Kontakt: Ingo Lücker, ingo.luecker@itleague.de
Heute dreht sich alles um das Thema: „Was ist eigentlich ein Rootkit?“
Bei einem Rootkit handelt es sich um eine ganze Sammlung verschiedener Schadprogramme. Diese nisten sich über eine Sicherheitslücke in einen Computer ein und ermöglichen einem Angreifer, den dauerhaft Remote-Access (ferngesteuerten Zugriff) auf den Rechner. Je nachdem, auf welcher Berechtigungsebene sich das Rootkit ausgebreitet hat, kann es dem Angreifer sogar umfassende Administrationsrechte verschaffen, wodurch er die uneingeschränkte Kontrolle über den Rechner erhält.
Da Rootkits in der Lage sind, sich und andere virtuellen Schädlinge zu verstecken, können sie unter anderem Änderungen auf der grundlegendsten Ebene eines Rechners vornehmen, Dateien auszuführen, das System modifizieren und seine Verwendung nachverfolgen. Und das Ganze geschieht natürlich ohne das Wissen des eigentlichen Nutzers. Deswegen werden Rootkits oft auch „Tarnviren“ genannt, obwohl sie per Definition nicht als Viren klassifiziert werden.
Geschichte:
Die ersten Rootkits tauchten in den frühen 90er-Jahren auf. Damals zielten sie noch ausschließlich auf Unix-ähnliche Betriebssysteme wie Linux ab. Aus dieser Zeit stammt auch ihre Bezeichnung: Mit „Root“ wird bei Unix der Administrator bezeichnet, der Wortteil „kit“ bedeutet wiederum so viel wie „Ausrüstung“ oder „Werkzeugkasten“. Ein „Rootkit“ ist also ein Programm, das einem Anwender (berechtigt oder unberechtigt) privilegierten Zugriff auf einen Computer ermöglicht. Einige von Ihnen dringen bis in den Kernel – also den innersten Kern und damit die „Wurzel“ (Englisch: „root“) – des Systems vor und werden von dort aus aktiv.
Wie funktionieren Rootkits eigentlich?
Inzwischen gibt es die verschiedensten Arten von Rootkits. Doch die Funktionsweise der Rootkits und das Vorgehen zur Infiltration eines Systems ist immer noch dieselbe:
- Infektion
Zuerst wird ein System infiziert: Das geschieht entweder durch
(Social Engineering, Drive-by-Download, einem USB Stick oder einem Evil Maid Attack)
- Social Engineering, wo Cyberkriminelle durch Beeinflussung oder bewusste Täuschung von Mitarbeitern an Zugangsdaten und Passwörter gelangen, und so Zugriff auf den Rechner erhalten und das Rootkit installieren
oder durch
- Drive-by-Download. Hier gelangen Rootkits beim Herunterladen einer Software aus einer unsicheren Quelle oder per Klick auf einen Link oder Anhang in einer Phishing-E-Mail auf den Rechner.
oder durch
- einen USB-Stick, der ein Rootkit enthält und durch einen unbedachter Finder und seiner Neugier auf eine Rechner gelangt oder aber durch den Häcker eigenhändig auf einem unbewachten Computer installiert wird. Man nennt diese Art von System Infizierung auch „Evil Maid Attacks“ zu Deutsch: „Böses-Dienstmädchen-Angriff.
- Tarnung (Stealth)
Sobald das System infiziert ist, und sich das Rootkit eingenistet hat, erfolgt die Tarnung. Dafür beginnt das Rootkit, jene Prozesse zu manipulieren, über die Programme und Systemfunktionen Daten untereinander austauschen. Auf diese Weise erhält ein Virenprogramm bei einem Scan lediglich gefälschte Informationen, aus denen sämtliche Hinweise auf das Rootkit herausgefiltert wurden. Aus diesem Grund ist es selbst professioneller Antivirus-Software oft unmöglich, die Schädlinge anhand ihrer Signaturen oder einer Verhaltensanalyse (Heuristik) ausfindig zu machen.
- Hintertür (Backdoor) einrichten
Im letzten Schritt richtet das Rootkit eine sogenannte „Backdoor“ zu deutsch eine Hintertür im System ein. Diese wird vom Angreifer Hacker mittels eines ausgespähten Passworts oder einer Shell genutzt, um dauerhaft via Remote-Access auf den Rechner zuzugreifen. Häufig werden mit einem Rootkit infizierte Rechner auch zu Bot-Netzen zusammengeschlossen und für Phishing oder DDoS-Attacken mobilisiert.
Dem Rootkit kommt dabei die Aufgabe zu, jeden Anmeldevorgang und jede verdächtige Aktivität zu verbergen.
Was für Rootkits gibt es eigentlich?
Rootkits unterscheiden sich vor allem in ihrer Methodik, mit der sie Malware-Prozesse und Hacker-Aktivitäten tarnen. Am häufigsten kommen Kernel- und User-Mode-Rootkits zum Einsatz.
- Kernel-Mode-Rootkits
Kernel-Mode-Rootkits nisten sich im Kernel eines Betriebssystems ein und ermöglicht somit den Tiefenzugriff auf sämtliche Hardware-Komponenten und erlaubt beliebige Veränderungen von Systemeinstellungen. Das bedeutet: Konnte ein Angreifer dort ein Rootkit platzieren, erhält er die volle Kontrolle über das gesamte System.
- User-Mode-Rootkit
Im Gegensatz zu Kernel-Mode-Rootkits agieren User-Mode-Rootkits lediglich auf der Benutzerebene eines Computers. User-Mode-Rootkits tarnen sich, indem sie den Datenverkehr zwischen dem Betriebssystem und den installierten Viren- und Sicherheitsprogrammen abfangen und manipulieren.
- Sonstige Rootkits
Neben diesen beiden unterscheidet man noch vier weitere Arten von Rootkits, die eher als ungefährlich eingestuft werden:
- Application-Rootkit:
Application-Rootkit ist die primitivste Variante des Rootkits. Sie ersetzt Systemprogramme durch eigene, modifizierte Varianten und ist daher recht einfach zu erkennen. Aus diesem Grund wird sie von Angreifern kaum noch eingesetzt.
- Speicher-Rootkit:
Speicher-Rootkit können nur im Arbeitsspeicher existieren und verschwinden demnach vom System, sobald es neu gestartet wird.
- Bootkits:
Bootkits verändern den Bootsektor, die Software, die vor dem Laden des Betriebssystems gestartet wird.
- Mobile Rootkits
Mobiler Rootkits attackieren vor allem Android-Geräte. Diese Rootkits sind meist Teil einer schädlichen App, die von einem Drittanbieter-App-Store heruntergeladen wird.
Zu guter Letzt widme ich mich der Frage, wie kann man sich vor Rootkits schützen?
Die Sicherheitsmaßnahmen gegenüber Rootkits sind grundsätzlich dieselben, die auch für andere häufig vorkommende Schädlingstypen gelten:
- Nutzen Sie starke Passwörter.
- Führen Sie regelmäßig Security Awareness Schulungen für Ihre Mitarbeiter durch
- Implementieren Sie mehrstufige Sicherheitsprogramme in Ihre IT-Infrastruktur.
- Pflegen Sie Ihr System mit regelmäßigen Updates.
oder Sie nutzen speziell auf Rootkits ausgerichtete Programme wie beispielsweise den sogenannten Rootkit-Scan. In manchen Security-Softwares ist diese Funktion bereits enthalten.