada komputer pengguna ESET, website tersebut akan langsung diblok karena terdeteksi potensi Trojan. Seperti pada notifikasi pada tulisan ini”

Trojan maupun malware yang terdeteksi kemungkinan akan bervariasi, tetapi berasal dari keluarga malware yang sama. Sejauh ini, ESET mendeteksi beberapa trojan generic tersebut yang diperoleh dari beberapa website pada waktu yang berbeda. Trojan generic tersebut adalah :

1. JS/Iframe
2. JS/Kryptik
3. JS/Agent

 

Beberapa hal yang perlu digaris bawahi berkaitan dengan deteksi ancaman -yang telah menyebar- tersebut. Sebagai platform identifier (the part before “/”) suggests, adalah deteksi malicious JavaScript code. JS/Agent merupakan kelompok generic yang meliputi banyak varian. JS/Kryptik menjadi aplikasi jahat didalam JavaScripts yang difungsikan untuk :

1. Mencegah deteksi antivirus dengan cara men-generate varian-varian secara terus menerus yang sepertinya terlihat berbeda tetapi   semuanya menunjukkan perilaku yang sama.
2. Mangacaukan proses analisa sehingga untuk melakukan analisa membutuhkan deobfuscation, debugging atau emulation untuk bisa menemukan perilaku code yang sebenarnya.

JS/Iframe adalah identitas hasil deteksi terhadap ancaman yang ada di JavaScripts yang menginstall sebuah aplikasi yang biasanya tidak terlihat dan dikenal sebagai IFRAME. IFRAME tersebut difungsikan untuk mengalihkan user URL secara acak yang telah disediakan oleh pelaku.

Screenshot dibawah ini menunjukkan salah satu aplikasi jahat yang diinject di JavaScript dan terinstall di website yang telah terinfeksi :

 

 

Sebenarnya pemanfaatan dan tujuan injeksi IFRAME tergantung dari code dibalik URL yang sasaran, dan bisa sangat dinamis sifatnya. Biasanya teknik ini digunakan pada drive-by downloads, dimana user secara tidak sengaja akan mendownload dan menjalankan kode-kode jahat saat melakukan browsing, bahkan browsing di website yang resmi sekalipun.

Terinfeksi virus di dunia maya bisa terjadi pada siapa saja, seperti dua kasus diatas. Mengingat prevalensi ancaman tersebut, sasarannya tidak hanya terbatas pada sistem operasi pada komputer dan perangkat komunikasi, ancaman dunia maya secara spesifik menyerang WordPress dengan melakukan eksploit pada theme dan plugin untuk menemukan kerentanan WordPress.

Ancaman tersebut tampil dalam format HTML, sehingga mudah ditemui dan banyak terdapat di website-website yang telah terinfeksi. Selain itu juga ada yang berbentuk HTML emails, seperti yang ada didalam tiket pesawat terbang yang dikirimkan lewat e-mail pemesan.

 

 

Dapat dilihat pada screeshot diatas, pada e-mail palsu tertentu tidak menampilkan apa-apa setelah perintah “Loading … Please Wait….”. Sebenarnya tidak ada yang benar-benar baru pada modus e-mail tersebut yang menginfeksi sejak saat membuka e-mail.: script virus yang menginfeksi adalah dari jenis yang banyak dijumpai di akhir tahun 90an sampai awal 2000an. Selain itu juga terdapat threat yang mencoba melakukan exploit salah satu design flaw pada e-mail klien Microsoft yang menyebabkan terinfeksinya sebuah komputer bahkan ketika surat elektronik tersebut muncul di panel mailbox sekalipun mail tersebut tidak dibuka.

Yudhi Kukuh, Technical Consultant PT. Prosperita-ESET Indonesia menyampaikan ”Hasil deteksi tersebut dan juga hasil deteksi lainnya seperti HTML/ScrInject, yang berisi script dari kode jahat, keduanya berada pada peringkat atas dengan sebaran terluas dalam hal penyebaran malware dan ESET mengidentifikasinya dengan sistem perhitungan statistik Live Grid. Kondisi tersebut mengindikasikan bahwa proses infeksi terjadi dengan memaksakan script yang secara otomatis berjalan merupakan vektor utama penyebaran malware untuk saat ini”

“Saat ini terdapat ribuan theme dan plugin WordPress, tersedia di Internet dan selalu muncul yang baru setiap harinya. Jadi jangan sembarangan menginstall theme maupun plugin, pastikan terlebih dahulu theme dan plugin tersebut bersih sebelum diinstall” demikian ditambahkan Yudhi.