Apa itu Rootkit? Bagaimana cara kerja Rootkit? Rootkit menjelaskan.

Meskipun mungkin untuk menyembunyikan malware dengan cara yang akan menipu bahkan produk antivirus/antispyware tradisional, sebagian besar program malware sudah menggunakan rootkit untuk bersembunyi jauh di PC Windows Anda … dan mereka semakin berbahaya! Rootkit DL3(DL3) adalah salah satu rootkit paling canggih yang pernah ada di alam liar. Rootkit stabil dan dapat menginfeksi sistem operasi Windows 32 bit ; meskipun hak administrator diperlukan untuk menginstal infeksi dalam sistem. Tetapi TDL3 sekarang telah diperbarui dan sekarang dapat menginfeksi Windows versi 64-bit(even 64-bit versions  Windows) !

Apa itu Rootkit?

virus

Virus Rootkit adalah jenis malware  sembunyi-sembunyi yang dirancang untuk menyembunyikan keberadaan proses atau program tertentu di komputer Anda dari metode deteksi biasa, sehingga memungkinkannya atau proses berbahaya lainnya mengakses komputer Anda.

Rootkit untuk Windows(Rootkits for Windows) biasanya digunakan untuk menyembunyikan perangkat lunak berbahaya dari, misalnya, program antivirus. Ini digunakan untuk tujuan jahat oleh virus, worm, backdoor, dan spyware. Sebuah virus dikombinasikan dengan rootkit menghasilkan apa yang dikenal sebagai virus siluman penuh. Rootkit lebih umum di bidang spyware, dan sekarang juga menjadi lebih umum digunakan oleh pembuat virus juga.

Mereka sekarang merupakan jenis Super Spyware yang bersembunyi secara efektif & berdampak langsung pada kernel sistem operasi. Mereka digunakan untuk menyembunyikan keberadaan objek berbahaya seperti trojan atau keylogger di komputer Anda. Jika ancaman menggunakan teknologi rootkit untuk menyembunyikannya, sangat sulit untuk menemukan malware di PC Anda.

Rootkit itu sendiri tidak berbahaya. Satu-satunya tujuan mereka adalah untuk menyembunyikan perangkat lunak dan jejak yang tertinggal di sistem operasi. Apakah ini perangkat lunak normal atau program malware.

Pada dasarnya ada tiga jenis Rootkit . Jenis pertama, " Rootkit Kernel(Kernel Rootkits) " biasanya menambahkan kode mereka sendiri ke bagian inti sistem operasi, sedangkan jenis kedua, " Rootkit mode pengguna(User-mode Rootkits) " secara khusus ditargetkan ke Windows untuk memulai secara normal selama sistem memulai, atau disuntikkan ke dalam sistem oleh apa yang disebut "Dropper". Tipe ketiga adalah MBR Rootkit atau Bootkit(MBR Rootkits or Bootkits) .

Ketika Anda menemukan AntiVirus & AntiSpyware Anda gagal, Anda mungkin perlu mengambil bantuan dari Utilitas Anti-Rootkit yang baik(good Anti-Rootkit Utility)(good Anti-Rootkit Utility) . RootkitRevealer dari Microsoft Sysinternals adalah utilitas deteksi rootkit tingkat lanjut. Keluarannya mencantumkan perbedaan Registry dan sistem file API yang mungkin menunjukkan adanya mode pengguna atau rootkit mode kernel.

Laporan Ancaman Pusat Perlindungan Malware Microsoft(Microsoft Malware Protection Center Threat Report) di  Rootkit(Rootkits)

Pusat Perlindungan Malware Microsoft(Microsoft Malware Protection Center) telah menyediakan untuk diunduh Laporan Ancaman(Threat Report) di Rootkit(Rootkits) . Laporan tersebut memeriksa salah satu jenis malware yang lebih berbahaya yang mengancam organisasi dan individu saat ini — rootkit. Laporan tersebut memeriksa bagaimana penyerang menggunakan rootkit, dan bagaimana rootkit berfungsi pada komputer yang terpengaruh. Berikut adalah inti dari laporan ini, dimulai dengan apa itu Rootkit(Rootkits) – untuk pemula.

Rootkit adalah seperangkat alat yang digunakan penyerang atau pembuat malware untuk mendapatkan kendali atas sistem yang terbuka/tidak aman yang biasanya disediakan untuk administrator sistem. Dalam beberapa tahun terakhir istilah 'ROOTKIT' atau 'ROOTKIT FUNCTIONALITY' telah digantikan oleh MALWARE – sebuah program yang dirancang untuk memiliki efek yang tidak diinginkan pada komputer yang sehat. Fungsi utama malware adalah untuk menarik data berharga dan sumber daya lainnya dari komputer pengguna secara diam-diam dan memberikannya kepada penyerang, sehingga memberinya kendali penuh atas komputer yang disusupi. Selain itu, mereka sulit untuk dideteksi dan dihilangkan dan dapat tetap tersembunyi untuk waktu yang lama, mungkin bertahun-tahun, jika tidak diperhatikan.

Jadi tentu saja, gejala komputer yang disusupi perlu ditutupi dan dipertimbangkan sebelum hasilnya terbukti fatal. Khususnya, langkah-langkah keamanan yang lebih ketat harus diambil untuk mengungkap serangan itu. Namun, seperti yang disebutkan, setelah rootkit/malware ini diinstal, kemampuannya yang tersembunyi membuat sulit untuk menghapusnya dan komponennya yang mungkin diunduh. Untuk alasan ini, Microsoft telah membuat laporan tentang ROOTKITS .

Laporan 16 halaman menguraikan bagaimana penyerang menggunakan rootkit dan bagaimana rootkit ini berfungsi pada komputer yang terpengaruh.

Satu-satunya tujuan laporan ini adalah untuk mengidentifikasi dan memeriksa dengan cermat malware yang berpotensi mengancam banyak organisasi, khususnya pengguna komputer. Itu juga menyebutkan beberapa keluarga malware yang umum dan menjelaskan metode yang digunakan penyerang untuk menginstal rootkit ini untuk tujuan egois mereka sendiri pada sistem yang sehat. Di sisa laporan, Anda akan menemukan para ahli membuat beberapa rekomendasi untuk membantu pengguna mengurangi ancaman dari rootkit.

Jenis Rootkit

Ada banyak tempat di mana malware dapat menginstal dirinya sendiri ke dalam sistem operasi. Jadi, sebagian besar jenis rootkit ditentukan oleh lokasinya di mana ia melakukan subversi dari jalur eksekusi. Ini termasuk:

  1. Rootkit Mode Pengguna
  2. Rootkit Mode Kernel
  3. Rootkit/bootkit MBR

Kemungkinan efek dari kompromi rootkit mode kernel diilustrasikan melalui tangkapan layar di bawah ini.

Jenis ketiga, ubah Master Boot Record untuk mendapatkan kendali sistem dan memulai proses memuat titik sedini mungkin dalam urutan boot3. Ini menyembunyikan file, modifikasi registri, bukti koneksi jaringan serta indikator lain yang mungkin menunjukkan keberadaannya.

Keluarga Malware(Malware) Terkemuka yang menggunakan fungsionalitas Rootkit

  • Win32/Sinowal 13 – Sebuah keluarga multi-komponen malware yang mencoba mencuri data sensitif seperti nama pengguna dan kata sandi untuk sistem yang berbeda. Ini termasuk mencoba mencuri detail autentikasi untuk berbagai akun FTP , HTTP , dan email, serta kredensial yang digunakan untuk perbankan online dan transaksi keuangan lainnya.
  • Win32/Cutwail 15 – Trojan yang mengunduh dan mengeksekusi file arbitrer. File yang diunduh dapat dieksekusi dari disk atau disuntikkan langsung ke proses lain. Sementara fungsionalitas file yang diunduh bervariasi, Cutwail biasanya mengunduh komponen lain yang mengirim spam. Ini menggunakan rootkit mode kernel dan menginstal beberapa driver perangkat untuk menyembunyikan komponennya dari pengguna yang terpengaruh.
  • Win32/Rustock  – Sebuah keluarga multi-komponen dari Trojan(Trojans) backdoor yang diaktifkan rootkit awalnya dikembangkan untuk membantu dalam distribusi email “spam” melalui botnet . Botnet adalah jaringan komputer yang disusupi dan dikendalikan oleh penyerang.

Perlindungan terhadap rootkit

Mencegah instalasi rootkit adalah metode yang paling efektif untuk menghindari infeksi oleh rootkit. Untuk ini, perlu untuk berinvestasi dalam teknologi pelindung seperti anti-virus dan produk firewall. Produk tersebut harus mengambil pendekatan perlindungan yang komprehensif dengan menggunakan deteksi berbasis tanda tangan tradisional, deteksi heuristik, kemampuan tanda tangan yang dinamis dan responsif, serta pemantauan perilaku.

Semua rangkaian tanda tangan ini harus selalu diperbarui menggunakan mekanisme pembaruan otomatis. Solusi antivirus Microsoft(Microsoft) mencakup sejumlah teknologi yang dirancang khusus untuk mengurangi rootkit, termasuk pemantauan perilaku kernel langsung yang mendeteksi dan melaporkan upaya untuk memodifikasi kernel sistem yang terpengaruh, dan penguraian sistem file langsung yang memfasilitasi identifikasi dan penghapusan driver tersembunyi.

Jika sistem ditemukan disusupi, maka alat tambahan yang memungkinkan Anda untuk boot ke lingkungan yang dikenal baik atau tepercaya mungkin terbukti berguna karena mungkin menyarankan beberapa tindakan perbaikan yang sesuai.(If a system is found compromised then an additional tool that allows you to boot to a known good or trusted environment may prove useful as it may suggest some appropriate remediation measures.)

Dalam keadaan seperti itu,

  1. Alat Penyapu Sistem Standalone(Standalone System Sweeper) (bagian dari Microsoft Diagnostics and Recovery Toolset ( DaRT )
  2. Windows Defender Offline semoga bermanfaat.

Untuk informasi selengkapnya, Anda dapat mengunduh laporan PDF dari Pusat Unduhan Microsoft.(Microsoft Download Center.)



Jaka Natsir

About the author

Hai! Nama saya, dan saya seorang peretas perangkat keras. Saya memiliki lebih dari 10 tahun pengalaman dalam memperbaiki dan memodifikasi komputer. Saya dapat memperbaiki apa saja mulai dari laptop, tablet, hingga smart TV. Dengan keahlian saya, saya dapat membantu klien memecahkan masalah mereka dengan cepat dan efisien. Blog saya didedikasikan untuk membantu orang mempelajari cara memperbaiki komputer dan peralatan mereka menggunakan alat yang tepat. Dan halaman Facebook saya adalah tempat saya berbagi tips, trik, dan wawasan tentang segala hal yang berhubungan dengan komputer!


Related posts