Apa Itu Rootkit

Ada banyak jenis virus yang berpotensi menyerang komputer yang kita miliki. Mungkin tidak banyak virus yang kita ketahui, nah kali ini, kita akan membahas tentang rootkit, yang merupakan salah satu jenis malware yang cukup berbahaya bagi komputer yang kita miliki. 

  Pengertian Rootkit

Rootkit adalah jenis malware komputer yang dibuat untuk menyembunyikan program atau proses komputer lainnya dari deteksi pengguna dan program perangkat lunak antivirus.

Setelah diinstal, rootkit biasanya akan mendapatkan izin administrator atau tingkat yang lebih tinggi pada komputer yang terinfeksi.

Meskipun rootkit berasal dengan sistem operasi UNIX dengan menyediakan akses root ke komponen perangkat lunak yang diinstal dengan malware, mereka dikembangkan untuk memberikan aktor yang berpotensi nakal dengan akses ke komputer yang menjalankan sistem operasi Windows dan Mac OS X.

  Cara Kerja Rootkit

Dua metode utama yang dapat dipasang rootkit secara manual oleh pengguna jahat setelah mendapatkan akses root atau admin ke komputer yang ditargetkan atau secara otomatis melalui perangkat lunak. Rootkit biasanya mendapatkan akses ke komputer dengan memanfaatkan kerentanan yang diketahui dalam sistem operasi, browser web, klien perpesanan instan, dll.

Atau dengan memecahkan kata sandi pengguna akhir. Setelah mendapatkan akses ke komputer, rootkit akan menggunakan akses administrator untuk menyembunyikan instalasi dan membuat modifikasi pada perangkat lunak antivirus yang diinstal untuk mencegahnya terdeteksi atau dihapus.

  Sejarah Rootkit

Pertama kali sebuah virus komputer didokumentasikan menargetkan komputer pribadi adalah virus Brain pada tahun 1986. Virus ini akan mengarahkan upaya untuk melihat atau membaca sektor boot ke salinan sektor boot asli yang disimpan di lokasi alternatif pada hard drive.

Seiring berjalannya waktu, metode penyelubungan untuk sistem operasi DOS akan mulai menggunakan panggilan interupsi (INT 13H BIOS khusus) untuk menyembunyikan keberadaan mereka dan modifikasi file OS yang mirip dengan cara kerja rootkit hari ini.

Virus ini bukanlah rootkit asli; namun, seiring istilah tersebut dikaitkan dengan malware yang menargetkan sistem operasi UNIX. Di UNIX, akses “admin” disebut sebagai akses “root” sedangkan muatan berbahaya dari malware disebut sebagai “kit.”

Kasus yang didokumentasikan pertama dari rootkit sebenarnya ditulis oleh Steven Dake dan Lane Davis pada tahun 1990 tentang atas nama Sun Microsystems untuk OS SunOS UNIX. Belakangan, Ken Thompson yang bekerja untuk Bell Labs pada saat itu dan merupakan salah satu penulis asli UNIX mengeksploitasi kompiler Unix C dalam distribusi publik OS yang sekarang dianggap setara dengan rootkit.

Rootkit pertama yang didokumentasikan untuk Windows NT dan sistem operasi yang lebih baru ditemukan pada tahun 1999. Itu adalah virus Trojan yang disebut NTRootkit dan diciptakan oleh Greg Hoglund. Ini diikuti oleh rootkit, HackerDefender pada tahun 2003 dan sejumlah rootkit yang dikembangkan sejak saat itu.

 Jenis Rootkit

Ada 5 jenis rootkit yang ada berdasarkan tingkat keamanan komputer yang digunakan malware untuk mendapatkan akses istimewa ke sistem komputasi. Jenis rootkit tersebut adalah sebagai berikut:

1). Rootkits Mode Pengguna

Rootkit mode pengguna beroperasi dalam menjalankan luar keamanan komputer pada komputer yang ditargetkan. Varian ini akan menggunakan kerentanan di berbagai API pada komputer yang ditargetkan untuk menginstal sendiri untuk memasukkan menginfeksi file .DLL pada Windows dan file .dylib pada Mac OS X.

2). Rootkit Mode Kernel

Rootkit tingkat kernel dapat menginfeksi hampir semua sistem operasi komputer untuk memasukkan Windows, Mac OS X, Linux, dan UNIX. Rootkit mode kernel sangat sulit untuk dideteksi dan kemudian dihapus karena tingkat keamanan mereka beroperasi.

3). Bootkit

Varian dari rootkit tingkat kernel disebut bootkit. Versi ini dirancang untuk menyerang sistem yang sepenuhnya dienkripsi. Dalam banyak kasus, bootkit sepenuhnya akan menggantikan boot loader komputer. Ini kemudian akan bertahan di komputer setelah kernel OS telah dimuat. Salah satu contoh dari jenis rootkit ini adalah Stoned Bootkit yang memuat bootloader.

4). Rootkit Tingkat Hypervisor

Terkadang akademisi mendemonstrasikan proyek bukti konsep untuk “membantu” sistem operasi dan pembuat perangkat lunak lain memperbaiki masalah keamanan. Rootkit tingkat hypervisor adalah salah satu kasus ini, di mana para peneliti telah secara terbuka menunjukkan kemampuan rootkit untuk mengeksploitasi fitur virtualisasi perangkat keras.

5). Rootkit Tingkat Perangkat Keras / Firmware

Rootkit tingkat perangkat keras biasanya memanfaatkan firmware perangkat untuk membuat jejak pada hard drive, BIOS sistem, atau kartu jaringan. Karena firmware biasanya tidak dianalisis oleh perangkat lunak pendeteksi rootkit, jenis rootkit ini bisa sangat sulit dideteksi.

  Cara Mendeteksi Rootkit

Kebanyakan rootkit sulit dideteksi karena dirancang untuk menghindari deteksi oleh sebagian besar program antivirus utama. Masalah lain dengan menentukan apakah komputer telah terinfeksi rootkit adalah jika sistem operasi telah ditumbangkan, pengguna tidak dapat memercayainya untuk menemukan modifikasi yang tidak sah ke kernel atau driver perangkat lain.

Bagi banyak orang, pengguna bahkan tidak dapat mempercayai melihat daftar proses komputer yang berjalan di komputer karena rootkit dapat menyembunyikan dirinya agar tidak dilihat.

Akibatnya, beberapa metode umum untuk mendeteksi infeksi rootkit meliputi: menjalankan program antivirus yang berbeda pada komputer yang dirancang untuk menemukan rootkit, menggunakan OS alternatif, metode deteksi rootkit berbasis perilaku, pemindaian berbeda, pemindaian tanda tangan, dan dump memori komputer analisis.

Rootkit tingkat kernel menimbulkan tantangan yang lebih sulit untuk dideteksi, dan mungkin memerlukan analisis Tabel Panggilan Sistem OS untuk menemukan fungsi terkait yang diungkit oleh rootkit.

Oke? Segitu Dulu Pengertian Rootkit Dari Saya!

Sampai Berjumpa Dipostingan Berikutnya :D