Apa Itu Rootkit?

Ada banyak jenis virus yang berpotensi menyerang komputer yang kita miliki. Mungkin tidak banyak virus yang kita ketahui, nah kali ini, kita akan membahas tentang rootkit, yang merupakan salah satu jenis malware yang cukup berbahaya bagi komputer yang kita miliki. Yuk, langsung simak saja penjelasannya di dalam artikel yang sudah ada  di bawah ini!

Apa Itu Rootkit?

Pengertian Rootkit

Rootkit adalah jenis malware komputer yang dibuat untuk menyembunyikan program atau proses komputer lainnya dari deteksi pengguna dan program perangkat lunak antivirus.

Setelah diinstal, rootkit biasanya akan mendapatkan izin administrator atau tingkat yang lebih tinggi pada komputer yang terinfeksi. Baca Juga: Apa itu Query?

Meskipun rootkit berasal dengan sistem operasi UNIX dengan menyediakan akses root ke komponen perangkat lunak yang diinstal dengan malware, mereka dikembangkan untuk memberikan aktor yang berpotensi nakal dengan akses ke komputer yang menjalankan sistem operasi Windows dan Mac OS X.

Cara Kerja Rootkit

Dua metode utama yang dapat dipasang rootkit secara manual oleh pengguna jahat setelah mendapatkan akses root atau admin ke komputer yang ditargetkan atau secara otomatis melalui perangkat lunak. Rootkit biasanya mendapatkan akses ke komputer dengan memanfaatkan kerentanan yang diketahui dalam sistem operasi, browser web, klien perpesanan instan, dll.

Atau dengan memecahkan kata sandi pengguna akhir. Setelah mendapatkan akses ke komputer, rootkit akan menggunakan akses administrator untuk menyembunyikan instalasi dan membuat modifikasi pada perangkat lunak antivirus yang diinstal untuk mencegahnya terdeteksi atau dihapus.

Sejarah Rootkit

Pertama kali sebuah virus komputer didokumentasikan menargetkan komputer pribadi adalah virus Brain pada tahun 1986. Virus ini akan mengarahkan upaya untuk melihat atau membaca sektor boot ke salinan sektor boot asli yang disimpan di lokasi alternatif pada hard drive.

Seiring berjalannya waktu, metode penyelubungan untuk sistem operasi DOS akan mulai menggunakan panggilan interupsi (INT 13H BIOS khusus) untuk menyembunyikan keberadaan mereka dan modifikasi file OS yang mirip dengan cara kerja rootkit hari ini.

Virus ini bukanlah rootkit asli; namun, seiring istilah tersebut dikaitkan dengan malware yang menargetkan sistem operasi UNIX. Di UNIX, akses “admin” disebut sebagai akses “root” sedangkan muatan berbahaya dari malware disebut sebagai “kit.”

Kasus yang didokumentasikan pertama dari rootkit sebenarnya ditulis oleh Steven Dake dan Lane Davis pada tahun 1990 tentang atas nama Sun Microsystems untuk OS SunOS UNIX. Belakangan, Ken Thompson yang bekerja untuk Bell Labs pada saat itu dan merupakan salah satu penulis asli UNIX mengeksploitasi kompiler Unix C dalam distribusi publik OS yang sekarang dianggap setara dengan rootkit.

Rootkit pertama yang didokumentasikan untuk Windows NT dan sistem operasi yang lebih baru ditemukan pada tahun 1999. Itu adalah virus Trojan yang disebut NTRootkit dan diciptakan oleh Greg Hoglund. Ini diikuti oleh rootkit, HackerDefender pada tahun 2003 dan sejumlah rootkit yang dikembangkan sejak saat itu.

Apa Itu Rootkit?

Jenis Rootkit

Ada lima jenis rootkit yang ada berdasarkan tingkat keamanan komputer yang digunakan malware untuk mendapatkan akses istimewa ke sistem komputasi. Jenis rootkit tersebut adalah sebagai berikut:

  • Rootkits Mode Pengguna
Rootkit mode pengguna beroperasi dalam menjalankan luar keamanan komputer pada komputer yang ditargetkan. Varian ini akan menggunakan kerentanan di berbagai API pada komputer yang ditargetkan untuk menginstal sendiri untuk memasukkan menginfeksi file .DLL pada Windows dan file .dylib pada Mac OS X.

Akibatnya, mereka dapat mengeksekusi dalam proses komputer yang terinfeksi atau menimpa memori. dari aplikasi yang ditargetkan. Rootkit tingkat pengguna juga akan memonitor setiap program yang berusaha memperbarui atau menambal proses komputer yang terinfeksi dan mencegah tindakan ini untuk memastikan mereka tetap aktif di komputer yang ditargetkan.

  • Rootkit Mode Kernel

Rootkit mode kernel mendapatkan tingkat akses tertinggi pada komputer yang ditargetkan dengan mengganti bagian-bagian dari sistem operasi inti dan driver perangkat. Mayoritas OS mendukung driver perangkat tingkat kernel yang menyediakan sarana bagi rootkit untuk menginfeksi sistem.

Rootkit tingkat kernel dapat menginfeksi hampir semua sistem operasi komputer untuk memasukkan Windows, Mac OS X, Linux, dan UNIX. Rootkit mode kernel sangat sulit untuk dideteksi dan kemudian dihapus karena tingkat keamanan mereka beroperasi.

Setelah terinstal, malware kemudian dapat memodifikasi struktur data kernel Windows untuk membantu menyelubungi dirinya menggunakan eksploitasi modifikasi objek kernel langsung. Jika ditemukan dan dihapus, banyak rootkit akan melakukan kerusakan yang cukup besar pada sistem operasi sehingga mengharuskan memuat ulang OS untuk mendapatkan kembali fungsionalitas sistem penuh.

Apa Itu Rootkit?

  • Bootkit
Varian dari rootkit tingkat kernel disebut bootkit. Versi ini dirancang untuk menyerang sistem yang sepenuhnya dienkripsi. Dalam banyak kasus, bootkit sepenuhnya akan menggantikan boot loader komputer. Ini kemudian akan bertahan di komputer setelah kernel OS telah dimuat. Salah satu contoh dari jenis rootkit ini adalah Stoned Bootkit yang memuat bootloader.

Boot loader ini memotong kata sandi dan kunci enkripsi pengguna akhir untuk lebih lanjut menginfeksi komputer yang ditargetkan. Versi terbaru dari varian Bootkit adalah rootkit Alureon yang menargetkan sistem operasi Windows. Alureon menyerang OS 64 bit Windows dengan menghapus persyaratan untuk masuk driver melalui modifikasi catatan boot master di komputer.

  • Rootkit Tingkat Hypervisor
Terkadang akademisi mendemonstrasikan proyek bukti konsep untuk “membantu” sistem operasi dan pembuat perangkat lunak lain memperbaiki masalah keamanan. Rootkit tingkat hypervisor adalah salah satu kasus ini, di mana para peneliti telah secara terbuka menunjukkan kemampuan rootkit untuk mengeksploitasi fitur virtualisasi perangkat keras.

Setelah diinstal pada komputer target, rootkit jenis ini akan meng-host sistem operasi sebagai mesin virtual yang memungkinkannya untuk mencegat semua panggilan perangkat keras yang dibuat oleh OS yang awalnya diinstal. Rootkit hypervisor tidak harus memodifikasi kernel OS untuk menumbangkannya dalam contoh ini.

Salah satu contoh akademis dari rootkit ini adalah rootkit laboratorium SubVirt yang dikembangkan dalam koordinasi antara University of Michigan dan Microsoft Corporation pada tahun 2009.

  • Rootkit Tingkat Perangkat Keras / Firmware
Rootkit tingkat perangkat keras biasanya memanfaatkan firmware perangkat untuk membuat jejak pada hard drive, BIOS sistem, atau kartu jaringan. Karena firmware biasanya tidak dianalisis oleh perangkat lunak pendeteksi rootkit, jenis rootkit ini bisa sangat sulit dideteksi.

Salah satu contoh rootkit tingkat perangkat keras yang diakui publik adalah pada akhir 2008 di Eropa. Dalam kasus ini, sekelompok penjahat dapat menginfeksi sejumlah besar mesin baca kartu kredit. Mesin-mesin ini akan mengirimkan rincian kartu kredit pelanggan ketika digesek di bisnis yang sah kepada pelaku jahat untuk penggunaan kriminal.

Sejak itu, rootkit tingkat firmware telah dikembangkan yang dapat bertahan dari pemasangan ulang sistem operasi.

Cara Mendeteksi Rootkit

Kebanyakan rootkit sulit dideteksi karena dirancang untuk menghindari deteksi oleh sebagian besar program antivirus utama. Masalah lain dengan menentukan apakah komputer telah terinfeksi rootkit adalah jika sistem operasi telah ditumbangkan, pengguna tidak dapat memercayainya untuk menemukan modifikasi yang tidak sah ke kernel atau driver perangkat lain.

Bagi banyak orang, pengguna bahkan tidak dapat mempercayai melihat daftar proses komputer yang berjalan di komputer karena rootkit dapat menyembunyikan dirinya agar tidak dilihat.

Akibatnya, beberapa metode umum untuk mendeteksi infeksi rootkit meliputi: menjalankan program antivirus yang berbeda pada komputer yang dirancang untuk menemukan rootkit, menggunakan OS alternatif, metode deteksi rootkit berbasis perilaku, pemindaian berbeda, pemindaian tanda tangan, dan dump memori komputer analisis.

Rootkit tingkat kernel menimbulkan tantangan yang lebih sulit untuk dideteksi, dan mungkin memerlukan analisis Tabel Panggilan Sistem OS untuk menemukan fungsi terkait yang diungkit oleh rootkit.

Kesimpulan

Setelah membaca artikel yang ada di atas, kita jadi tahu bahwa rootkit merupakan malware yang dapat merusak komputer yang kita miliki bahkan tanpa kita sadari. Selain itu, artikel di atas juga sudah menjelaskan tentang sejarah dan hal lain yang berkaitan dengan rootkit. Semoga penjelasan yang ada bisa bermanfaat untuk menambah wawasan tentang malware yang satu ini, ya, sobat!

Add comment