Ursprung und Arten von Rootkits

Durchlöcherte System-Wurzeln

21.03.2007 | Redakteur: Stephan Augsten

Rootkits sind schwer aufzuspüren und können Hackern die volle Kontrolle über ein System verschaffen. Hat ein Cyberkrimineller erst einmal ein Rootkit installiert, wird man ihn so einfach nicht mehr los. Erfahren Sie in diesem Beitrag, wie die beliebten Black-Hat-Tools benutzt werden und wie sich feststellen lässt, ob sich jemand in Ihrem System versteckt.

Findet ein Hacker ein angreifbares System und verschafft sich Zugang zum Root-Verzeichnis, wird der Systemadministrator früher oder später feststellen, dass seine Box jemand anderem „gehört“. Um nach der Reparatur des Systems einen Rausschmiss zu verhindern, installiert der Hacker beim ersten Eindringen ein Rootkit.

Diese Malware dient dem Angreifer dazu, die Spuren seiner Anwesenheit zu verdecken. Zahlreiche Rootkits beinhalten zudem andere erweiterte Tools. Mit ihrer Hilfe könnte sich ein Hacker so genannte „back doors“ (Hintertürchen) bauen, um sicherzugehen, dass er weiterhin Zugang zum kompromittierten System hat.

Auf diese Weise fängt ein Rootkit beispielsweise Login-Abfragen ab und garantiert dem Angreifer verdeckten Zugang durch eine spezielle Benutzer-ID und ein Passwort. Keystroke Logger, Packet Sniffer und andere bösartige Codes in Rootkits sind nichts Ungewöhnliches.

Versteckte Angriffe

Angreifer verschleiern ihre Anwesenheit, indem sie Spuren von Login-Daten sowie aufgezeichnete Eingänge und Vorgänge mit erkennbarem Bezug zu ihren Aktivitäten verstecken oder verschwinden lassen. Manche Rootkits erreichen dieses, indem sie die Binaries für Systemverwaltungs-Kommandos mit modifizierten Versionen ersetzen, die den Hackern ein ungestörtes Arbeiten ermöglichen.

Zum Beispiel wird in einem Unix- oder Linux-System das „ls“-Kommando mit einer Version ausgetauscht, die gefährliche Dateien in bestimmten Verzeichnissen gar nicht erst auflistet. Oder das Rootkit manipuliert das „ps“-Kommando, das eigentlich die systeminternen Prozesse auflisten soll. Dieses wird gegen einen Befehl getauscht, der praktischerweise die Prozesse ignoriert, die vom Angreifer gestartet wurden.

In ähnlicher Form werden jene Programme modifiziert, die für das Einloggen verantwortlich sind. Auf diese Weise wird der Angreifer dabei unterstützt, sich möglichst unauffäliig im geknackten System zu bewegen. Einem Administrator wird bei einer Systemprüfung kaum auffallen, dass alle möglichen Informationen durcheinander gewürfelt und ausgewechselt wurden.

Rootkit-Styles

Einige Rootkits bewältigen ihre Aufgabe, indem sie ihre Binär-Informationen auswechseln. Diese User-Mode-Rootkits können aufgespürt werden, indem man nach Veränderungen in der Größe, dem Datum und Ckecksummen von Schlüsselsystemdateien sucht.

Erfahrene Angreifer nutzen allerdings auch Kernel-Mode-Rootkits, um noch verborgener zu arbeiten. Dabei wird die Linux-Eigenschaft ausgenutzt, Kernal-Extensions im Betrieb zu laden. So legen diese Rootkits unerkannt einen „Bypass“ zum Herz der Maschine, fangen Aufrufe von legitimen Programmen ab und geben nur die Daten zurück, die der Angreifer freigibt. So ein Rootkit aufzuspüren ist sehr schwierig, da es die gesamte Umgebung kontrolliert.

Obwohl diese Malware-Art ursprünglich aus der Unix/Linux-Welt stammt, gibt es mittlerweile auch viele Rootkits für das Windows-Umfeld. Diese verfügen über dieselben Funktionalitäten wie ihre *nix-Vorgänger (*nix = Unix und Derivate). Einige dieser Windows-Rootkits sind bereits weit entwickelt. Die Internetseite rootkit.com gewährt einen Blick auf die aktuelle Technik und sorgt für eine „gesunde Paranoia“.

Schutz

Rootkits sind eine Bedrohung auf der zweiten Sicherheitsebene, vor einem solchen Angriff müssen also zunächst andere Sicherheitsfehler begangen werden. Die beste Verteidigung gegen diese Malware ist das Verhindern ihrer Installation.

Umfassender Schutz ist demnach nur gewährleistet, wenn ein Angreifer gar nicht erst ins interne Netzwerk vordringen kann. Beispielsweise ermöglichen generelle Konfigurationsfehler, eine schwache Authentisierung oder ungepatchte Schwachstellen dem Hacker, ins System hineinzukommen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2000574 / Security-Testing)