Rootkit dapat dinamai bentuk kode malicious (malware) yang paling canggih secara teknis dan salah satu yang paling sulit ditemukan dan dihilangkan. Dari semua jenis malware, mungkin virus dan worm mendapatkan publisitas terbanyak karena umumnya tersebar luas. Banyak orang diketahui telah dipengaruhi oleh virus atau worm, tetapi ini jelas tidak berarti bahwa virus dan worm adalah jenis malware yang paling merusak. Ada jenis-jenis malware yang lebih berbahaya, karena biasanya mereka beroperasi dalam mode sembunyi-sembunyi, sulit untuk dideteksi dan dihilangkan dan dapat luput dari perhatian dalam waktu yang sangat lama, secara diam-diam mendapatkan akses, mencuri data, dan memodifikasi file pada mesin korban. .
Contoh musuh yang tersembunyi adalah rootkit - kumpulan alat yang dapat mengganti atau mengubah program yang dapat dieksekusi, atau bahkan kernel sistem operasi itu sendiri, untuk mendapatkan akses tingkat administrator ke sistem, yang dapat digunakan untuk menginstal spyware, keyloggers, dan alat jahat lainnya. Pada dasarnya, rootkit memungkinkan penyerang untuk mendapatkan akses lengkap atas mesin korban (dan mungkin ke seluruh jaringan milik mesin). Salah satu kegunaan rootkit yang diketahui menyebabkan kerugian / kerusakan yang signifikan adalah pencurian kode sumber dari Half-Life 2: Source game engine Valve.
Rootkit bukan sesuatu yang baru - mereka telah ada selama bertahun-tahun, dan diketahui telah mempengaruhi berbagai sistem operasi (Windows, UNIX, Linux, Solaris, dll.). Jika bukan karena satu atau dua kejadian masal dari insiden rootkit (Lihat bagian Contoh Terkenal), yang menarik perhatian publik kepada mereka, mereka mungkin sekali lagi lolos dari kesadaran, kecuali oleh lingkaran kecil profesional keamanan. Sampai hari ini, rootkit belum mengeluarkan potensi destruktif penuh mereka karena mereka tidak seluas penyebaran bentuk malware lainnya. Namun, ini bisa sedikit menghibur.
Mekanisme Rootkit Terkena
Mirip dengan Trojan horse, virus dan worm, rootkit menginstal sendiri dengan mengeksploitasi kelemahan dalam keamanan jaringan dan sistem operasi, seringkali tanpa interaksi pengguna. Meskipun ada rootkit yang dapat datang sebagai lampiran email atau dalam satu bundel dengan program perangkat lunak yang sah, mereka tidak berbahaya sampai pengguna membuka lampiran atau menginstal program. Tetapi tidak seperti bentuk malware yang kurang canggih, rootkit menyusup sangat dalam ke sistem operasi dan melakukan upaya khusus untuk menyamarkan keberadaan mereka - misalnya, dengan memodifikasi file sistem.
Pada dasarnya, ada dua jenis rootkit: rootkit tingkat kernel dan rootkit tingkat aplikasi. Rootkit tingkat kernel menambahkan kode ke atau memodifikasi kernel sistem operasi. Ini dicapai dengan menginstal driver perangkat atau modul yang dapat dimuat, yang mengubah panggilan sistem untuk menyembunyikan keberadaan penyerang. Jadi, jika Anda melihat file log Anda, Anda tidak akan melihat aktivitas mencurigakan pada sistem. Rootkit tingkat aplikasi kurang canggih dan umumnya lebih mudah dideteksi karena mereka memodifikasi eksekusi aplikasi, daripada sistem operasi itu sendiri. Karena Windows 2000 melaporkan setiap perubahan file yang dapat dieksekusi ke pengguna, itu membuat penyerang lebih sulit untuk tidak diperhatikan.
Mengapa Rootkit Beresiko
Rootkit dapat bertindak sebagai pintu belakang dan biasanya tidak sendirian dalam misi mereka - mereka sering disertai dengan spyware, trojan horse, atau virus. Tujuan rootkit dapat bervariasi dari kesenangan jahat yang sederhana menembus komputer orang lain (dan menyembunyikan jejak kehadiran orang asing), hingga membangun seluruh sistem untuk memperoleh data rahasia secara ilegal (nomor kartu kredit, atau kode sumber seperti dalam kasus Half) -Hidup 2).
Secara umum, rootkit tingkat aplikasi kurang berbahaya dan lebih mudah dideteksi. Tetapi jika program yang Anda gunakan untuk melacak keuangan Anda, "ditambal" oleh rootkit, maka kerugian moneter bisa signifikan - yaitu penyerang dapat menggunakan data kartu kredit Anda untuk membeli beberapa item dan jika Anda tidak t perhatikan aktivitas mencurigakan pada saldo kartu kredit Anda pada waktunya, kemungkinan besar Anda tidak akan pernah melihat uang itu lagi.
Dibandingkan dengan rootkit level kernel, rootkit level aplikasi terlihat manis dan tidak berbahaya. Mengapa? Karena secara teori, rootkit level kernel membuka semua pintu ke suatu sistem. Setelah pintu terbuka, bentuk-bentuk malware lainnya dapat masuk ke sistem. Memiliki infeksi rootkit tingkat kernel dan tidak dapat mendeteksi dan menghapusnya dengan mudah (atau sama sekali, seperti yang akan kita lihat selanjutnya) berarti bahwa orang lain dapat memiliki kontrol total atas komputer Anda dan dapat menggunakannya dengan cara apa pun yang diinginkan - misalnya, untuk memulai serangan pada mesin lain, membuat kesan bahwa serangan itu berasal dari komputer Anda, dan bukan dari tempat lain.
Deteksi dan Penghapusan Rootkit
Bukan jenis malware lain yang mudah dideteksi dan dihilangkan, tetapi rootkit tingkat kernel adalah bencana tertentu. Dalam arti tertentu, ini adalah Catch 22 - jika Anda memiliki rootkit, maka file sistem yang dibutuhkan oleh perangkat lunak anti-rootkit kemungkinan akan dimodifikasi dan karenanya hasil pemeriksaan tidak dapat dipercaya. Terlebih lagi, jika rootkit berjalan, ia dapat berhasil memodifikasi daftar file atau daftar proses yang berjalan yang bergantung pada program anti-virus, sehingga menyediakan data palsu. Juga, rootkit yang sedang berjalan dapat dengan mudah membongkar proses program anti-virus dari memori, menyebabkan aplikasi mati atau berhenti secara tidak terduga. Namun, dengan melakukan ini secara tidak langsung menunjukkan keberadaannya, sehingga orang dapat curiga ketika terjadi kesalahan, terutama dengan perangkat lunak yang menjaga keamanan sistem.
Cara yang disarankan untuk mendeteksi keberadaan rootkit adalah dengan mem-boot dari media alternatif, yang dikenal bersih (mis. Cadangan, atau menyelamatkan CD-ROM) dan memeriksa sistem yang mencurigakan. Keuntungan dari metode ini adalah bahwa rootkit tidak akan berjalan (karena itu tidak akan dapat menyembunyikan dirinya sendiri) dan file sistem tidak akan secara aktif dirusak.
Ada beberapa cara untuk mendeteksi dan (berupaya) menghapus rootkit. Salah satu caranya adalah dengan membersihkan sidik jari MD5 dari file sistem asli untuk membandingkan file sistem sidik jari saat ini. Metode ini tidak terlalu dapat diandalkan, tetapi lebih baik daripada tidak sama sekali. Menggunakan debugger kernel lebih dapat diandalkan, tetapi membutuhkan pengetahuan mendalam tentang sistem operasi. Bahkan mayoritas administrator sistem akan jarang menggunakan itu, terutama ketika ada program gratis yang bagus untuk deteksi rootkit, seperti RootkitRevealer milik Marc Russinovich. Jika Anda pergi ke situsnya, Anda akan menemukan petunjuk rinci bagaimana menggunakan program ini.
Jika Anda mendeteksi rootkit di komputer Anda, langkah selanjutnya adalah menyingkirkannya (lebih mudah diucapkan daripada dilakukan). Dengan beberapa rootkit, penghapusan bukanlah suatu pilihan, kecuali jika Anda ingin menghapus seluruh sistem operasi juga! Solusi yang paling jelas - untuk menghapus file yang terinfeksi (asalkan Anda tahu yang mana yang benar-benar terselubung) benar-benar tidak dapat diterapkan, ketika file sistem yang vital diperhatikan. Jika Anda menghapus file-file ini, kemungkinan Anda tidak akan pernah bisa boot Windows lagi. Anda dapat mencoba beberapa aplikasi penghapus rootkit, seperti UnHackMe atau F-Secure BlackLight Beta, tetapi jangan terlalu mengandalkan mereka untuk dapat menghilangkan hama dengan aman.
Mungkin terdengar seperti terapi kejut, tetapi satu-satunya cara yang terbukti untuk menghapus rootkit adalah dengan memformat hard drive dan menginstal ulang sistem operasi lagi (dari media instalasi yang bersih, tentu saja!). Jika Anda memiliki petunjuk di mana Anda mendapatkan rootkit (apakah itu dibundel dalam program lain, atau apakah seseorang mengirimnya kepada Anda melalui email?), Bahkan tidak berpikir untuk menjalankan atau tidak memasukkan sumber infeksi lagi!
Contoh terkenal dari Rootkit
Rootkit telah digunakan secara tersembunyi selama bertahun-tahun, tetapi hanya sampai tahun lalu ketika mereka muncul dalam berita utama. Kasus Sony-BMG dengan teknologi Digital Right Management (DRM) yang melindungi penyalinan CD tanpa izin dengan memasang rootkit pada mesin pengguna memicu kecaman tajam. Ada tuntutan hukum dan investigasi kriminal. Sony-BMG harus menarik CD mereka dari toko dan mengganti salinan yang dibeli dengan yang bersih, menurut penyelesaian kasus. Sony-BMG dituduh secara rahasia menyelubungi file sistem dalam upaya untuk menyembunyikan keberadaan program perlindungan salinan yang juga digunakan untuk mengirim data pribadi ke situs Sony. Jika program dihapus oleh pengguna, drive CD menjadi tidak bisa dioperasikan. Faktanya, program perlindungan hak cipta ini melanggar semua hak privasi, menggunakan teknik ilegal yang tipikal untuk jenis malware ini, dan yang terpenting, membuat komputer korban rentan terhadap berbagai jenis serangan. Merupakan hal yang umum bagi perusahaan besar, seperti Sony-BMG, untuk bersikap sombong terlebih dahulu dengan menyatakan bahwa jika kebanyakan orang tidak tahu apa itu rootkit, dan mengapa mereka peduli bahwa mereka memilikinya. Nah, jika tidak ada orang seperti mark Roussinovich, yang merupakan orang pertama yang membunyikan lonceng tentang rootkit Sony, triknya bisa berhasil dan jutaan komputer akan terinfeksi - cukup pelanggaran global dalam dugaan pembelaan terhadap intelektual perusahaan Properti!
Mirip dengan kasus dengan Sony, tetapi ketika itu tidak perlu terhubung ke Internet, adalah kasus Norton SystemWorks. Memang benar bahwa kedua kasus tidak dapat dibandingkan dari sudut pandang etika atau teknis karena sementara rootkit Norton (atau teknologi rootkit seperti) memodifikasi file sistem Windows untuk mengakomodasi Norton Protected Recycle Bin, Norton sulit dituduh niat jahat untuk membatasi hak pengguna atau untuk mendapat manfaat dari rootkit, seperti halnya dengan Sony. Tujuan penyelubungan adalah untuk bersembunyi dari semua orang (pengguna, administrator, dll.) Dan semuanya (program lain, Windows itu sendiri) direktori cadangan file yang telah dihapus pengguna, dan yang nantinya dapat dipulihkan dari direktori cadangan ini. Fungsi Recycle Bin yang dilindungi adalah untuk menambahkan satu jaring pengaman terhadap jari-jari cepat yang pertama kali dihapus dan kemudian berpikir jika mereka telah menghapus file yang tepat, menyediakan cara tambahan untuk mengembalikan file yang telah dihapus dari Recycle Bin ( atau yang melewati Keranjang Sampah).
Dua contoh ini bukanlah kasus yang paling parah dari aktivitas rootkit, tetapi patut disebutkan karena dengan menarik perhatian pada kasus-kasus khusus ini, kepentingan publik tertarik pada rootkit secara keseluruhan. Mudah-mudahan, sekarang lebih banyak orang tidak hanya tahu apa itu rootkit, tetapi peduli jika mereka memilikinya, dan dapat mendeteksi dan menghapusnya!
