TUGAS
MANDIRI
ANALISA
KERJA ROOTKIT
Disusun
Oleh:
Mayhendra Pandya
Sahasika 064001600032
Devi Febrita Sari
Hoesadha 064001600020
Teknik
Informatika
Fakultas
Teknologi Industri
Universitas
Trisakti
Jakarta
– Indonesia
2018
Abstrak
Kemajuan
teknologi virtualisasi hardware telah membuka halaman baru dalam pertempuran digital.
Dengan teknologi mesin virtual, terbuka peluang untuk salah satu pihak
menguasai lapisan terbawah suatu sistem, yaitu lapisan hardware. Akibatnya,
jika pihak attacker menguasai level ini, maka makin sulit untuk pihak defender
mendeteksi aplikasi malware dari attacker.
Kombinasi
antara mesin virtual dan malware tipe rootkit menghasilkan sebuah ancaman baru
yang disebut dengan Virtual Machine Based Rootkit (VMBR). Rootkit yang berbasis
pada mesin virtual sangat sulit dideteksi dan dilenyapkan karena berada diluar
wilayah akses aplikasi dan sistem operasi tersebut Kata Kunci — Computer Security, Rootkit, Virtual
Machine, VMBR.
BAB
I
PENDAHULUAN
1.1 Latar Belakang
Aplikasi-aplikasi
malware sudah mulai bermigrasi ke level yang lebih rendah . Makin kebawah level
yang dikuasai, makin sulit dideteksi oleh lawan dan makin berkuasalah dia atas
sebuah sistem tertentu. Salah satu tipe malware yang menjadi ancaman berbahaya
dan harus dipahami oleh setiap pengguna komputer adalah rootkit. Hal ini disebabkan
karena kemampuannya untuk menyembunyikan diri dan mengakali sistem operasi
targetnya sehingga sistem operasi tersebut tidak menyadari kehadiran rootkit
ini. Malware tipe ini beroperasi pada wilayah kernal dari sistem operasi,
sehingga membuat dirinya tidak dapat dijangkau oleh aplikasi antivirus.
1.2 Permasalahan
Kemajuan
teknologi virtualisasi hardware telah membuka peluang untuk rootkit bermigrasi
dari level kernel sistem operasi ke level yang lebih rendah lagi, yaitu
hardware. Kombinasi antara mesin virtual dan rootkit menghasilkan sebuah
ancaman baru yang disebut Virtual Machine Based Rootkit (VMBR)[6],. VMBR
beroperasi pada level yang lebih rendah lagi dibandingkan dengan rootkit biasa.
1.3 Pertanyaan Penelitian
Pertanyaan penelitian
adalah bagaimana menghadapi rootkit yang berbasis pada mesin virtual?
BAB
II
LANDASAN
TEORI
2.1
Rootkit
Rootkit
adalah sekumpulan program yang bertujuan untuk menyembunyikan file, folder,
port yang terbuka, registry key, driver dan proses yang sedang berjalan
ditempat dia bernaung. Tujuan dari rootkit adalah untuk menyediakan jalan bagi
attacker agar aktifitasnya tidak terdeteksi dan tersembunyi. Jika karakteristik
virus dan worm didefinisikan oleh satu kata “replication“, maka rootkit dapat
didefinisikan sebagai “stealth“. Virus mereproduksi diri dan rootkit
menyembunyikan diri.
Rootkit akan berusaha menyembunyikan dirinya agar sistem
tersebut tidak bisa mendeteksi keberadaannya dan memperkuat aksesnya terhadap
sistem target. Rootkit tidak hanya menyembunyikan dirinya, tetapi juga
mempunyai kemampuan untuk menyembunyikan prosesnya yang sedang dikerjakan Rootkit
yang beroperasi pada level kernel mode akan mengubah dan memodifikasi beberapa
proses dan function pada kernel sistem operasi. Hal ini mengakibatkan aplikasi
antivirus yang berada pada user mode tidak dapat mendeteksi keberadaannya.
Namun demikian, ada beberapa keterbatasan rootkit level kernel, yaitu :
1) Bisa dideteksi dengan
Intrusion Detection System, apabila pihak defender berada pada level kernel
juga. Sehingga kemenangan akan ditentukan oleh design dan proses dari
masing-masing pihak dalam mengantisipasi lawannya.
2)
Problematika dengan fungsionalitas dan invisibilitas. Rootkit dengan fungsi
yang banyak akan mengurangi derajat invisibilitasnya. Sebaliknya rootkit dengan
hanya satu fungsi saja, minimum pada fungsi namun tinggi pada tingkat
invisibilitasnya.
2.2 Virtual Machine
Ide
dasar dari mesin virtual adalah mengekstraksi perangkat keras seperti CPU,
memori, disk drive ke beberapa environment sehingga menciptakan ilusi bahwa
masing-masing environment tersebut menjalankan komputernya sendiri. Meskipun
secara fisik tidak memiliki hardware, namun mesin virtual menciptakan keadaan
virtual “seakan-akan“ ada hardware tersebut.
VM
muncul karena adanya keinginan untuk menjalankan beberapa sistem operasi pada
satu perangkat keras tertentu. Sistem VM memungkinkan pembagian sumber daya
perangkat keras yang ada ke tiap-tiap VM yang berbeda. Dengan teknologi
virtualisasi, maka sebuah komputer tunggal bisa menjalankan beberapa komputer
virtual secara simultan dan bersama-sama.
Lapisan
perangkat lunak yang menyediakan virtualisasi disebut VMM atau Virtual Machine
Monitor. Diatas VMM dapat diinstall sebuah guest software (sistem operasi dan
aplikasi). VMM akan menyediakan abstraksi hardware untuk guest software ini
menggunakan emulated hardware. Selanjutnya Guest software akan berinteraksi
dengan hardware virtual dengan cara yang sama seperti berinteraksi dengan
hardware yang sebenarnya. Contohnya pada instruksi in/out, DMA, dan lain-lain.
Semua guest software (termasuk sistem operasi) bekerja pada mode user,
sedangkan VMM beroperasi pada level kernel. VMM akan mengisolasi semua sumber
daya dari masing-masing mesin virtual dalam berhubungan secara langsung. Beberapa contoh virtual machine seperti Vmware,
mendukung instalasi untuk mesin X86, beberapa variasi sistem operasi linux,
NetWare, Solaris dan sistem operasi Windows termasuk sistem operasi 64-bit.
2.3. Virtual Machine
Based Rootkit
Virtual
Machine Monitor (VMM) adalah powerful platform bagi rootkit. Rootkit mempunyai
peluang untuk mengeksploitasi level hardware dan menaklukan IDS yang beroperasi
pada level kernel. VMBR akan memindahkan sistem operasi target kedalam virtual
machine dan menjalankan sistem operasi target (Target OS) diatas lapisan VMM.
Rootkit
mengisolasi target OS didalam virtual machine, sehingga aplikasi keamanan
(contohnya IDS) dari target OS menjadi tidak efektif ketika berhadapan dengan
VMBR dan aplikasi malwarenya. Bukan hanya tidak efektif, tapi secara total
tidak kelihatan oleh aplikasi kemanan tersebut. Sistem operasi target target
akan melihat perubahan yang sedikit bahkan tidak ada perubahan sama sekali pada
memory space, disk space, dan executionnya.
Dalam
keadaan dimana VMM telah dieksploitasi oleh VMBR, maka VMBR dapat melihat dan
memodifikasi semua states dan events yang ada pada target OS seperti
keystrokes, paket network, disk state dan memory state, tanpa diketahui oleh
target OS. Hal ini disebabkan VMBR mengendalikan secara penuh virtual hardware
dari target OS dan aplikasi didalamnya. Selanjutnya
VMBR menjadi platform yang aman dalam pengembangan aplikasi malicious tanpa
diketahui oleh target OS.
VMBR
menggunakan sistem operasi tersendiri (Attack OS) sehingga tidak kelihatan oleh
aplikasi dari sistem operasi target namun mudah untuk diimplementasikan.
Kemampuan untuk tidak tampak memberikan kebebasan kepada malicious services
untuk dijalankan pada user mode attack OS tanpa khawatir akan teridentifikasi
oleh target OS.
Malicious services VMBR dapat diklasifikasikan
dalam 3 kategori.
1) Malicous services yang tidak membutuhkan interaksi dengan target OS.
Malicious jenis ini tidak berkomunikasi dengan target OS. Contohnya : spam
relays, distributed denial-of-service zombie, dan phising web server.
2) Malicious services
yang mengumpulkan informasi dari target OS. Malicious jenis ini akan
mengumpulkan data dan events dari target OS. VMBR memungkinkan untuk
menjalankan aplikasi keystroke, mencatat (log) paket jaringan, dengan cara
memodifikasi VMM dari aplikasi device emulation. Sebagai contoh, VMBR dapat
mencatat semua paket jaringan dengan memodifikasi VMM dari emulated kartu
jaringan. Modifikasi ini tidak kelihatan oleh target OS karena interface dari
kartu jaringan tidak mengalami perubahan.
3) Malicious services
yang dengan sengaja mengganggu pelaksanaan eksekusi fungsi dan prosedur dari
target OS.
4) Sebagai contoh
malicious services dapat mengubah komunikasi jaringan, menghapus pesan email
atau mengubah perintah eksekusi dari target aplikasi. VMBR dapat
mengkustomisasi VMM dari lapisan device emulator untuk mengubah data pada level
hardware.
