Rootkit adalah kumpulan software yang bertujuan untuk menyembunyikan proses, file dan data sistem yang sedang berjalan dari sebuah sistem operasi tempat dia bernaung. Rootkit awalnya berupa aplikasi yang tidak berbahaya, tetapi belakangan ini telah banyak digunakan oleh malware yang ditujukan untuk membantu penyusup menjaga aksi mereka yang ke dalam sistem agar tidak terdeteksi. rootkit hadir di beragam sistem operasi seperti, Linux, Solaris dan Microsoft Windows. Rootkit ini sering merubah bagian dari sistem operasi dan juga menginstall dirinya sendiri sebagai driver atau modul kernel.Kata "rootkit" terdengar di telinga publik bermula pada skandal Sony BMG CD Copy Protection, dimana CD yang dibuat Sony BMG music meletakkan sebuah rootkit di PC Microsoft Windows pada saat pengguna memutar CD di komputer mereka. Sony sebelumnya tidak memperingatkan kepada pengguna akan hal ini di dalam CD mereka maupun di dalam kemasannya.
.: Rootkit, Tools Untuk Para Hacker :.
Didalam dunia hacking dikenal adanya istilah “rootkit” yang begitu populer walaupun banyak yang tidak mengerti dengan apa yang dimaksud dengan rootkit.
Didalam dunia hacking dikenal adanya istilah “rootkit” yang begitu populer walaupun banyak yang tidak mengerti dengan apa yang dimaksud dengan rootkit.
Rootkit terdiri atas gabungan 2 kata, yaitu root dan kit. Root adalah hak akses tertinggi dalam system operasi keluarga unix dan kit merupakan kumpulan dari tools. Jadi rootkit bisa diartikan sebagai tools atau kumpulan tools yang digunakan untuk menguasai suatu system secara permanent tanpa diketahui oleh administrator dari mesin yang telah dikuasai.
Rootkit haruslah mempunyai kemampuan untuk menyembunyikan kehadirannya dan juga mempunyai kemampuan untuk tetap menguasai system tanpa diketahui oleh admin bersangkutan. Rootkit biasanya akan masuk kedalam arsitektur dari suatu system sehingga tidak terdeteksi, maka dari itu program backdoor seperti BO dan Netbus tidak bisa dikategorikan sebagai Rootkit.
Rootkit biasanya terdiri atas beberapa tools, seperti :
* Program Backdoor
Merupakan program yang digunakan agar system bisa tetap dikuasai dan tetap bisa di akses tanpa perlu lagi melalui exploit. Dengan begitu walaupun kelemahan system telah diperbaiki atau exploit tidak berlaku lagi, penyerang tetap mampu menguasai system melalui backdoor ini.
Program backdoor ini biasanya akan memodifikasi atau mengganti program seperti login.c, ftp, rlogin, inetd, dll sehingga memungkinkan penyerang mendapatkan hak akses melalui service yang telah termodifikasi tersebut. Penempatan backdoor bahkan dilakukan juga melalui modifikasi kernel susah untuk di deteksi kerbeadaannya.
Merupakan program yang digunakan agar system bisa tetap dikuasai dan tetap bisa di akses tanpa perlu lagi melalui exploit. Dengan begitu walaupun kelemahan system telah diperbaiki atau exploit tidak berlaku lagi, penyerang tetap mampu menguasai system melalui backdoor ini.
Program backdoor ini biasanya akan memodifikasi atau mengganti program seperti login.c, ftp, rlogin, inetd, dll sehingga memungkinkan penyerang mendapatkan hak akses melalui service yang telah termodifikasi tersebut. Penempatan backdoor bahkan dilakukan juga melalui modifikasi kernel susah untuk di deteksi kerbeadaannya.
* Packet Sniffer
Sniffer yang merupakan program yang digunakan untuk mengcapture informasi yang dilewatkan dari kabel jaringan. Program seperti ftp dan telnet biasanya dalam mengirimkan informasi username dan password dalam text yang tidak terenkripsi sehingga mudah untuk di curi.
Sniffer yang merupakan program yang digunakan untuk mengcapture informasi yang dilewatkan dari kabel jaringan. Program seperti ftp dan telnet biasanya dalam mengirimkan informasi username dan password dalam text yang tidak terenkripsi sehingga mudah untuk di curi.
* Pengontrol Log File
Program yang di ikut sertakan dan cukup penting dalam Rootkit adalah program untuk menghapus log. Dengan tools ini semua aktifitas dari penyerang bisa disembunyikan sehingga sang admin tidak menyadari aktifitas yang terjadi oleh pihak yang tidak diinginkan. Dengan adanya tools ini membuat sang admin akan kesulitan dalam mendeteksi keberadaan pihak yang tidak diinginkan ini. Biasanya untuk log file juga disertakan program untuk melakukan edit terhadap log file.
Program yang di ikut sertakan dan cukup penting dalam Rootkit adalah program untuk menghapus log. Dengan tools ini semua aktifitas dari penyerang bisa disembunyikan sehingga sang admin tidak menyadari aktifitas yang terjadi oleh pihak yang tidak diinginkan. Dengan adanya tools ini membuat sang admin akan kesulitan dalam mendeteksi keberadaan pihak yang tidak diinginkan ini. Biasanya untuk log file juga disertakan program untuk melakukan edit terhadap log file.
* Tools Lainnya
Adalah tools tambahan yang digunakan oleh penyerang seperti program Ddos client, yaitu trinoo, IRC bot yang akan melakukan koneksi secara otomatis ke pada server di IRC secara otomatis, dll.
Adalah tools tambahan yang digunakan oleh penyerang seperti program Ddos client, yaitu trinoo, IRC bot yang akan melakukan koneksi secara otomatis ke pada server di IRC secara otomatis, dll.
* System Patch
Setelah mendapatkan akses kepada melalui vulnerability, rootkit juga menyediakan tools untuk melakukan patch terhadap kelemahan tersebut dengan tujuan agar hacker lain tidak akan masuk ke system tersebut. Karena penyerang telah membuat backdoor, system yang telah dikuasai tetap akan dalam kontrol sang penyerang dengan rootkit.
Setelah mendapatkan akses kepada melalui vulnerability, rootkit juga menyediakan tools untuk melakukan patch terhadap kelemahan tersebut dengan tujuan agar hacker lain tidak akan masuk ke system tersebut. Karena penyerang telah membuat backdoor, system yang telah dikuasai tetap akan dalam kontrol sang penyerang dengan rootkit.
RootKit bisa dibedakan menjadi 2, yaitu :
* Application RootKit
* Kernel RootKit
• Application RootKit
Application rootkit merupakan rootkit yang banyak di pakai oleh para hacker. Rootkit ini mengganti atau merubah program yang asli dengan program yang telah dimodifikasi dengan kemampuan trojan. Beberapa contoh dari program yang diganti adalah :
* ls, find sehingga program ini tidak menampilkan program dari penyerang
* netstat yang secara normal akan menampilkan port yang di open, koneksi network, dan status listening sehingga tidak akan menampilkan program atau koneksi dari hacker.
* KillAll, sehingga program trojan yang dipasang oleh hacker tidak akan bisa di kill.
* tcpd, syslogd sehingga tidak akan mencatat aktifitas hacker dalam komputer
* passwd, dengan memasukkan password rootkit shell dari root akan bisa digunakan
* Login, semua username bisa digunakan untuk login termasuk root jika password dari rootkit digunakan
* sshd, terkadang sshd di gunakan agar tidak terdeteksi oleh sniffer.
* Linsniffer, yang digunakan untuk sniffing di network
* inet.d yang akan mengopen port sehingga hacker bisa menggunakannya untuk masuk ke target dengan password yang telah ditentukan.
* netstat yang secara normal akan menampilkan port yang di open, koneksi network, dan status listening sehingga tidak akan menampilkan program atau koneksi dari hacker.
* KillAll, sehingga program trojan yang dipasang oleh hacker tidak akan bisa di kill.
* tcpd, syslogd sehingga tidak akan mencatat aktifitas hacker dalam komputer
* passwd, dengan memasukkan password rootkit shell dari root akan bisa digunakan
* Login, semua username bisa digunakan untuk login termasuk root jika password dari rootkit digunakan
* sshd, terkadang sshd di gunakan agar tidak terdeteksi oleh sniffer.
* Linsniffer, yang digunakan untuk sniffing di network
* inet.d yang akan mengopen port sehingga hacker bisa menggunakannya untuk masuk ke target dengan password yang telah ditentukan.
• Kernel Rootkit
Kernel rootkit adalah rootkit yang lebih susah untuk dideteksi dibandingkan dengan application rootkit. Program untuk kernel rootkit ini tersedia untuk linux, Solaris dan FreeBSD.
Dengan memodifikasi kernel, hacker mampu menyembunyikan koneksi network, file, process, dll.
Kernel rootkit adalah rootkit yang lebih susah untuk dideteksi dibandingkan dengan application rootkit. Program untuk kernel rootkit ini tersedia untuk linux, Solaris dan FreeBSD.
Dengan memodifikasi kernel, hacker mampu menyembunyikan koneksi network, file, process, dll.
• Proses Pemanfaatkan Rootkit
Rootkit bukanlah alat untuk menyerang, tapi rootkit lebih ditujukan untuk sebagai alat yang digunakan setelah penyerangan. Dengan rootkit seorang hacker akan mampu tetap mengontrol komputer korban tanpa diketahui.
0 komentar:
Posting Komentar