Cara Mendeteksi Rootkit Di Windows 10 (Panduan Mendalam)

Rootkit digunakan oleh peretas untuk menyembunyikan malware yang persisten dan tampaknya tidak terdeteksi di dalam perangkat Anda yang secara diam-diam akan mencuri data atau sumber daya, terkadang selama beberapa tahun. Mereka juga dapat digunakan dalam mode keylogger di mana penekanan tombol dan komunikasi Anda diawasi dengan memberikan informasi privasi kepada penonton.  

Metode peretasan khusus ini terlihat lebih relevan sebelum tahun 2006, sebelum Microsoft Vista mengharuskan vendor untuk menandatangani semua driver komputer secara digital. Perlindungan Patch Kernel(Kernel Patch Protection) ( KPP ) menyebabkan pembuat malware mengubah metode serangan mereka dan baru-baru ini pada tahun 2018 dengan operasi penipuan iklan Zacinlo(Zacinlo ad fraud operation) , rootkit kembali menjadi sorotan.

Rootkit sebelum tahun 2006 semuanya berbasis sistem operasi khusus. Situasi Zacinlo , rootkit dari keluarga malware Detrahere(Detrahere malware) , memberi kami sesuatu yang lebih berbahaya dalam bentuk rootkit berbasis firmware. Terlepas dari(Regardless) itu, rootkit hanya sekitar satu persen dari semua keluaran malware yang terlihat setiap tahun. 

Meski begitu, karena bahaya yang dapat mereka timbulkan, akan lebih bijaksana untuk memahami cara mendeteksi rootkit yang mungkin telah menyusup ke sistem Anda bekerja.

Mendeteksi Rootkit di Windows 10 ( In-Depth )

Zacinlo sebenarnya telah bermain selama hampir enam tahun sebelum ditemukan menargetkan platform Windows 10 . Komponen rootkit sangat dapat dikonfigurasi dan melindungi dirinya dari proses yang dianggap berbahaya bagi fungsinya dan mampu mencegat dan mendekripsi komunikasi SSL .

Itu akan mengenkripsi dan menyimpan semua data konfigurasinya di dalam Windows Registry dan, ketika Windows dimatikan, menulis ulang dirinya sendiri dari memori ke disk menggunakan nama yang berbeda, dan memperbarui kunci registrinya. Ini membantunya menghindari deteksi oleh perangkat lunak antivirus standar Anda.

Ini menunjukkan bahwa perangkat lunak antivirus atau antimalware standar tidak cukup untuk mendeteksi rootkit. Meskipun, ada beberapa program antimalware tingkat atas yang akan mengingatkan Anda akan kecurigaan serangan rootkit. 

5 Atribut Utama Perangkat Lunak Antivirus yang Bagus(The 5 Key Attributes Of a Good Antivirus Software)

Sebagian besar program antivirus terkemuka saat ini akan melakukan kelima metode penting ini untuk mendeteksi rootkit.

  • Analisis Berbasis Tanda Tangan(Signature-based Analysis) – Perangkat lunak antivirus akan membandingkan file yang dicatat dengan tanda tangan rootkit yang diketahui. Analisis juga akan mencari pola perilaku yang meniru aktivitas operasi tertentu dari rootkit yang diketahui, seperti penggunaan port yang agresif.
  • Deteksi Intersepsi(Interception Detection) – Sistem operasi Windows menggunakan tabel penunjuk untuk menjalankan perintah yang diketahui meminta rootkit untuk bertindak. Karena rootkit mencoba mengganti atau memodifikasi apa pun yang dianggap sebagai ancaman, ini akan memberi tahu sistem Anda tentang keberadaan mereka.
  • Perbandingan Data Multi-Sumber(Multi-Source Data Comparison)Rootkit(Rootkits) , dalam upaya mereka untuk tetap tersembunyi, dapat mengubah data tertentu yang disajikan dalam pemeriksaan standar. Hasil panggilan sistem tingkat tinggi dan rendah yang dikembalikan dapat menunjukkan keberadaan rootkit. Perangkat lunak juga dapat membandingkan memori proses yang dimuat ke dalam RAM dengan konten file pada hard disk.
  • Pemeriksaan Integritas(Integrity Check) – Setiap perpustakaan sistem memiliki tanda tangan digital yang dibuat pada saat sistem dianggap “bersih”. Perangkat lunak keamanan yang baik dapat memeriksa perpustakaan untuk setiap perubahan kode yang digunakan untuk membuat tanda tangan digital.
  • Perbandingan Registri(Registry Comparisons) – Sebagian besar program perangkat lunak antivirus memiliki ini pada jadwal yang telah ditentukan. File bersih akan dibandingkan dengan file klien, secara real-time, untuk menentukan apakah klien adalah atau berisi executable (.exe) yang tidak diminta.

Melakukan Pemindaian Rootkit(Performing Rootkit Scans)

Melakukan scan rootkit adalah upaya terbaik untuk mendeteksi infeksi rootkit. Paling sering sistem operasi Anda tidak dapat dipercaya untuk mengidentifikasi rootkit sendiri dan menghadirkan tantangan untuk menentukan keberadaannya. Rootkit adalah mata-mata utama, menutupi jejak mereka di hampir setiap belokan dan mampu tetap tersembunyi di depan mata.

Jika Anda menduga serangan virus rootkit telah terjadi pada mesin Anda, strategi yang baik untuk mendeteksinya adalah dengan mematikan komputer dan menjalankan pemindaian dari sistem bersih yang dikenal. Cara yang pasti untuk menemukan rootkit di dalam mesin Anda adalah melalui analisis dump memori. Rootkit tidak dapat menyembunyikan instruksi yang diberikannya ke sistem Anda saat menjalankannya di memori mesin.

Menggunakan WinDbg Untuk Analisis Malware(Using WinDbg For Malware Analysis)

Microsoft Windows telah menyediakan alat debugging multi-fungsinya sendiri yang dapat digunakan untuk melakukan pemindaian debugging pada aplikasi, driver, atau sistem operasi itu sendiri. Ini akan men-debug kernel-mode dan kode user-mode, membantu menganalisis crash dump, dan memeriksa register CPU .

Beberapa sistem Windows akan datang dengan WinDbg yang sudah dibundel. Mereka yang tidak perlu mengunduhnya dari Microsoft Store . Pratinjau WinDbg(WinDbg Preview) adalah versi WinDbg yang lebih modern , memberikan visual yang lebih mudah dilihat, jendela yang lebih cepat, skrip yang lengkap, dan perintah, ekstensi, dan alur kerja yang sama seperti aslinya.

Minimal, Anda dapat menggunakan WinDbg untuk menganalisis memori atau crash dump, termasuk Blue Screen Of Death ( BSOD ). Dari hasil tersebut, Anda dapat mencari indikator serangan malware. Jika Anda merasa bahwa salah satu program Anda mungkin terhalang oleh keberadaan malware, atau menggunakan lebih banyak memori daripada yang diperlukan, Anda dapat membuat file dump dan menggunakan WinDbg untuk membantu menganalisisnya.

Sebuah dump memori lengkap dapat mengambil ruang disk yang signifikan sehingga mungkin lebih baik untuk melakukan dump Kernel-Mode atau dump (Kernel-Mode)Memori(Memory) Kecil sebagai gantinya. Dump Kernel-Mode akan berisi semua informasi penggunaan memori oleh kernel pada saat crash. Dump Memori(Memory) Kecil akan berisi informasi dasar tentang berbagai sistem seperti driver, kernel, dan lainnya, tetapi sangat kecil jika dibandingkan.

Dump Memori(Memory) Kecil lebih berguna dalam menganalisis mengapa BSOD terjadi. Untuk mendeteksi rootkit, versi lengkap atau kernel akan lebih membantu.

Membuat File Dump Mode Kernel(Creating A Kernel-Mode Dump File)

File dump Kernel-Mode dapat dibuat dengan tiga cara:

  • Aktifkan file dump dari Control Panel untuk memungkinkan sistem mogok sendiri
  • Aktifkan file dump dari Control Panel untuk memaksa sistem mogok
  • Gunakan alat debugger untuk membuatnya untuk Anda

Kami akan pergi dengan pilihan nomor tiga. 

Untuk melakukan file dump yang diperlukan, Anda hanya perlu memasukkan perintah berikut ke dalam jendela Command WinDbg .

Ganti FileName dengan nama yang sesuai untuk file dump dan "?" dengan f . Pastikan bahwa "f" adalah huruf kecil atau Anda akan membuat jenis file dump yang berbeda.

Setelah debugger berjalan (pemindaian pertama akan memakan waktu beberapa menit), file dump akan dibuat dan Anda akan dapat menganalisis temuan Anda.

Memahami apa yang Anda cari, seperti penggunaan memori volatile ( RAM ), untuk menentukan keberadaan rootkit membutuhkan pengalaman dan pengujian. Dimungkinkan, meskipun tidak direkomendasikan untuk pemula, untuk menguji teknik penemuan malware pada sistem langsung. Untuk melakukan ini lagi-lagi dibutuhkan keahlian dan pengetahuan yang mendalam tentang cara kerja WinDbg agar tidak secara tidak sengaja menyebarkan virus hidup ke dalam sistem Anda.

Ada cara yang lebih aman dan ramah bagi pemula untuk mengungkap musuh kita yang tersembunyi dengan baik.

Metode Pemindaian Tambahan(Additional Scanning Methods)

Deteksi manual dan analisis perilaku juga merupakan metode yang andal untuk mendeteksi rootkit. Mencoba menemukan lokasi rootkit bisa sangat merepotkan, jadi, alih-alih menargetkan rootkit itu sendiri, Anda malah bisa mencari perilaku seperti rootkit.

Anda dapat mencari rootkit dalam bundel perangkat lunak yang diunduh dengan menggunakan opsi instal Lanjutan(Advanced) atau Kustom(Custom) selama instalasi. Yang perlu Anda cari adalah file asing yang tercantum dalam detailnya. File-file ini harus dibuang, atau Anda dapat melakukan pencarian cepat online untuk referensi apa pun ke perangkat lunak berbahaya.

Firewall dan laporan loggingnya adalah cara yang sangat efektif untuk menemukan rootkit. Perangkat lunak akan memberi tahu Anda jika jaringan Anda dalam pengawasan, dan harus mengkarantina unduhan yang tidak dapat dikenali atau mencurigakan sebelum penginstalan. 

Jika Anda menduga bahwa rootkit mungkin sudah ada di mesin Anda, Anda dapat mempelajari laporan logging firewall dan mencari perilaku yang tidak biasa.

Meninjau Laporan Logging Firewall(Reviewing Firewall Logging Reports)

Anda akan ingin meninjau laporan logging firewall Anda saat ini, membuat aplikasi open-source seperti IP Traffic Spy dengan kemampuan penyaringan log firewall, alat yang sangat berguna. Laporan akan menunjukkan kepada Anda apa yang perlu dilihat jika terjadi serangan. 

Jika Anda memiliki jaringan besar dengan firewall pemfilteran egress mandiri, IP Traffic Spy tidak diperlukan. Sebagai gantinya, Anda seharusnya dapat melihat paket masuk dan keluar ke semua perangkat dan workstation di jaringan melalui log firewall.

Baik Anda berada di lingkungan rumah atau bisnis kecil, Anda dapat menggunakan modem yang disediakan oleh ISP Anda atau, jika Anda memilikinya, firewall atau router pribadi untuk menarik log firewall. Anda akan dapat mengidentifikasi lalu lintas untuk setiap perangkat yang terhubung ke jaringan yang sama. 

Mungkin juga bermanfaat untuk mengaktifkan file Windows Firewall Log . Secara default, file log dinonaktifkan yang berarti tidak ada informasi atau data yang ditulis.

  • Untuk membuat file log, buka fungsi Run dengan menekan tombol Windows key + R .
  • Ketik wf.msc ke dalam kotak dan tekan Enter .

  • Di jendela Windows Firewall dan Advanced Security sorot "Windows Defender Firewall with Advanced Security on Local Computer" di menu sebelah kiri. Di menu paling kanan di bawah "Tindakan" klik Properties .

  • Di jendela dialog baru, navigasikan ke tab "Profil Pribadi" dan pilih Kustomisasi(Customize) , yang dapat ditemukan di bagian "Logging".

  • Jendela baru akan memungkinkan Anda untuk memilih seberapa besar file log untuk ditulis, ke mana Anda ingin mengirim file, dan apakah akan mencatat hanya paket yang hilang, koneksi yang berhasil, atau keduanya.

  • Paket yang dijatuhkan(Dropped) adalah paket yang diblokir Windows Firewall atas nama Anda.
  • Secara default, entri log Windows Firewall hanya akan menyimpan data 4MB terakhir dan dapat ditemukan di %SystemRoot%\System32\LogFiles\Firewall\Pfirewall.log
  • Ingatlah bahwa meningkatkan batas ukuran pada penggunaan data untuk log dapat memengaruhi kinerja komputer Anda.
  • Tekan OK setelah selesai.
  • Selanjutnya, ulangi langkah yang sama yang baru saja Anda lalui di tab "Profil Pribadi", hanya kali ini di tab "Profil Publik".
    • Log sekarang akan dibuat untuk koneksi publik dan pribadi. Anda dapat melihat file dalam editor teks seperti Notepad atau mengimpornya ke dalam spreadsheet.
    • Anda sekarang dapat mengekspor file log ke program pengurai basis data seperti IP Traffic Spy untuk memfilter dan mengurutkan lalu lintas untuk memudahkan identifikasi.

Awasi hal-hal yang tidak biasa dalam file log. Bahkan kesalahan sistem sekecil apa pun dapat mengindikasikan infeksi rootkit. Sesuatu di sepanjang garis penggunaan CPU atau bandwidth yang berlebihan saat Anda tidak menjalankan sesuatu yang terlalu menuntut, atau sama sekali, bisa menjadi petunjuk utama.



Virman Sirait

About the author

Saya seorang teknisi Windows 10 dan telah membantu individu dan bisnis memanfaatkan sistem operasi baru selama bertahun-tahun. Saya memiliki banyak pengetahuan tentang Microsoft Office, termasuk cara menyesuaikan tampilan dan mempersonalisasi aplikasi untuk pengguna yang berbeda. Selain itu, saya tahu cara menggunakan aplikasi Explorer untuk menjelajahi dan menemukan file dan folder di komputer saya.


Related posts