Pada
artikel Mendeteksi Rootkit ini, akan dijelaskan tentang
aktivitas-aktivitas rootkit dan malware serta mendeteksi keberadaan
rootkit.
Aktivitas CPU dan Network
Setiap program yang aktif akan menambah beban sistem komputer walaupun besar kecilnya beban tersebut adalah relatif. Sebagian pengguna dapat merasakan komputer yang digunakannya sehari-hari menunjukan performan yang lebih berat daripada biasanya. Dengan menggunakan Task Manajer (tekan Ctrl + Alt + Del) dan mengarahkannya pada tab performance, pengguna dapat melihat penggunaan CPU (CPU Usage).
Penggunan CPU yang tidak wajar perlu diwaspadai walaupun belum tentu pula disebabkan oleh malware. Untuk mendiagnosinya lebih lanjut, jalankan komputer pada safe mode agar sistem hanya menjalankan komponen inti dan lakukan pemeriksaan dengan tool keamanan/antivirus. Malware yang memakan resource CPU yang tinggi relatif mudah terdeteksi. Namun kebanyakan malware menggunakan teknik rootkit akan menghindari hal tersebut dan jarang memengaruhi kinerja CPU secara signifikan.
Pendekatan lain dalam mendeteksi rootkit adalah melihat aktivitas network yang mungkin mengindikasikan rootkit yang sedang beraksi. Aktivitas network mungkin digunakan untuk mengirim spam, serangn DdoS, atau apapun yang memanfaatkan jaringan.Untuk melihat aktivitas network (khususnya internet), pastikan komputer telah terkoneksi dengan internet. Kemudian jalankan task manajer dan klik tab networking. Perhatikan perhatikan persentase yang tertera pada kolom network utilization. Anda perlu waspadai jika melihat aktivitas jaringan yang signifikan sementara anda tidak sedang mendowload/upload data.
Tool lain yang dapat memberikan keterangan lebih lengkap adalah RxTx yang dapat anda download dari www.netfor2.com (klik download). RxTx dapat memeberikan statistik aktivitas network dalam bentuk HTML.Jika aktivitas network menunjukan kegiatan yang tidak normal, katakanlah terjadi pengiriman data yang besar yang tidak diketahui, anda dapat menhentikan koneksi internet kemudian memeriksa sistem lebih jauh.
Event Log
Beberapa kemungkinan aktifitas rootkit, seperti menginstal service tertentu, menghentikan proses antivirus/firewall, dan membuat user account, bisa jadi terlihat pada log aktivitas yang disediakan windows, yaitu event logs. Event logs terletak pada control panel – administrative tools – even viewer atau dapat diakses dengan mengetikan “eventvwr.msc” pada dialog run.Terdapat beberapa log, bergantung pada event-nya, yaitu:
- Application : memperlihatkan log event saat instalasi, peringatan informasi, dan error pada aplikasi.
- Security : menampilkan audit yang gagal dan berhasil berdasarkan sembilan policy yang dipilih. Untuk memilih evebt apa saja yang diaudit, ketik “secpol.msc” pada dialog run, maka akan tampil jendela local security settings. Pilih local policies – audit policy pada panel kiri, maka akan terlihat sembilan policy yang dapat dipilh untuk diaudit. Jika diklik, tiap-tiap policy memiliki opsi success dan failure pada bagian audit this attempt. Untuk policy audit object access dan audit privilege use, anda dapat mengaudit hanya pada opsi failure karena mengaudit opsi success pada kedua policy tersebut akan mengakibat terekamnya aktivitas umum dan rutin yang akan membebani log dan justru mempersulit penyelidikan terhadap event log yang dicurigai akibat malware.
- System : memperlihatkan service yang dijalankan dan dihentikan, berbagai error, dan peringatan system.
Untuk memastikan event log telah aktif, anda dapt menjalankan perintah “services.msc” pada command prompt/Dialog run dan pastikan service dengan nama event log memiliki status started dan startup type automatic yang berarti service itu dijalankan secara otomatis pada startup.
Salah satu cara mudah untuk menganalisis event log dari kemungkinan aktivitas malware adalah mengacu pada event ID. Beberapa ID yang perlu diwaspadai tertera pada tabel di bawah ini:
Event ID
|
Arti
|
624
|
Menciptakan user account
|
627
|
Percobaan mengubah password
|
628
|
User account/password reset
|
630
|
Menghapus user
|
529
|
Gagal login karena username/password salah
|
Proses yang berjalan
Cara – cara yang telah dijelaskan tersebut digunakan untuk mendeteksi keberadaan rootkit dengan menggali berbagai efek samping terhadap sistem yang mungkin ditimbulkan rootkit. Berikutnya kita akan melihat langsung proses yang mencurigakan yang tengah berjalan di memory. Banyak pengguna yang cukup familiar dengan task manager sebagai aplikasi sakti untuk melihat dan menghentikan proses yang sedang berjalan. Namun untuk mendeteksi proses rootkit, anda memerlukan tools yang lebih powerful.
Salah satu tools pengganti task manager untuk melihat proses yang sedang berjalan dengan lebih lengkap adalah Process Explorer dari Windows Sysinternals. Proses explorer dilengkapi dengan berbagai fitur, seperti fitur untuk menunjukkan lokasi file proses yang aktif atau menampilkan proses dalam bentuk tree/hierarki.
Cara umum untuk melumpuhkan proses malware yang aktif adalah meng-kill proses yang mencurigakan (klik kanan pada proses tertentu lalu pilih kill process atau kill process tree). Setelah proses malware terdepak dari memory, hapus file malware pada disk agar tidak tereksekusi dan aktif lagi. Masalahnya, beberapa malware dengan kemampuan rootkit tidak semudah diberantas dengan cara itu.
Rootkit dapat berupa thread/module yang tersembunyi, antara lain dengan cara menumpang pada proses lain, misalnya explore.exe. jika itu terjadi tentunya menghapus file explore.exe bukanlah solusi, alih-alih akan merusak sistem windows anda. Contohnya adalah malware yang dikenali PCMAV sebagai Delp-Shortcut. Saat aktif, Delp-Shortcut men-trigger file rundll32.exe untuk akyif di memory. File tersebut merupakan file bawaan windows. Meng-kill proses serta menghapus file rundll32.exe tidak akan memberantas Delp-Shortcut.
Yang dilakukan malware adalah menjalankan thread berbahaya (mso.sys) dalam proses rundll32.exe. hal itu terlihat dengan mengaktifkan panel DLL pada Process Explorer (menu View – Lower Pane Viewn- DLLs. Oleh karena itu untuk menanggulangi malware itu dengan Process Explorer, thread yang harus di-kill dan dihapus file-nya adalah mso.sys.
Untuk persenjataan dalam melawan/menghadapi ROOTKIT akan dibahas pada artikel berikutnya......
mozalora
Terima kasih info nya admin..
ReplyDeleteia sama2 gan........
Delete