Jumat, 24 September 2010

RootKit: Digital Voodoo (Bagian 1)


ROOTKIT pertama kali diperkenalkan pada sistem operasi SunOS oleh Lane Davis dan Steven Dake. Teknologi ini digunakan para Root pada Unix (setara dengan Sistem Administrator pada Windows) untuk recovery (mengembalikan) password root yang mereka lupa. Untuk dapat mengembalikan password root tidaklah mudah karena butuh otorisasi dan akses tak terbatas pada sebuah sistem. Akhirnya ditemukanlah teknologi khusus yang mampu melakukannya yang di kemudian hari dikenal dengan istilah rootkit ini.

Istilah Rootkit kian terkenal setelah ada sebuah perusahaan musik kelas dunia yang mengaplikasikannya untuk mengamankan CD musiknya dari pembajakan. Kasus ini menjadi sebuah skandal yang sangat menghebohkan karena meski tujuannya menghindari pembajakan, penggunaan teknik ini memudahkan aplikasi jahat menumpang rootkit yang ditanam perusahaan musik tersebut.

Teknik rootkit memang rawan digunakan untuk kepentingan jahat. Jika Anda masih ingat, virus seperti Alman atau Bacalid yang menggunakan teknik rootkit begitu sulit dideteksi.  Aplikasi removal- nya tidak bisa menuntaskannya 100% karena virus program jahat yang menggunakan teknologi rootkit berjalan resident dan sulit dideteksi. Ia berjalan secara kasat mata, diam tanpa suara, dan melakukan serangan tanpa pernah Anda ketahui. Tidak heran jika banyak yang menganggap rootkit seperti voodoo dalam dunia komputer. Padahal, rootkit pada dasarnya adalah sebuah teknologi dan dapat digunakan untuk keperluan yang baik dan bermanfaat. Contohnya adalah penggunaan rootkir pada aplikasi antivirus, firewall, software protection, DRM (Digital Right Management), maupun aplikasi simulasi media cakram seperti DaemonTools. Masalahnya, teknik rootkit juga bisa digunakan untuk membuat aplikasi jahat yang sulit ditanggulangi.

Macam-macam Rootkit

Seperti halnya virus, rootkit juga memiliki banyak varian. Diklasifikasikan berdasarkan target yang diserang, rootkit dibagikan menjadi 6 macam, yaitu:

1. Application Rootkit
Rootkit yang dibuat dengan memodifikasi kode binari dari sebuah aplikasi secara langsung atau yang biasa disebut sebagai binary code patching. Rootkit jenis ini biasanya ditemukan pada malware jenis trojan untuk menginjeksikan virus ke dalam sebuah object atau sistem.

2. Library rootkit
Ini merupakan rootkit yang menyasar library. Library sendiri adalah file seperti sebuah pustaka fungsi yang telah dikumpulkan menjadi satu dengan maksud untuk memermudah programmer dalam membuat dan mengembangkan sebuah aplikasi. Library ditandai dengan akhiran “dll” seperti “kernel.dll”.

3. Kernel Rootkit
Kernel rootkit merupakan jenis rootkit yang lebih mengerikan dari jenis sebelumnya. Kernel rootkit berjalan pada level kernel (modus
tak terproteksi), atau pada sistem arsitektur x86 dikenal dengan istilah ring 0. Soal bagaimana rootkit ini bekerja akan kami sajikan pada InfoKomputer bulan depan.

4. Bootloader Rootkit
Adalah jenis rootkit yang bersemayam pada MBR (Master Boot Records), sehingga mampu mengendalikan jalannya booting sistem operasi. Rootkit jenis ini dikenal juga dengan nama Bootkit atau “Evil Maid Attack”,

5. Hypervisor Level Rootkit
Rootkit jenis ini mampu memvirtualisasikan sistem operasi asli sehingga menjadi guest operating system, sehingga seluruh kendali pada sistem operasi dapat diambil alih oleh rootkit jenis ini. Salah satu rootkit yang sudah ada berjenis ini adalah SubVirt, adalah Virtual machine berbasis rootkit yang dikembangkan oleh Microsoft dan Universitas Michigan.

6. BIOS rootkit
BIOS rootkit disebut juga dengan firmware rootkit, merupakan rootkit paling mengerikan yang berada pada level paling dalam, hidup di lingkungan firmware dan mulai aktif ketika semua aktifitas inisialisasi awal komputer terjadi.

Penanggulangan
Ada beberapa cara untuk membersihkan program jahat yang menggunakan teknologi rootkit pada komputer yang telah terinfeksi. Namun metode yang digunakan bergantung pada jenis rootkit yang menginfeksi, sehinggga penanggulangannya agak sulit apabila kita tidak bisa secara pasti mengetahui rootkit jenis apa yang mungkin sedang menginfeksi komputer kita. Untuk mendeteksi rootkit, Anda sebaiknya menjalankan komputer yang terinfeksi sebagai slave dan gunakan sistem operasi PE (preinstalled environment) atau liveCD untuk menginvestigasinya. Ada sangat banyak tipe sistem operasi LiveCD ini seperti DSL (Damn Small Linux) –pernah dibundel pada DVD bawaan majalah Infokomputer edisi  yang lalu-- dan masih banyak lagi. Lakukanlah scanning menggunakan software khusus yang didesain untuk membersihkan rootkit, kemudian lakukanlah investigasi pada area-area yang rawan dihuni oleh rootkit. Karena pembersihan rootkit merupakan operasi yang dekat sekali hubungannya dengan konfigurasi sistem, saya sarankan mintalah pertolongan pada orang yang sudah ahli untuk melakukannya. Apabila tidak berhati-hati, akibatnya akan sangat fatal.

0 komentar: