Wie ein Rootkit schädlichen Code vor der Antivirus-Software verbirgt

Eine Tarnkappe für Trojaner, Backdoor, Internet-Virus und Spyware

14.11.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Ein Rootkit wirkt wie eine Tarnkappe für Malware.
Ein Rootkit wirkt wie eine Tarnkappe für Malware.

Malware-Programme verschiedenster Art besitzen Funktionen, um sich zu verstecken. Diesen Aspekt der Schädlinge nennt man Rootkit. Doch kaum ein Begriff in der Security-Welt ist so unglücklich gewählt, denn diese Tarnkappen-Funktionen haben mit den herkömmlichen Rootkits wenig bis gar nichts gemeinsam. Security-Insider erläutert Ihnen die ursprüngliche und aktuelle Bedeutung von Rootkits für Online- und Malware-Attacken.

Ursprünglich war ein „Rootkit“ eine Sammlung („Kit“) von Programmen, die ein Hacker einsetzte, sobald er sich Administratoren-Rechte („Root“) auf einem UNIX-Rechner verschafft hatte. Mit diesen Tools sorgte der Angreifer dafür, auch später – nach eventuellen Sicherheitsmaßnahmen der legitimen Administratoren – seinen Zugang zu behalten. Ferner stellte er sicher, dass sein Eindringen unbemerkt blieb.

Viren auf Windows-Rechnern verfügen schon seit vielen Jahren über Funktionen, die ihre Existenz verschleiern sollen. Dabei kann es sich auch um die reine Vorsichtsmaßnahme handeln, damit das Programm nicht im Task-Manager auftaucht. Mit der Zeit wurden diese Features immer ausgeklügelter, sodass ein eigner Begriff für sie nötig wurde – und da griff man auf den Namen „Rootkit“ zurück.

Ganz gleich, was der Name suggerieren mag: Ein Rootkit ist keine Programmsammlung, sondern nur eine Malware-Funktion. Es verschafft keinen Root-Zugang, sondern dient nur der Tarnung. Besser wäre es also, von „Tarnkappen-Funktionen“ zu sprechen.

Funktionsweise von Rootkits

Zur Tarnung können Rootkits natürlich einzelne Betriebssystem-Fehler verwenden; so weist der Windows-Registry-Editor einen Bug auf, der verhindert, dass Schlüssel-Inhalte angezeigt werden, sofern sich ein einziger überlanger String-Wert im entsprechenden Schlüssel befindet. Es lassen zahllose derartige Beispiele zusammentragen, aber es handelt sich dabei stets nur um Einzelfälle, die sich unter „Ausnutzung vorhandener Bugs“ zusammenfassen lassen.

Ein allgemein gültiger Angriffsweg ist das Austauschen einzelner Betriebssystem-Programme. Dabei werden Tools, die z.B. laufende Programme, offene Netzwerkverbindungen oder auch Inhalte von Verzeichnissen anzeigen, durch manipulierte Fakes ersetzt. Diese gleichen zwar äußerlich den Originalen, stellen aber eben nicht die inkriminierenden Einträge dar. Allerdings lassen sich solche Angriffsformen relativ leicht bekämpfen, indem man beispielsweise Prüfsummen wichtiger Tools mit denen vorhandener Dateien vergleicht.

Deswegen sind Rootkit-Autoren schon vor einer Weile dazu übergegangen, die Versteck-Funktionen auf tieferer Ebene anzusiedeln. Dabei werden dann entweder Bibliotheken, Gerätetreiber oder – bei Unix-artigen Systemen – sogar nachladbare Kernel-Module manipuliert.

Seite 2: Theoretische Gefahren

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2009093 / Mobile- und Web-Apps)