Perkakas akar
Rootkit atau perkakas akar adalah kumpulan peranti lunak yang bertujuan untuk menyembunyikan proses, berkas dan data sistem yang sedang berjalan dari sebuah sistem operasi tempat dia bernaung. Rootkit awalnya berupa aplikasi yang tidak berbahaya, tetapi belakangan ini telah banyak digunakan oleh peranti perusak yang ditujukan untuk membantu penyusup menjaga tindakan mereka yang ke dalam sistem agar tidak terlacak. Rootkit hadir di beragam sistem operasi seperti, Linux, Solaris dan Microsoft Windows. Rootkit ini sering mengubah bagian dari sistem operasi dan juga memasang dirinya sendiri sebagai penggerak atau modul inti.
Mendeteksi rootkit sulit karena rootkit mungkin dapat menumbangkan perangkat lunak yang dimaksudkan untuk menemukannya. Metode deteksi termasuk menggunakan sistem operasi alternatif dan tepercaya, metode berbasis perilaku, pemindaian tanda tangan, pemindaian perbedaan, dan analisis timbunan memori. Penghapusan bisa rumit atau hampir tidak mungkin, terutama dalam kasus di mana rootkit berada di kernel; penginstalan ulang sistem operasi mungkin merupakan satu-satunya solusi yang tersedia untuk masalah tersebut. Saat menangani rootkit firmware, penghapusan mungkin memerlukan penggantian perangkat keras, atau peralatan khusus.
Sejarah
[sunting | sunting sumber]Kata "rootkit" terdengar di telinga publik bermula pada skandal Sony BMG CD Copy Protection, di mana cakram padat yang dibuat Sony BMG music meletakkan sebuah rootkit di PC Microsoft Windows pada saat pengguna memutar cakram padat di komputer mereka. Sony sebelumnya tidak memperingatkan kepada pengguna akan hal ini di dalam cakram padat mereka maupun di dalam kemasannya.
Virus komputer yang pertama kali tercatat penyerang komputer pribadi, ditemukan pada tahun 1986, menggunakan teknik selubung untuk menyembunyikan diri: virus (c)Brain berupaya untuk mencegah pembacaan sektor but, dan mengarahkannya kemana pun pada cakram padat, dimana salinan asli dari sektor but disimpan.
Rootkit berbahaya pertama untuk sistem operasi Windows NT muncul pada 1999: sebuah trojan bernama NTRootkit dibuat oleh Greg Hoglund.[1] Itu kemudian diikuti oleh HackerDefender pada 2003.[2] Rootkit pertama yang menargetkan Mac OS X muncul 2009,[3] sedangkan worm Stuxnet adalah yang pertama menargetkan pengontrol logika terprogram (PLC).[4]
Deteksi
[sunting | sunting sumber]Masalah mendasar dengan mendeteksi rootkit adalah jika sistem operasi telah ditumbangkan, khususnya oleh rootkit tingkat kernel, tidak dapat dipercaya untuk menemukan modifikasi yang tidak sah pada dirinya sendiri atau komponennya.[5] Tindakan seperti meminta daftar proses yang sedang berjalan, atau daftar berkas dalam direktori, tidak dapat dipercaya untuk berperilaku seperti yang diharapkan.
Media terpercaya alternatif
[sunting | sunting sumber]Metode terbaik dan paling andal untuk mendeteksi rootkit tingkat sistem operasi adalah dengan mematikan komputer yang diduga terinfeksi, dan kemudian untuk memeriksa penyimpanannya dengan mem-boot dari media tepercaya alternatif (mis. sebuah CD-ROM atau USB flash drive "penyelamat").[6] Teknik ini efektif karena rootkit tidak dapat secara aktif menyembunyikan kehadirannya jika tidak berjalan.
Berdasarkan tanda tangan
[sunting | sunting sumber]Produk antivirus jarang menangkap semua virus dalam pengujian publik (tergantung pada apa yang digunakan dan sejauh mana), meskipun vendor perangkat lunak keamanan memasukkan deteksi rootkit ke dalam produk mereka. Haruskah rootkit mencoba bersembunyi selama pemindaian antivirus, sebuah detektor siluman mungkin menyadarinya; jika rootkit mencoba membongkar dirinya sendiri dari sistem untuk sementara, pendeteksian tanda tangan (atau "sidik jari") masih dapat menemukannya.[7] Pendekatan gabungan ini memaksa penyerang untuk menerapkan mekanisme serangan balik, atau rutinitas "retro", yang mencoba menghentikan program antivirus. Metode deteksi berbasis tanda tangan bisa efektif terhadap rootkit yang dipublikasikan dengan baik, tetapi kurang begitu terhadap rootkit root-kustom yang dibuat khusus.[8]
Timbunan memori
[sunting | sunting sumber]Memaksa timbunan penuh memori virtual akan menangkap rootkit aktif (atau dump kernel dalam kasus rootkit mode-kernel), memungkinkan analisis forensik luring dilakukan dengan debugger terhadap timbunan berkas yang dihasilkan, tanpa rootkit dapat mengambil tindakan apa pun untuk menyelubungi dirinya sendiri. Teknik ini sangat terspesialisasi, dan mungkin memerlukan akses ke kode sumber non-publik atau simbol debug.
Penghapusan
[sunting | sunting sumber]Penghapusan rootkit secara manual seringkali sangat sulit bagi pengguna komputer biasa,[9] tetapi sejumlah vendor perangkat lunak keamanan menawarkan alat untuk mendeteksi dan menghapus beberapa rootkit secara otomatis, biasanya sebagai bagian dari suite antivirus. Hingga 2005[update], Windows Malicious Software Removal Tool bulanan Microsoft mampu mendeteksi dan menghapus beberapa kelas rootkit.[10][11] Selain itu, Windows Defender Offline dapat menghapus rootkit, karena dijalankan dari lingkungan terpercaya sebelum sistem operasi dimulai.[12]
Referensi
[sunting | sunting sumber]- ^ Kesalahan pengutipan: Tag
<ref>
tidak sah; tidak ditemukan teks untuk ref bernamaHoglund
- ^ Kesalahan pengutipan: Tag
<ref>
tidak sah; tidak ditemukan teks untuk ref bernamaMcAfee1
- ^ Dai Zovi, Dino (2009-07-26). Advanced Mac OS X Rootkits (PDF). Blackhat. Endgame Systems. Diakses tanggal 2010-11-23.
- ^ "Stuxnet Introduces the First Known Rootkit for Industrial Control Systems". Symantec. 2010-08-06. Diakses tanggal 2010-12-04.
- ^ Davis, Michael A.; Bodmer, Sean; LeMasters, Aaron (2009-09-03). "Chapter 10: Rootkit Detection" (PDF). Hacking Exposed Malware & Rootkits: Malware & rootkits security secrets & solutions. New York: McGraw Hill Professional. ISBN 978-0-07-159118-8. Diarsipkan dari versi asli (PDF) tanggal 2012-03-08. Diakses tanggal 2023-05-28.
- ^ Harriman, Josh (2007-10-19). "A Testing Methodology for Rootkit Removal Effectiveness" (PDF). Dublin, Ireland: Symantec Security Response. Diarsipkan dari versi asli (PDF) tanggal 2009-10-07. Diakses tanggal 2010-08-17.
- ^ Steinberg, Joseph (June 9, 2021). "What You Need To Know About Keyloggers". bestantivirus.com. Diakses tanggal July 24, 2021.
- ^ Kesalahan pengutipan: Tag
<ref>
tidak sah; tidak ditemukan teks untuk ref bernamaMIT2
- ^ "Rootkits Part 2: A Technical Primer" (PDF). McAfee. 2007-04-03. Diarsipkan dari versi asli (PDF) tanggal 2008-12-05. Diakses tanggal 2010-08-17.
- ^ Dillard, Kurt (2005-08-03). "Rootkit battle: Rootkit Revealer vs. Hacker Defender".
- ^ "The Microsoft Windows Malicious Software Removal Tool helps remove specific, prevalent malicious software from computers that are running Windows 7, Windows Vista, Windows Server 2003, Windows Server 2008, or Windows XP". Microsoft. 2010-09-14.
- ^ Bettany, Andrew; Halsey, Mike (2017). Windows Virus and Malware Troubleshooting. Apress. hlm. 17. ISBN 9781484226070 – via Google Books.
Bacaan lanjutan
[sunting | sunting sumber]- Blunden, Bill (2009). The Rootkit Arsenal: Escape and Evasion in the Dark Corners of the System. Wordware. ISBN 978-1-59822-061-2.
- Hoglund, Greg; Butler, James (2005). Rootkits: Subverting the Windows Kernel. Addison-Wesley Professional. ISBN 978-0-321-29431-9.
- Grampp, F. T.; Morris, Robert H. Sr. (October 1984). "The UNIX System: UNIX Operating System Security". AT&T Bell Laboratories Technical Journal. 62 (8): 1649–1672. doi:10.1002/j.1538-7305.1984.tb00058.x.
- Kong, Joseph (2007). Designing BSD Rootkits. No Starch Press. ISBN 978-1-59327-142-8.
- Veiler, Ric (2007). Professional Rootkits. Wrox. ISBN 978-0-470-10154-4.
Pranala luar
[sunting | sunting sumber]- Media tentang Rootkits di Wikimedia Commons