Was nutzen Rootkits aus?
Gibt es keine Möglichkeit zur Kompromittierung der Sicherheit eines Systems, kann ein Rootkit gar nicht erst installiert werden. Die Kompromittierung des Systems kann durch Social Engineering, Brute Force Attacks oder bekannte Sicherheitsmängel in Systemabläufen erreicht werden.
Die beliebteste Methode ist die Installation von Rootkits über bekannte Mängel. Im Grunde ermöglicht es ein Sicherheitsloch (oder eine Schwäche) in einer beliebigen Anwendung, einem Daemon oder einem Prozess dem Hacker, das Rootkit unbemerkt einzuschleusen. Angreifer haben bereits Prozesse wie WUFTP, BIND und Xlib diesbezüglich ausgenutzt. Häufig handelt es sich bei diesen Mängeln um Pufferüberlaufprobleme, die nach ihrer Entdeckung schnell behoben werden. Die beste Verteidigung besteht darin, bezüglich solcher Sicherheitsmängel immer auf dem neuesten Stand zu bleiben und alle veröffentlichten Patches sofort zu installieren.
Muster-Rootkits
Viele Rootkits lassen sich auf verschiedenen Betriebssystemen installieren. An dieser Stelle werden wir ein Test-Rootkit für Windows untersuchen sowie Rootkit IV, eines der beliebtesten Linux-Rootkits.
Das NT-RootKit
Ein Rootkit zu Testzwecken mit dem Namen NT RootKit ist aufgetaucht. Es ist in der Lage:
Selbst in seiner Testphase ist dieses Rootkit schon gefährlich, denn es kann einen Backdoor-Prozess verbergen, der ständigen Zugriff auf das System ermöglicht. Dieses Rootkit beinhaltet auch seinen eigenen TCP/IP-Stack, so dass netstat unter Windows NT und 2000 keine Prozesse anzeigt. Zusätzlich verwendet dieser Stack Raw Sockets, die ihm erlauben, viel mehr zu tun, als der eingebaute Windows TCP/IP-Stack normalerweise erlauben würde. Raw Sockets erlauben dem Entwickler eines Rootkits die Codierung von Anwendungen, die TCP/IP-Sockets auf unerwartete Weise verwenden: so lässt sich zum Beispiel eine Anwendung schreiben, die Befehle über einen Port entgegennimmt, der sicherer wäre, würde er mit dem in Windows integrierten TCP/IP-Stack verwendet. Raw Sockets müssen nicht zwangsläufig schlecht sein – werden sie jedoch für Hacker-Zwecke verwendet, können sie sehr gefährlich sein.
Für alle, die jetzt noch nicht sicher sind, wie ein Rootkit seine Trümpfe ausspielen kann, bietet Listing A einen Auszug aus einer der Informationsseiten bezüglich der Fähigkeit des NT-RootKits, ausführbare Dateien umzuleiten.
Daran lässt sich sehen, wie gefährlich diese Utilities-Sammlung für einen Windows-Computer sein kann. Der unautorisierte Systemzugriff ist immer schlecht, die Instruktionen in Listing A erklären aber darüber hinaus, wie ein Angreifer in der Lage sein kann, Trojaner-Versionen von System-Utilities zu installieren, später erneut einzudringen und auf sie zuzugreifen. Zusätzlich wird beschrieben, dass die zyklische Redundanzprüfung (CRC) und die Hashzahlen der Datei weiterhin dem Original entsprechen, wodurch die Veränderungen unbemerkt bleiben können. Weitere Informationen über das NT-RootKit finden sich auf der MegaSecurity-Website.
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…
Höchste Zeit für eine schnelle Kupfer-Glas-Migration. Bis 2030 soll in Deutschland Glasfaser flächendeckend ausgerollt sein.
Schon im April 2025 soll Android 16 den Status Plattformstabilität erreichen. Entwicklern gibt Google danach…
Die Hintermänner setzen KI-Chatbot-Tools als Köder ein. Opfer fangen sich den Infostealer JarkaStealer ein.