Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • Sathurbot Lumpuhkan Wordpres via Torrents
  • Teknologi

Sathurbot Lumpuhkan Wordpres via Torrents

3 min read

Credit image: Pixabay

Trojan backdoor Sathurbot memanfaatkan torrents sebagai media pengiriman dan mendistribusikan brute force ke akun administrator WordPress yang lemah. Pengembang malware Sathurbot sangat memahami bahwa masih banyak orang yang doyan mengunduh file gratisan, jadilah ini celah yang dieksploitasi untuk mendapatkan keuntungan.

Begitu banyaknya search engine yang menawarkan beragam link unduh tanpa perlu membayar memiliki resiko tersendiri, tidak ada yang gratis di dunia ini begitu kata pepatah di luar sana, dan itu benar adanya. Pengguna boleh saja mendapatkan apa pun yang diinginkan secara gratis tapi di balik itu semua ada bahaya yang menyertai.

Setiap kali mencari tautan film gratisan di peramban, semua subpages film mengarah ke file torrent yang sama, sementara semua subpages software mengarahkan ke file torrent yang lain. Ketika kita mulai torrenting di klien torrent favorit, kita akan menemukan file tersebut memiliki seed yang bagus dan semua terlihat legitimate.

Jika file torrent film diunduh, isinya akan menjadi file dengan ekstensi video yang disertai dengan codec pack installer, dan file teks penjelasan. Software torrent berisi executable installer jelas dan file teks kecil. Tujuan keduanya adalah untuk menarik korban untuk menjalankan executable yang memuat Sathurbot DLL.

Begitu pengguna menjalankan executable, kita akan disajikan pesan seperti berikut ini:

Dan saat kita sedang memikirkan apa pilihan yang akan diambil, di belakang layar hal yang buruk sedang terjadi secara diam-diam, tanpa disadari kita sudah menjadi bot dalam jaringan Sathurbot.

Pada startup, Sathurbot menggunakan query DNS untuk terhubung kembali dengan server C2. Respon yang diterima nantinya berupa catatan DNS TXT. Value hex string-nya kemudian didekripsi dan digunakan sebagai nama domain C2 untuk melaporkan status, pengambilan tugas dan untuk mendapatkan tautan ke pengunduhan malware lain.

Sathurbot dapat memperbarui dirinya sendiri, mengunduh dan menjalankan executable lainnya. ESET sebelumnya pernah melihat variasi malware lainnya seperti Boaxxe, KOvter dan Fleercivet, tetapi diyakini bahwa itu belum seluruhnya, kemungkinan masih ada yang lain.

Sathurbot kemudian melaporkan instalasi sukses bersama dengan port listening ke server C2. Secara berkala, ia juga melaporkan keadaan dirinya ke C2 bahwa ia masih bekerja dengan baik sambil terus menunggu tugas tambahan.

Web Crawler

Sathurbot dilengkapi dengan 5.000 lebih kata generik dasar yang secara acak dikombinasikan untuk membentuk 2-4 frase kata digunakan sebagai query string melalui mesin pencari Google, Bing dan Yandex.

Dari laman web di masing-masing URL hasil pencarian, dipilih 2-4 kata teks panjang (kali ini mungkin akan lebih bermakna karena dari teks nyata) dan digunakan untuk putaran berikutnya permintaan pencarian.

Terakhir, pengaturan kedua hasil pencarian (hingga tiga halaman pertama) yang dipanen untuk nama domain. Nama domain yang diekstraksi semua kemudian diperiksa untuk diciptakan oleh framework WordPress. Kuncinya di sini adalah untuk memeriksa respon untuk URL http://[domain_name]/wp-login.php.

Setelah laman indeks root domain diambil dan diperiksa untuk melihat adanya framework yang lain, karena mereka juga tertarik pada Drupal, Joomla, PHP-Nuke, phpFox dan DedeCMS.

Setelah startup, atau pada interval waktu tertentu, domain yang dipanen dikirim ke server C2 (domain yang berbeda digunakan dari apa yang digunakan untuk backdoor yang sudah di-hardcoded).

Serangan Password

Client sekarang siap mendapatkan daftar kredensial akses domain di-format sebagai login: password@domain untuk menyelidiki password. Bot yang berbeda dalam botnet Sathurbot akan mencoba kredensial login untuk situs yang sama.

Setiap bot hanya melakukan satu kali upaya login per situs dan terus bergerak. Rancangan ini membantu memastikan agar alamat IP bot di-blacklist dari situs yang menjadi target dan dapat mengunjungi situs itu kembali di masa depan.

Mendeteksi Malware

Admin web – Periksa Subpages tidak diketahui dan/atau direktori pada server. Jika mereka memiliki referensi apapun untuk torrent Download, periksa log untuk melihat adanya serangan dan mungkin backdoor.

Pengguna – Jalankan Wireshark dengan filter http.request tanpa web browser terbuka untuk melihat banyaknya request seperti GET/wp-login.php dan/atau POST /xmlrpc.php. Atau, memeriksa file atau entri registry yang tercantum di bagian IOC, di bawah ini. Bagi pengguna ESET tidak perlu kuatiir karena dilindungi dari ancaman ini pada beberapa tingkat.

Menghapus Malware

Admin Web – Ubah password, menghapus Subpages yang tidak berhubungan dengan situs, opsional menghapus dan mengembalikan situs dari back up.

Pengguna – Menggunakan file manager pihak ketiga untuk menemukan file .DLL yang dicurigai (perhatikan bahwa file dan direktori kadang memiliki ekstensi tersembunyi), buka Process Explorer atau Task Manager, matikan explorer.exe dan/atau rundll32.exe, hapus (karantina) DLL yang terinfeksi, reboot.

Sumber berita:

https://www.welivesecurity.com

Tags: anti virus super ringan ESET deteksi Ransomware Sathurbot Super Ringan

Continue Reading

Previous: Malware Android Manipulasi Plugin Framework
Next: Enkripsi, Teknologi Militer yang Menjadi Milik Umum

Related Stories

Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025
Ketika AI Memudahkan Penipuan Daring Ketika AI Memudahkan Penipuan Daring
5 min read
  • Sektor Personal
  • Teknologi

Ketika AI Memudahkan Penipuan Daring

June 23, 2025

Recent Posts

  • Keylogger Curi Kredensial di Server Microsoft Exchange
  • Dari ClickFix ke FileFix
  • Mengulas Teardrop Attack
  • Mode Incoqnito Fungsi dan Batasan
  • XSS Ancaman Tersembunyi di Webmail
  • Ratusan Malware di Github Incar Gamer dan Developer
  • Reinkarnasi Godfather Bikin Kacau Android
  • Ketika AI Memudahkan Penipuan Daring
  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Keylogger Curi Kredensial di Server Microsoft Exchange Keylogger Curi Kredensial di Server Microsoft Exchange
4 min read
  • Sektor Bisnis
  • Sektor Personal

Keylogger Curi Kredensial di Server Microsoft Exchange

June 26, 2025
Dari ClickFix ke FileFix Dari ClickFix ke FileFix
4 min read
  • Teknologi

Dari ClickFix ke FileFix

June 26, 2025
Mengulas Teardrop Attack Mengulas Teardrop Attack
4 min read
  • Sektor Bisnis
  • Sektor Personal

Mengulas Teardrop Attack

June 25, 2025
Mode Incoqnito Fungsi dan Batasan Mode Incoqnito Fungsi dan Batasan
5 min read
  • Teknologi

Mode Incoqnito Fungsi dan Batasan

June 24, 2025

Copyright © All rights reserved. | DarkNews by AF themes.