Upload File

rootkit hardware manipulation

20
Rootkit Hardware Manipulation D.YOSIWARA [ 10364720 ] M. IQBAL [ 10364028 ] ISTN JAKARTA 2014

Upload: tehnik-informatika-share

Post on 25-Nov-2015

38 views

Category:

Documents


4 download

Report

Tags:

TRANSCRIPT

  • RootkitHardware ManipulationD.YOSIWARA [ 10364720 ]M. IQBAL [ 10364028 ]ISTN JAKARTA2014

  • Definisi Rootkit

    Rootkit : Software that enables continued privilegedaccess to a computer while actively hiding its presencefrom administrators by subverting standard operatingsystem functionality or other applications. The term rootkitis a concatenation of "root" (the traditional name of theprivileged account on Unix operating systems) and theword " kit" (which refers to the software components thatimplement the tool)

  • Definisi Rootkit

    Rootkit juga bisa diartikan : a set of software tools intended to conceal runningprocesses, files or system data from the operating system.Rootkits often modify parts of the operating system or installthemselves as drivers or kernel modules.

    Dari pengertian tersebut dapat kita garis bawahi bahwa rookit adalah sebuahkumpulan software yang memanipulasi bagian dari sebuah sistem(aplikasi,firmware, sistem operasi, maupun hypervisor) dengan tujuan utama memberikan hak akses penuh kepada pengguna (relatif kepada penggunayang illegal) setelah proses gaining access atau exploitasi berlangsung(dengan pengecualian rootkit pada produk-produk tertentu yang telahditanam sebelum dipasarkan). Rootkit dalam aksinya berjalan secara diamdiam atau tersembunyi untuk terhindar dari kecurigaan pengguna yang sah.

  • Definisi Rootkit

    Rootkit juga bisa diartikan : a set of software tools intended to conceal runningprocesses, files or system data from the operating system.Rootkits often modify parts of the operating system or installthemselves as drivers or kernel modules.

    Dari pengertian tersebut dapat kita garis bawahi bahwa rookit adalah sebuahkumpulan software yang memanipulasi bagian dari sebuah sistem(aplikasi,firmware, sistem operasi, maupun hypervisor) dengan tujuan utama memberikan hak akses penuh kepada pengguna (relatif kepada penggunayang illegal) setelah proses gaining access atau exploitasi berlangsung(dengan pengecualian rootkit pada produk-produk tertentu yang telahditanam sebelum dipasarkan). Rootkit dalam aksinya berjalan secara diamdiam atau tersembunyi untuk terhindar dari kecurigaan pengguna yang sah.

  • Definisi Rootkit

    Rootkit juga bisa diartikan : a set of software tools intended to conceal runningprocesses, files or system data from the operating system.Rootkits often modify parts of the operating system or installthemselves as drivers or kernel modules.

    Dari pengertian tersebut dapat kita garis bawahi bahwa rookit adalah sebuahkumpulan software yang memanipulasi bagian dari sebuah sistem(aplikasi,firmware, sistem operasi, maupun hypervisor) dengan tujuan utama memberikan hak akses penuh kepada pengguna (relatif kepada penggunayang illegal) setelah proses gaining access atau exploitasi berlangsung(dengan pengecualian rootkit pada produk-produk tertentu yang telahditanam sebelum dipasarkan). Rootkit dalam aksinya berjalan secara diamdiam atau tersembunyi untuk terhindar dari kecurigaan pengguna yang sah.

  • Definisi Rootkit

    Walaupun pada awalnya rootkit bermakna dan berfungsi untuk memberikan akses root atau akun setaraf administrator, namun dalam perkembangannya rootkit seringkali diprogram untuk melakukan fungsi-fungsi lain yang berguna bagi attacker, seperti menyembunyikan file/direktori, memanipulasi traffic jaringan, menghilangkan proses, merekam ketikan keyboard pengguna, hingga pada pencurian data-data credentials milik user.

  • Hardware Manipulation

    Modifying FirmwireAccessing HardwareHardware AddressRing0 (kernel land) Salah satu metode rootkitThe Art? Kernel-Land Rootkit?

  • Hardware ManipulationModifying Firmwire

    Memodifikasi FirmwireSecara desain, prosesor akan mulai berfungsi denganmengeksekusi program yang tersimpan dalam chip memori.Sebagai contoh, PC mengeksekusi BIOS saat boot. Sistemperangkat keras sangat bervariasi, tetapi mereka semuaberbagi fakta umum: di suatu tempat, entah bagaimana, kode bootstrap harus diaktifkan. Kode bootstrap ini kadangkadang disebut firmware, itu selalu non-volatile (yaitu, tidak terhapus ketika sistem dimatikan). Jika Anda tidak tahuharus mulai dari mana, pergi ke kode boot.

  • Hardware ManipulationModifying Firmwire

    Mengingat firmware yang sangat penting bagi sistem operasi,rootkit tidak harus menghapus firmware fitur yang ada.Sebaliknya, rootkit harus menambahkan fitur baru untuk kodeyang ada.Gb.1 Rootkit menambahkan fitur baru pada firmwire yang ada

  • Hardware ManipulationAccessing Hardware

    Mengakses HardwareSebagian besar Hardware pada komputer dapatdikendalikan dengan perangkat lunak melalui memindahkandata dan instruksi ke dan dari microchip. Sebagian besarperangkat keras memiliki microchip yang dapat diatasi disuatu tempat.

  • Hardware ManipulationHardware Addresses

    Pengalamatan HardwareUntuk memindahkan data ke dan dari microchipmembutuhkan sebuah alamat. Biasanya alamat ini dikenalsebelumnya dan terprogram ke dalam sistem. Bus alamatterdiri dari banyak kawat kecil, beberapa di antaranyaditransfer ke masing-masing microchip. Jadi, dengan menentukan alamat untuk menulis ke dalammemori, Anda benar-benar memilih microchip. Setelah dipilih, microchip membaca data dari bus data.Microchip ini kemudian mengontrol hardware yangbersangkutan. angka

  • Hardware ManipulationHardware Addresses

    Pengalamatan HardwareGb.2 Bus Address memilih chip controller hardware, data kemudian dibaca.

  • Hardware ManipulationRing0 (kernel land)

    Salah satu metode Rootkit dalam memodifikasi hardwareRing0 (kernel land)adalah sebuah level mode dalam sebuah sistem operasi. Dalam komputer, sistem operasi memberikan hak akses terhadap penggunaan sumber daya(resources) yang berbeda pada masing-masing level. Dalam pengetahuan ilmu komputer, terdapat istilah hierarchical protection domains, yang sering juga disebut protection rings, yaitu sebuah mekanisme perlindungan data dan fungsionalitas komputer dari suatu kesalahan (fault) dan kegiatan yang berbahaya/mengancam(malicious behaviour).

  • Hardware ManipulationRing0 (kernel land)

    Ring tersebut tersusun dari tingkatan yang paling tinggi(most trusted, biasanya bernomor nol) menuju ke tingkatan yang rendah(least trusted, biasanya bernomor paling besar). Pada sebagian besar sistem operasi, Ring0 adalah tingkatan dengan akses level paling tinggi, dan bisa berinteraksi langsung terhadap resource hardware, seperti contohnya CPU atau memory.

    Gb.3 Model Protection Rings pada Intel IA-32

  • Hardware ManipulationThe Art? Kernel-Land Rootkit?

    Cara paling mudah untuk mengubah kernel adalah dengan menggunakan Loadable Modules, sebuah fitur dari sistem operasi modern untuk meningkatkan fungsionalitas- nya. Kernel Unix yang lebih lama hanya bisa dimodifikasi setelah melakukan re- compiling dari source code, dan me-rebootnya. Maka mekanisme pendeteksiannya cukup mudah, yakni jika terdapat reebot sistem yang dicurigai.Kernel rootkit bisa memberikan seluruh fitur user-mode rootkit dari arah low-level mode, serta dapat bersembunyi dan mengelabuhi kemampuan dari sebagian besar software pendekteksi dalam user mode. Tujuan utama kernel rootkit adalah berdasar pada cara menempatkan kode-kode berbahaya didalam kernel, dengan mengubah kode kernel atau melalui apapun cara yang tersedia untuk memanipulasi kernel yang sedang berjalan.

  • Hardware ManipulationThe Art? Kernel-Land Rootkit?

    beberapa jenis rootkit yang menggunakan LKMs sebagai media untuk melakukan instalasi diri:

    System Call/Syscall Hooking(adding, redirection, modification)

    Gb.4. System Call Hooking

  • Hardware ManipulationThe Art? Kernel-Land Rootkit?

    b) IDT Handler Hijacking

    Gb.5. IDT, IDTR, dengan Gate Interupts

  • Hardware ManipulationThe Art? Kernel-Land Rootkit?

    c) VFS Pointer Modification

    Gb.6. rootkit dengan pola interposisi antar objek interface dalam ext3 filesystem

  • Hardware ManipulationThe Art? Kernel-Land Rootkit?

    d) Abusing Debug Register/do_debug Tricks

    Gb.7. Debug Register Table Address

  • SEKIAN & TERIMA KASIH


2012-08-14 Experimenting with live Cyberattackers for ... · rootkit test rootkit test rootkit test rootkit test rootkit 26 close ftp 27 . 29 30 . decompress decompress secureport

The rootkit arsenal pt 1

Cybercrime und Cyberwar - Linuxwochen · 2015. 2. 6. · Virtualization Rootkit Blue Pill Bootloader Rootkit / Bootkit Evil Maid Attack Hardware/firmware Rootkit 07.05.2013 52 Botnetze

Linux kernel-rootkit-dev - Wonokaerun

Rootkit for the Masses

Rootkit case

Rootkit Identification

Uroburos: the snake rootkit

Anti forensics the rootkit connection

Malware memory analysis of the Jynx2 Linux rootkit … · Malware memory analysis of the Jynx2 Linux rootkit (Part 1) Investigating a publicly available Linux rootkit using the Volatility

Research on deception in defense of information systems · rootkit test rootkit test rootkit test rootkit test rootkit 26 close ftp 27 29 30 decompress secureport decompress secureport

Rootkit Hunting vs. Compromise - Awired

PhoneGap Hardware Manipulation

Vista system restore rootkit

Rootkit and Botnet

ROOT KITS. Overview History What is a rootkit? Rootkit capabilities Rootkits on windows OS Rootkit demo Detection methodologies Good tools for detection

Rootkit-Resistant Disks

ROOTKIT -MALWARE

Picture Manipulation using Hardware

Rootkit&honeypot aalonso-dcu-dec09

2009 Hack.lu Slides WM6 Rootkit

Yet Another Android Rootkit

Rootkit on Linux X86 v2.6

A Comparitive Analysis of Rootkit Detection Techniquesindex-of.co.uk/Rootkit/A Comparitive Analysis of Rootkit Detection Techniques.pdf · any methodical testing of these software

Rootkit presentation

Automated defense from rootkit attacks

A Comparitive Analysis of Rootkit Detection Techniquessceweb.sce.uhcl.edu/yang/research/A Comparitive Analysis of Rootkit Detection...A COMPARATIVE ANALYSIS OF ROOTKIT DETECTION TECHNIQUES

About rootkit

New Thoughts in Ring3 NT Rootkit

Rootkit on linux_x86_v2.6

A Comparitive Analysis of Rootkit Detection Techniquessce.uhcl.edu/yang/research/A Comparitive Analysis of Rootkit... · A COMPARATIVE ANALYSIS OF ROOTKIT DETECTION TECHNIQUES by

r77 Rootkit - bytecode77.com

Rootkit List

Hb gary (2008) rootkit report

The Rootkit Arsenal