Rootkit
Rootkit
Security
Threats
Ancaman Keamanan Komputer
Oleh:
Ardia Ovidius, 1913210445
MKOM 34C
Types of Computer Security Threats
Denial of Service Ro KeyL
gu ogger DNS Poisoning
t k i ts e i ng
R oo Scann a rm
i ng Logic Bomb g Ph
k i n on
ac of e c t i
A tt Pishing Sp
o
SQL
In j
o rd Wa Back g &
w
Pa s s bb
it door i ffin Mail Pin
go
Wa Sn Bo mb fD
b eath
Cardi bit
ng i ng Man i
ea ck
j Adware nt he Mi Eavesdropping
u
l C ddle A
ng
/ B ross Dialers t ta c k
rf i Scri rs
sn a ptin L et t e Syn Attack
l ue g Atta Chain
B Trojan Horse ck
Operating System Fingerprinting
Rootkit Definition
ROOTKIT adalah sekumpulan program/code yang
memungkinkan pengguna yang tidak berhak untuk
mendapatkan akses “root” secara permanen, yang
merupakan hak akses tertinggi dalam OS LINUX/UNIX
(Adminstrator pada OS Windows)
ROOTKIT bisa mengontrol dan merobah system dengan
mudah untuk memaksa sebuah system menyembunyikan
keberadaan code jahat tersebut sehingga tidak terdeteksi
oleh user biasa.
Rootkit Term
Asal kata “ROOTKIT”
What’s in Rootkit?
VULNERABILIT
Y? Kerentanan komputer adalah istilah keamanan
siber yang mengacu pada cacat dalam sistem yang
dapat membuatnya terbuka untuk diserang.
Early version of Rootkit
Generasi awal rootkit tidak menyerang system operasi,
namun lebih kepada manipulasi file-file system dalam
usahanya mengelabui user.
KERNEL MODE
HYPERVISOR LEVEL
BOOTKITS
Types of Rootkit
USER MODE
(Vanquish, Aphex, Hacker Defender)
User Mode Rootkit berjalan pada Ring-3 bersamaan dengan aplikasi user
biasa, bukan berjalan pada level kernel.
Rootkit jenis ini adalah jenis rootkit yang melakukan modifikasi file-file
system untuk menyembunyikan diri, seolah-olah program yang berjalan
adalah program original.
Apabila file yang sudah dimodifikasi dieksekusi, maka terbukalah lubang
keamanan yang bisa dieksplotasi oleh peretas.
Types of Rootkit
KERNEL MODE
(FU, Knark, Adore, Rkit, Da IOS.)
Bootkit adalah jenis rootkit mode kernel yang menginfeksi master boot
record, volume boot record, atau bagian boot selama startup komputer.
Pemuat malware tetap ada melalui transisi ke protected mode ketika kernel
telah dimuat dan dengan demikian dapat menumbangkan kernel.
Types of Rootkit
HYPERVISOR ROOTKIT
DETECTING ROOTKIT
REMOVING ROOTKIT
How to counter Rootkit
PREVENTING ROOTKIT INFECTIONS
▪ Menggunakan alat deteksi intrusi dan pencegahan seperti pemindai rootkit.
▪ Segera memasang patch tepat waktu.
▪ Mengkonfigurasi sistem sesuai dengan pedoman keamanan dan membatasi
layanan yang dapat berjalan di system.
▪ Menerapkan prinsip pemberian hak akses terendah.
How to counter Rootkit
PREVENTING ROOTKIT INFECTIONS
▪ Menerapkan firewall yang dapat menganalisis lalu lintas jaringan pada
lapisan aplikasi.
▪ Menggunakan otentikasi yang kuat.
▪ Melakukan pemeliharaan keamanan rutin.
▪ Membatasi ketersediaan program kompiler yang dieksploitasi rootkit.
How to counter Rootkit
DETECTING ROOTKIT
Begitu infeksi terjadi, segalanya menjadi rumit. Para peneliti mengingatkan
bahwa mendeteksi dan menghapus rootkit itu sulit. Namun, rootkit dapat
dideteksi oleh penyelidik terlatih dan alat analisis, seperti pemindai rootkit,
yang mengungkap petunjuk keberadaan rootkit. Perusahaan keamanan besar,
seperti Symantec, Kaspersky Lab, dan Intel Security (McAfee), menawarkan
pemindai rootkit kepada pelanggan perusahaan.
Beberapa tanda yang menunjukkan adanya rootkit termasuk perubahan yang
tidak dapat dijelaskan dalam sistem target, file aneh di direktori home root
atau aktivitas jaringan yang tidak biasa.
How to counter Rootkit
DETECTING ROOTKIT
Beberapa metode dalam mendeteksi rootkit:
▪ Alternative trusted medium
▪ Behavioral-based
▪ Signature-based
▪ Difference-based
▪ Integrity checking
▪ Memory dumps
How to counter Rootkit
REMOVING ROOTKIT
Penghapusan rootkit secara manual sering kali sangat sulit bagi pengguna
komputer biasa, tetapi sejumlah vendor perangkat lunak keamanan
menawarkan alat untuk mendeteksi dan menghapus beberapa rootkit secara
otomatis, biasanya sebagai bagian dari rangkaian antivirus.
Menghapus rootkit merupakan tantangan karena dijalankan dengan
serangkaian hak istimewa sistem yang lengkap, yang berarti rootkit dapat
melakukan apa saja pada sistem.
How to counter Rootkit
REMOVING ROOTKIT
Singkatnya, strategi terbaik untuk menangani ancaman rootkit adalah
menghentikan rootkit agar tidak menginfeksi komputer di jaringan Anda
melalui praktik terbaik keamanan seperti manajemen patch dan
pemeliharaan rutin, dan alat khusus seperti pemindai rootkit dan firewall.
Jika komputer Anda tetap terinfeksi, Anda perlu membangun kembali
komputer yang disusupi dari awal untuk memastikan bahwa rootkit telah
diberantas.
Selesai