Thursday, March 17, 2011

Rootkit - The most terrifying type of virus (Part 1)

Jika ada yang belum tau, monggo dibaca, jika sudah tau banget bisa diskip :D
Rootkit sudah lama diperbincangkan dan mulai terkenal sejak pertama kali issue nya keluar di tahun 2005 lewat skandal oleh Sony BMG terhadap CD musik jualannya yang memiliki software untuk Copy Protection dan DRM/Digital Rights Management.
Software tersebut memiliki musik player yang juga menginstall rootkit untuk membatasi pengguna dalam mengakses CD tsb. Hal ini ditemukan oleh Mark Russinovich, yang membuat rootkit detection tool bernama RootkitRevealer.
Tujuan Sony BMG memang baik, yaitu mengamankan pembajakan terhadap CD musiknya. Namun hal ini bisa disalahgunakan oleh berbagai peretas (cracker) untuk meng-exploit-nya. Akibatnya, di US, Sony BMG terkena tuntutan dari publik class-action lawsuit.

Nah sekilas sudah dapat gambaran tentang rootkit kan?
Rootkit sendiri terdiri dari berbagai macam tipe.
Nah rootkit yang pernah saya temukan dari teman saya dulu, adalah rootkit yang menyerang di level kernel (ring - 0).

Bagi pengguna Unix ataupun Linux mungkin tidak asing dengan istilah ROOT dan KERNEL. Root adalah akses tertinggi pada user di Unix dan Linux. Root memiliki akses tak terbatas pada sistem sehingga ia bisa melakukan apapun dari mengubah/memodifikasi aplikasi, sistem file, library pada Operating System. Inilah yang mendasari penamaan Rootkit itu sendiri.

Nah yang paling mengerikan adalah modifikasi pada level kernel, boot dan firmware (BIOS).
Hampir mustahil untuk mendeteksi rootkit yang sudah berada pada level kernel (ring - 0 pada windows), karena AntiVirus berjalan pada level kernel dan tidak mampu untuk mendeteksi pada level yang sama, kecuali rootkit tsb berada pada level lebih atas atau antivirus berada pada level lebih bawah sehingga mampu mendeteksi rootkit (liat gambar).
Rootkit berjalan independent, diam, dan hampir tidak terdeteksi (jika berada pada low level)
Yang paling berbahaya adalah ia bisa saja merusak bootloader pada hardisk, atau merusak BIOS motherboard anda sehingga komputer anda tidak berfungsi sebagaimana mustinya / mati total.


Bagaimana bisa dia mengakses pada level tersebut?
Jika kita pengguna Windows, kita pasti sering di level administrator (hak akses tertinggi pada Windows), dan kira-kira beginilah cara kerja Rootkit:
1. Antivirus gagal mendeteksi program jahat yang terdapat di komputer kita, virus terinstall.
Karena anda berada pada akses tertinggi di sistem, maka virus terinstall dengan aman atau anda mengijinkannya tanpa sadar.

2. Virus tersebut berjalan pada sistem, dan kemudian menginstall rootkit pada level kernel. Walaupun virus sudah terhapus, tapi rootkit tetap ada. (Program semacam DeepFreeze juga tak mampu menangkalnya)

3. Rootkit ini akan mendapatkan akses penuh terhadap sistem. Berjalan tersembunyi, mandiri, dan hampir tak terdeteksi.

4. Tergantung dari jenis rootkitnya (dibedakan berdasarkan jenis serangannya), ia dapat menyerang ke aplikasi, libary/sistem file, menginfeksi MBR (Master Boot Records) yang digunakan sebagai titik awal booting sistem operasi, dan BIOS.
Langkah pada no.4 diatas dilakukan lewat malware yang ada pada sistem operasi. Malware ini tidak akan terdeteksi karena rootkit akan menyembunyikannya.

Penyerangan rootkit pada MBR dikenal sebagai Bootkit atau “Evil Maid Attack".
Jika menyerang BIOS hal yang dia cukup lakukan adalah melakukan flashing BIOS "versinya" ke Motherboard.


Lalu bagaimana mencegah dan mengatasinya? 
Anda bisa membaca artikel lanjutannya di sini


Kalo ada salah, mohon dikoreksi ya..
Thanks :)

1 comment: