Rootkit dan Deteksinya

Rootkit dan Deteksinya







      Rootkit adalah software yang dibuat untuk mampu menyembunyikan proses, file dan data
dari sistem yang sedang berjalan pada sebuah sistem operasi tempat program tersebut berada.
Teknologi rootkit pada awalnya dimanfaatkan untuk melakukan bypass sehingga user bisa
langsung masuk ke root (administrator dalam komputer sistem UNIX) yang dapat
dimanfaatkan bila pengguna komputer lupa terhadap password rootnya. Pada
perkembangannya rootkit dimanfaatkan juga oleh malware untuk mampu bersembunyi dari
deteksi anti virus.

      Biasanya para penyerang akan menginstall rootkit pada komputer korban begitu mereka telah
mendapatkan level akses terhadap root di komputer tersebut. Selanjutnya dengan berbekal
kelemahan sistem yang sudah diketahui maka para penyerang dapat melakukan apa saja
terhadap sistem komputer yang dikuasainya tersebut, misalnya mencuri password yang ada di
komputer korban.

     Instalasi rootkit ini membuat para penyerang memiliki hak akses terhadap sistem komputer
tersebut dan mampu masuk dengan cara normal melalui mekanisme autentikasi dan autorisasi
yang wajar. Rootkit memiliki cara kerja yang hampir sama dengan malware lainnya seperti
mampu bersembunyi dari proses sistem komputer dan bahkan mampu mencuri password
meskipun tidak sebagai administrator yang sah.
Rootkit sendiri terbagi menjadi beberapa macam jenis, antara lain:

1.        Application Rootkit, merupakan rootkit yang dibuat dengan modifikasi dari kode
binary sebuah aplikasi secara langsung (binary code patching). Biasanya terdapat
pada Trojan yang menginfeksi komputer dengan cara menumpangi file lain.

2.       Library Rootkit, rootkit yang menyamar sebagai file library untuk menyulitkan
deteksi terhadapnya dan mengelabui user dengan menyamar menjadi file yang biasa
dan tidak menimbulkan kecurigaan.

3.       Kernel Rootkit, rootkit yang berjalan pada level kernel atau dikenal dengan istilah
ring 0 sebagai modus yang tak terproteksi sehingga dapat dengan aman dalam
melakukan serangan dan menghindari deteksi anti virus.

4.       Bootloader Rootkit, jenis ini biasanya menempati MBR (Master Boot Records)
sehingga dapat mengendalikan proses booting sistem operasi. Biasanya juga dikenal
sebagai bootkit atau ‘Evil Maid Attack”.

 5.       Hypervisor Level Rootkit, rookit ini mampu memvirtualisasi sistem operasi asli
sehingga menjadi guest operating system pada sistem operasi yang ada. Rootkit ini
mampu mengambi alih semua kendali pada sistem operasi. Contoh rootkit yang
berbasis virtual adalah SubVirt.

6.       BIOS Rootkit, disebut juga firmware rootkit. Merupakan jenis yang berbahaya
karena berada pada lingkungan paling dalam yaitu firmware. Rootkit ini langsung
aktif saat komputer mulai melakukan inisialisasi.
Selain dimanfaatkan sebagai malware rootkit juga dimanfaatkan untuk hal yang bermanfaat
yaitu: pemanfaatan perilaku rootkit sebagai anti virus, firewall, software protection, DRM
(Digital Right Management), aplikasi virtual keping cakram (Daemon Tool).
Deteksi Rootkit

      Pada prinsipnya rootkit sangat sulit untuk dideteksi, kemampuannya dalam bersembunyi dari
proses komputer membuat ia sulit untuk dideteksi oleh anti virus. Metode deteksi anti virus
kebanyakkan tidak sesuai dengan aktivitas yang dilakukan oleh rootkit. Deteksi rootkit
menjadi semakin sulit dideteksi karena kebanyakkan rootkit hanya menempati sistem
komputer tanpa melakukan perilaku yang dinilai dapat merugikan.
Saat ini banyak ditemukan anti virus yang juga mampu mendeteksi keberadaan rootkit pada
sistem komputer. Meski demikian biasanya untuk mendeteksi keberadaan rootkit dibutuhkan
tools khusus yang sengaja dibuat untuk medeteksi rootkit.
Beberapa tools khusus rootkit detector pada Unix adalah Zeppoo, chkrootkit, rkthunter dan
OSSEC. Untuk Windows bisa menggunakan Microsof Sysinternals Rootkit Revealer, Avast!
Anti virus, Sophos Anti-Rootkit, F-Secure Blacklight dan Radix. Sekalipun begitu banyak
rootkit yang sengaja dirancang untuk mampu tidak terdeteksi dari anti virus maupun firewall.