Bagaimana Mendeteksi Rootkit di Windows, Linux dan Mac?

Anda telah datang ke tempat yang tepat jika Anda ingin mempelajari cara mendeteksi rootkit pada sistem operasi yang berbeda dan cara mencegahnya.

Rootkit adalah sejenis malware terselubung dan mematikan yang digunakan peretas untuk mengambil kendali penuh atas komputer atau jaringan. Menggunakan Rootkit, penyerang dapat dengan mudah memanipulasi dan mencuri data dari sistem.

Rootkit mungkin muncul sebagai satu bagian dari perangkat lunak, tetapi biasanya merupakan seperangkat alat yang memberikan akses administratif tidak sah kepada penyerang ke sistem target sambil secara aktif menyembunyikan keberadaannya.

Setelah rootkit ditempatkan di sistem entah bagaimana, penyerang akan memiliki kemampuan untuk mengeksekusi file jarak jauh dan mengubah konfigurasi sistem mesin host. Cara termudah untuk mengidentifikasi infeksi rootkit di sistem atau server adalah dengan menjalankan pemindaian rootkit.

Mari kita mulai.

Bagaimana cara mendeteksi Rootkit dalam suatu sistem?

Tidak mudah mendeteksi rootkit secara manual di komputer atau server. Rootkit selalu menyamar dalam bentuk aplikasi atau file lain. Jadi sulit untuk mendeteksi keberadaan mereka. Namun, ada beberapa alat baris perintah, perangkat lunak, dan metode untuk mendeteksi rootkit di berbagai sistem operasi secara otomatis.

jendela

Untuk windows, tidak ada alat baris perintah untuk mendeteksi rootkit. Namun, aplikasi pemindai yang kuat dan lengkap yang disebut GMER mendeteksi dan bahkan menghapus rootkit dengan sangat efektif pada sistem windows.

Alat ini mencari seluruh sistem untuk utas tersembunyi, kunci registri, dan proses tersembunyi lainnya. Melakukan semua jenis analisis seperti perilaku, tanda tangan, dan pemeriksaan integritas untuk mendeteksi dan menghapus rootkit.

Aplikasi ini bermanfaat untuk mendeteksi semua jenis rootkit seperti mode kernel, aplikasi, memori, dan rootkit bootloader. Ia bekerja pada semua OS Windows utama.

Linux dan Mac OS

Di semua distribusi Linux dan Mac OS, Anda dapat dengan mudah mendeteksi rootkit menggunakan alat baris perintah chkrootkit dan rkhunter .

Menggunakan chkrootkit

chkrootkit mencari secara mendalam trojan, malware, dan jenis kode berbahaya lainnya dalam sistem biner mesin. Itu mencari perubahan yang dibuat rootkit dalam binari yang dapat dieksekusi sistem. chkrootkit tidak diinstal sebelumnya di distribusi Linux.

Alat ini mudah digunakan dan dapat diinstal dengan perintah berikut:

 sudo apt-get install chkrootkit

atau Anda juga dapat menginstalnya dengan mengkloning repositori Git.

 git clone https://github.com/Magentron/chkrootkit.git

Selanjutnya, navigasikan ke direktori itu dan jalankan chkrootkit.

 ./chkrootkit

Perintah ini memulai pencarian rootkit di sistem. Anda dapat menggunakan perintah bantuan untuk instruksi lebih lanjut tentang penggunaan alat ini.

 ┌──(rootkali)-[/home/geekflare/chkrootkit] └─# ./chkrootkit -help Usage: ./chkrootkit [options] [test ...] Options: -h show this help and exit -V show version information and exit -l show available tests and exit -d debug -q quiet mode -x expert mode -r dir use dir as the root directory -p dir1:dir2:dirN path for the external commands used by chkrootkit -n skip NFS mounted dirs

Alat ini terutama bekerja pada analisis tanda tangan dan pemeriksaan integritas untuk memburu rootkit di sistem atau server.

Menggunakan rkhunter

Sebagai alternatif, ada alat baris perintah lain untuk menemukan rootkit di distribusi Linux. Itu adalah rkhunter . Alat ini juga dapat mendeteksi eksploitasi jarak jauh dan pintu belakang dalam sistem. Cukup instal alat ini menggunakan perintah berikut.

 $ sudo apt-get install rkhunter

Langkah selanjutnya adalah menjalankan rkhunter untuk mendeteksi backdoor dan rootkit.

 $ rkhunter -c

Itu melakukan pencarian, dan status akan diberikan secara default. Jika ada masalah, itu akan menunjukkannya dengan warna merah.

Ini adalah alat yang sempurna untuk analisis forensik karena melakukan tes jaringan tambahan, pemeriksaan modul kernel, dan tes lain yang tidak dilakukan chrootkit .

Alat ini bekerja pada analisis perilaku, analisis tanda tangan dan mengambil kondisi boot pada media yang berbeda untuk mendeteksi rootkit.

Selalu pastikan Anda memperbarui database chkrootkit dan alat rkhunter sebelum melakukan pemindaian. Hanya dengan begitu Anda akan dapat mendeteksi rootkit terbaru yang sedang keluar. Untuk itu, pastikan sistem Linux Anda up to date dengan patch terbaru menggunakan perintah di bawah ini.

 $ sudo apt update && sudo apt upgrade

Alat Penghapus Rootkit

Aplikasi dan alat penghapusan rootkit yang tercantum di bawah ini mudah digunakan dan efektif. Alat-alat ini dapat secara otomatis mendeteksi dan menghapus rootkit dari sistem.

#1. Alat Avast Rootkit Scanner sangat ampuh untuk mendeteksi dan menghapus rootkit dari pemindaian tanda tangan sistem. Analisis dump memori dan pencarian memori sistem adalah beberapa fiturnya. Program ini juga melacak semua panggilan perpustakaan DLL (Dynamic-Link Library) yang diimpor.

Ini memiliki sistem pelaporan komprehensif yang memungkinkan Anda untuk melihat hasil pemindaian saat ini dan sebelumnya serta laporan peringatan email setelah setiap pemindaian.

Tidak hanya komputer, Anda juga dapat menghapus rootkit dari ponsel Android atau iOS menggunakan Avast.

#2. Malware Bytes mencegah rootkit, adware, spyware, dan ancaman lain menginfeksi komputer Anda. Program ini memeriksa integritas memori kernel dan memberi tahu pengguna tentang masalah potensial apa pun. Ini memungkinkan Anda untuk memindai sistem Anda untuk rootkit hanya dengan satu klik. Ini juga akan membuat Anda tetap aman saat online sambil menjaga komputer Anda bekerja dengan lancar.

#3. Lynis adalah alat audit keamanan yang sangat baik untuk sistem Linux & BSD. Ini mengaudit beberapa elemen keamanan dan konfigurasi sistem Anda dengan sangat rinci. Lynis dapat mendeteksi masalah keamanan, seperti rootkit dan backdoor, serta kelemahan konfigurasi.

Alih-alih hanya mengidentifikasi kekurangannya, ini juga memberikan solusi seperti file mana yang harus dihapus dan apa yang harus dilakukan untuk menghindari infeksi ulang.

#4. Rubah malware menggunakan perpustakaan rootkit berbasis cloud; itu memeriksa sistem untuk semua jenis rootkit. Rootkit lanjutan, seperti keylogger, juga dapat dideteksi. Itu dapat mendeteksi dan menghapus semua jenis rootkit dan menutup semua pintu belakang yang mungkin digunakan peretas untuk mendapatkan akses ke komputer Anda. Basis datanya juga diperbarui secara berkala untuk memastikan keamanan yang optimal.

#5. Sophos adalah alat praktis yang mendeteksi dan menghapus rootkit dengan cepat. Alat ini terutama menggunakan analisis perilaku (memeriksa perilaku setiap file dan aplikasi), dan jika ada file atau program yang bertindak serupa dengan rootkit, mereka akan segera dihapus. Bahkan melindungi kunci registri dan lokasi file dari infeksi ulang lagi.

Kesimpulan

Instal perangkat lunak anti-malware yang canggih dan kuat di komputer Anda dan berhati-hatilah setiap saat saat membuka lampiran dan email yang tidak dikenal. Unduh file dan program hanya dari sumber yang dapat dipercaya. Perlindungan terbesar terhadap rootkit adalah dengan menyiapkan proses pencadangan otomatis dan terenkripsi ke penyimpanan cloud.

Jika rootkit telah sangat menginfeksi sistem Anda, satu-satunya cara untuk menghapusnya adalah menginstal ulang sistem operasi.

Anda mungkin juga tertarik untuk mempelajari tentang alat untuk memindai server Linux dari malware dan kelemahan keamanan.