Bagaimana cara kerja deteksi rootkit saat ini?

Anda mungkin akrab dengan virus komputer, adware, spyware, dan program jahat lainnya, yang sebagian besar dianggap sebagai ancaman. Namun, bentuk atau kelas malware yang berbeda (rootkit) mungkin yang paling berbahaya dari semuanya. Yang kami maksud dengan “berbahaya” adalah tingkat kerusakan yang dapat ditimbulkan oleh program jahat dan kesulitan yang dialami pengguna dalam menemukan dan menghapusnya.

Apa itu rootkit?

Rootkit adalah jenis malware yang dirancang untuk memberikan akses pengguna yang tidak sah ke komputer (atau aplikasi tertentu di komputer). Rootkit diprogram untuk tetap tersembunyi (tidak terlihat) sementara mereka mempertahankan akses istimewa. Setelah rootkit masuk ke dalam komputer, ia dengan mudah menutupi keberadaannya, dan pengguna tidak akan menyadarinya.

Bagaimana rootkit membahayakan PC?

Pada dasarnya, melalui rootkit, penjahat dunia maya dapat mengontrol komputer Anda. Dengan program jahat yang begitu kuat, mereka dapat memaksa PC Anda untuk melakukan apa saja. Mereka dapat mencuri kata sandi Anda dan informasi sensitif lainnya, melacak semua aktivitas atau operasi yang dijalankan di komputer Anda, dan bahkan menonaktifkan program keamanan Anda.

Mengingat kemampuan mengesankan rootkit untuk membajak atau meletakkan aplikasi keamanan, mereka cukup sulit untuk dideteksi atau dihadapi, bahkan lebih dari program jahat rata-rata. Rootkit dapat ada atau beroperasi di komputer untuk waktu yang lama sambil menghindari deteksi dan melakukan kerusakan yang signifikan.

Terkadang, ketika rootkit tingkat lanjut sedang dimainkan, pengguna tidak punya pilihan selain menghapus semua yang ada di komputer mereka dan memulai dari awal lagi – jika mereka ingin menyingkirkan program jahat.

Apakah setiap malware adalah rootkit?

Tidak. Jika ada, hanya sebagian kecil malware yang merupakan rootkit. Jika dibandingkan dengan program jahat lainnya, rootkit jauh lebih maju dalam hal desain dan pemrograman. Rootkit dapat melakukan lebih dari malware rata-rata.

Jika kita ingin menggunakan definisi teknis yang ketat, maka rootkit bukanlah bentuk atau jenis program jahat. Rootkit hanya sesuai dengan proses yang digunakan untuk menyebarkan malware pada target (biasanya komputer atau individu atau organisasi tertentu). Maklum, karena rootkit cukup sering muncul di berita tentang serangan siber atau peretasan, istilah ini membawa konotasi negatif.

Agar adil, rootkit berjalan sangat mirip dengan malware. Mereka suka beroperasi tanpa batasan pada komputer korban; mereka tidak ingin utilitas pelindung mengenali atau menemukannya; mereka biasanya mencoba mencuri barang dari komputer target. Pada akhirnya, rootkit adalah ancaman. Oleh karena itu, mereka harus diblokir (untuk mencegah mereka masuk terlebih dahulu) atau ditangani (jika mereka sudah menemukan jalan masuk).

Mengapa rootkit digunakan atau dipilih?

Penyerang menggunakan rootkit untuk berbagai tujuan, tetapi seringkali, mereka mencoba menggunakannya untuk meningkatkan atau memperluas kemampuan tersembunyi dalam malware. Dengan peningkatan siluman, muatan berbahaya yang disebarkan di komputer dapat tetap tidak terdeteksi lebih lama sementara program jahat bekerja untuk mengekstrak atau menghapus data dari jaringan.

Rootkit cukup berguna karena menyediakan cara atau platform yang nyaman di mana aktor yang tidak berwenang (peretas atau bahkan pejabat pemerintah) mendapatkan akses pintu belakang ke sistem. Rootkit biasanya mencapai tujuan yang dijelaskan di sini dengan menumbangkan mekanisme login untuk memaksa komputer memberi mereka akses login rahasia untuk individu lain.

Rootkit juga dapat digunakan untuk berkompromi atau membanjiri komputer agar penyerang mendapatkan kendali dan menggunakan perangkat sebagai alat untuk melakukan tugas tertentu. Misalnya, peretas menargetkan perangkat dengan rootkit dan menggunakannya sebagai bot untuk serangan DDoS (Distributed Denial of Service). Dalam skenario seperti itu, jika sumber DDoS terdeteksi dan dilacak, itu akan mengarah ke komputer yang disusupi (korban) alih-alih komputer sebenarnya yang bertanggung jawab (penyerang).

Komputer yang disusupi yang berpartisipasi dalam serangan semacam itu umumnya dikenal sebagai komputer zombie. Serangan DDoS bukanlah satu-satunya hal buruk yang dilakukan penyerang dengan komputer yang disusupi. Terkadang, peretas menggunakan komputer korbannya untuk melakukan penipuan klik atau menyebarkan spam.

Menariknya, ada skenario di mana rootkit disebarkan oleh administrator atau individu biasa untuk tujuan yang baik, tetapi contoh seperti itu masih sangat jarang. Kami telah melihat laporan tentang beberapa tim TI yang menjalankan rootkit di honeypot untuk mendeteksi atau mengenali serangan. Nah, dengan cara ini, jika mereka berhasil dengan tugas tersebut, mereka dapat meningkatkan teknik emulasi dan aplikasi keamanan mereka. Mereka mungkin juga mendapatkan beberapa pengetahuan, yang kemudian dapat mereka terapkan untuk meningkatkan perangkat perlindungan anti-pencurian.

Namun demikian, jika Anda harus berurusan dengan rootkit, kemungkinan rootkit digunakan untuk melawan Anda (atau kepentingan Anda). Oleh karena itu, penting bagi Anda untuk mempelajari cara mendeteksi program jahat di kelas tersebut dan cara mempertahankan diri (atau komputer Anda) darinya.

Jenis-jenis rootkit

Ada berbagai bentuk atau jenis rootkit. Kami dapat mengklasifikasikan mereka berdasarkan cara infeksi mereka dan tingkat di mana mereka beroperasi di komputer. Nah, ini adalah jenis rootkit yang paling umum:

1. Rootkit mode kernel:

Rootkit mode kernel adalah rootkit yang dirancang untuk memasukkan malware ke dalam kernel sistem operasi untuk mengubah fungsionalitas atau pengaturan OS. Yang kami maksud dengan “kernel” adalah bagian tengah dari sistem operasi yang mengontrol atau menghubungkan operasi antara perangkat keras dan aplikasi.

Penyerang merasa sulit untuk menyebarkan rootkit mode kernel karena rootkit seperti itu cenderung menyebabkan sistem mogok jika kode yang digunakan gagal. Namun, jika mereka berhasil berhasil dengan penerapan, maka rootkit akan dapat melakukan kerusakan luar biasa karena kernel biasanya memiliki tingkat hak istimewa tertinggi dalam suatu sistem. Dengan kata lain, dengan rootkit mode kernel yang sukses, penyerang dapat dengan mudah menggunakan komputer korbannya.

2. Rootkit mode pengguna:

Rootkit di kelas ini adalah yang dieksekusi dengan bertindak sebagai program biasa atau reguler. Mereka cenderung beroperasi di lingkungan yang sama di mana aplikasi dijalankan. Untuk alasan ini, beberapa pakar keamanan menyebutnya sebagai rootkit aplikasi.

Rootkit mode pengguna relatif lebih mudah digunakan (dibandingkan rootkit mode kernel), tetapi kemampuannya lebih sedikit. Mereka melakukan lebih sedikit kerusakan daripada rootkit kernel. Aplikasi keamanan, secara teori, juga lebih mudah menangani rootkit mode pengguna (dibandingkan dengan bentuk atau kelas rootkit lainnya).

3. Bootkit (boot rootkit):

Bootkit adalah rootkit yang memperluas atau meningkatkan kemampuan rootkit biasa dengan menginfeksi Master Boot Record. Program kecil yang diaktifkan selama startup sistem merupakan Master Boot Record (yang kadang-kadang disingkat MBR). Bootkit pada dasarnya adalah program yang menyerang sistem dan berfungsi untuk mengganti bootloader normal dengan versi yang diretas. Rootkit semacam itu akan diaktifkan bahkan sebelum sistem operasi komputer dinyalakan dan dimatikan.

Mengingat mode infeksi bootkit, penyerang dapat menggunakannya dalam bentuk serangan yang lebih persisten karena mereka dikonfigurasi untuk berjalan ketika sistem dihidupkan (bahkan setelah reset defensif). Selain itu, mereka cenderung tetap aktif di memori sistem, yang merupakan lokasi yang jarang dipindai oleh aplikasi keamanan atau tim TI untuk mencari ancaman.

4. Rootkit memori:

Rootkit memori adalah jenis rootkit yang dirancang untuk bersembunyi di dalam RAM komputer (singkatan dari Random Access Memory, yang sama dengan memori sementara). Rootkit ini (sekali di dalam memori) kemudian bekerja untuk menjalankan operasi berbahaya di latar belakang (tanpa pengguna mengetahuinya).

Untungnya, rootkit memori cenderung memiliki umur yang pendek. Mereka hanya dapat hidup di RAM komputer Anda untuk satu sesi. Jika Anda me-reboot PC Anda, maka mereka akan hilang – setidaknya, secara teori, seharusnya begitu. Namun demikian, dalam beberapa skenario, proses restart saja tidak cukup; pengguna mungkin harus melakukan beberapa pekerjaan untuk menyingkirkan rootkit memori.

5. Rootkit perangkat keras atau firmware:

Rootkit perangkat keras atau firmware mendapatkan namanya dari tempat mereka diinstal di komputer.

Rootkit ini diketahui memanfaatkan perangkat lunak yang tertanam dalam firmware pada sistem. Firmware mengacu pada kelas program khusus yang menyediakan kontrol atau instruksi pada tingkat rendah untuk perangkat keras (atau perangkat) tertentu. Misalnya, laptop Anda memiliki firmware (biasanya BIOS) yang dimuat ke dalamnya oleh pabrikannya. Router Anda juga memiliki firmware.

Karena firmware rootkit dapat ada pada perangkat seperti router dan drive, rootkit dapat tetap tersembunyi untuk waktu yang lama – karena perangkat keras tersebut jarang diperiksa atau diperiksa integritas kodenya (jika bahkan diperiksa sama sekali). Jika peretas menginfeksi router atau drive Anda dengan rootkit, maka mereka akan dapat mencegat data yang mengalir melalui perangkat.

Bagaimana agar tetap aman dari rootkit (tips untuk pengguna)

Bahkan program keamanan terbaik pun masih berjuang melawan rootkit, jadi Anda sebaiknya melakukan apa pun yang diperlukan untuk mencegah rootkit memasuki komputer Anda sejak awal. Tidak sulit untuk tetap aman.

Jika Anda menjaga praktik keamanan terbaik, maka kemungkinan komputer Anda terinfeksi oleh rootkit akan berkurang secara signifikan. Berikut adalah beberapa di antaranya:

1. Unduh dan instal semua pembaruan:

Anda tidak bisa mengabaikan pembaruan untuk apa pun. Ya, kami memahami bahwa pembaruan aplikasi dapat mengganggu dan pembaruan pada sistem operasi Anda dapat mengganggu, tetapi Anda tidak dapat melakukannya tanpa pembaruan tersebut. Menjaga program dan OS Anda diperbarui memastikan bahwa Anda mendapatkan patch ke lubang keamanan atau kerentanan yang dimanfaatkan penyerang untuk menyuntikkan rootkit ke komputer Anda. Jika lubang dan kerentanan ditutup, PC Anda akan lebih baik untuk itu.

2. Hati-hati dengan email phishing:

Email phishing biasanya dikirim oleh scammers yang ingin menipu Anda agar memberikan informasi pribadi atau detail sensitif Anda (misalnya, detail login atau kata sandi). Namun demikian, beberapa email phishing mendorong pengguna untuk mengunduh dan menginstal beberapa perangkat lunak (yang biasanya berbahaya atau berbahaya).

Email semacam itu mungkin terlihat seperti berasal dari pengirim yang sah atau individu tepercaya, jadi Anda harus berhati-hati. Jangan menanggapi mereka. Jangan mengklik apa pun di dalamnya (tautan, lampiran, dan sebagainya).

3. Hati-hati dengan unduhan drive-by dan pemasangan yang tidak diinginkan:

Di sini, kami ingin Anda memperhatikan hal-hal yang diunduh di komputer Anda. Anda tidak ingin mendapatkan file berbahaya atau aplikasi buruk yang menginstal program jahat. Anda juga harus memperhatikan aplikasi yang Anda instal karena beberapa aplikasi yang sah digabungkan dengan program lain (yang bisa berbahaya).

Idealnya, Anda hanya boleh mendapatkan versi resmi program dari halaman resmi atau pusat unduhan, membuat pilihan yang tepat selama penginstalan, dan memperhatikan proses penginstalan untuk semua aplikasi.

4. Instal utilitas pelindung:

Jika rootkit ingin masuk ke dalam komputer Anda, entrinya kemungkinan besar terkait dengan keberadaan atau keberadaan program jahat lain di komputer Anda. Kemungkinannya adalah aplikasi antivirus atau antimalware yang baik akan mendeteksi ancaman asli sebelum rootkit diperkenalkan atau diaktifkan.

Anda bisa mendapatkan Auslogics Anti-Malware. Anda sebaiknya menaruh kepercayaan pada aplikasi yang direkomendasikan karena program keamanan yang baik masih merupakan pertahanan terbaik Anda terhadap segala bentuk ancaman.

Cara mendeteksi rootkit (dan beberapa tip untuk organisasi dan admin TI)

Ada beberapa utilitas yang mampu mendeteksi dan menghapus rootkit. Bahkan aplikasi keamanan yang kompeten (dikenal untuk menangani program jahat seperti itu) terkadang kesulitan atau gagal melakukan pekerjaan dengan benar. Kegagalan penghapusan rootkit lebih sering terjadi ketika malware ada dan beroperasi pada tingkat kernel (rootkit mode kernel).

Terkadang, menginstal ulang OS pada mesin adalah satu-satunya hal yang dapat dilakukan untuk menyingkirkan rootkit. Jika Anda berurusan dengan rootkit firmware, maka Anda mungkin harus mengganti beberapa bagian perangkat keras di dalam perangkat yang terpengaruh atau mendapatkan peralatan khusus.

Salah satu proses deteksi rootkit terbaik mengharuskan pengguna untuk melakukan pemindaian tingkat atas untuk rootkit. Dengan "pemindaian tingkat atas", yang kami maksud adalah pemindaian yang dioperasikan oleh sistem bersih terpisah saat mesin yang terinfeksi dimatikan. Secara teori, pemindaian semacam itu seharusnya cukup untuk memeriksa tanda tangan yang ditinggalkan oleh penyerang dan harus dapat mengidentifikasi atau mengenali beberapa permainan busuk di jaringan.

Anda juga dapat menggunakan analisis dump memori untuk mendeteksi rootkit, terutama jika Anda menduga bahwa bootkit – yang menempel pada memori sistem untuk beroperasi – terlibat. Jika ada rootkit di jaringan komputer biasa, maka rootkit mungkin tidak akan disembunyikan jika menjalankan perintah yang melibatkan penggunaan memori – dan Managed Service Provider (MSP) akan dapat melihat instruksi yang dikirimkan oleh program jahat. .

Analisis perilaku adalah prosedur atau metode andal lainnya yang terkadang digunakan untuk mendeteksi atau melacak rootkit. Di sini, daripada Anda memeriksa rootkit secara langsung dengan memeriksa memori sistem atau mengamati tanda tangan serangan, Anda harus mencari gejala rootkit di komputer. Hal-hal seperti kecepatan operasi yang lambat (jauh lebih lambat dari biasanya), lalu lintas jaringan yang aneh (yang seharusnya tidak ada), dan pola perilaku umum yang menyimpang lainnya harus memberikan rootkit.

Penyedia Layanan Manajer sebenarnya dapat menerapkan prinsip hak istimewa paling rendah (PoLP) sebagai strategi khusus dalam sistem pelanggan mereka untuk menangani atau mengurangi efek infeksi rootkit. Ketika PoLP digunakan, sistem dikonfigurasi untuk membatasi setiap modul di jaringan, yang berarti modul individual hanya mendapatkan akses ke informasi dan sumber daya yang mereka butuhkan untuk pekerjaan mereka (tujuan khusus).

Nah, pengaturan yang diusulkan memastikan keamanan yang lebih ketat di antara lengan jaringan. Itu juga cukup untuk memblokir instalasi perangkat lunak berbahaya ke kernel jaringan oleh pengguna yang tidak sah, yang berarti mencegah rootkit masuk dan menyebabkan masalah.

Untungnya, rata-rata, rootkit menurun (bila dibandingkan dengan volume program jahat lainnya yang telah berkembang biak selama beberapa tahun terakhir) karena pengembang terus meningkatkan keamanan dalam sistem operasi. Pertahanan titik akhir semakin kuat, dan sejumlah besar CPU (atau prosesor) sedang dirancang untuk menggunakan mode perlindungan kernel bawaan. Namun demikian, saat ini, rootkit masih ada dan harus diidentifikasi, dihentikan, dan dihapus di mana pun mereka ditemukan.