Bedrohungen durch Rootkits wechseln von Linux- auf Windows-Systeme

Was nutzen Rootkits aus?
Gibt es keine Möglichkeit zur Kompromittierung der Sicherheit eines Systems, kann ein Rootkit gar nicht erst installiert werden. Die Kompromittierung des Systems kann durch Social Engineering, Brute Force Attacks oder bekannte Sicherheitsmängel in Systemabläufen erreicht werden.

Die beliebteste Methode ist die Installation von Rootkits über bekannte Mängel. Im Grunde ermöglicht es ein Sicherheitsloch (oder eine Schwäche) in einer beliebigen Anwendung, einem Daemon oder einem Prozess dem Hacker, das Rootkit unbemerkt einzuschleusen. Angreifer haben bereits Prozesse wie WUFTP, BIND und Xlib diesbezüglich ausgenutzt. Häufig handelt es sich bei diesen Mängeln um Pufferüberlaufprobleme, die nach ihrer Entdeckung schnell behoben werden. Die beste Verteidigung besteht darin, bezüglich solcher Sicherheitsmängel immer auf dem neuesten Stand zu bleiben und alle veröffentlichten Patches sofort zu installieren.

Muster-Rootkits
Viele Rootkits lassen sich auf verschiedenen Betriebssystemen installieren. An dieser Stelle werden wir ein Test-Rootkit für Windows untersuchen sowie Rootkit IV, eines der beliebtesten Linux-Rootkits.

Das NT-RootKit
Ein Rootkit zu Testzwecken mit dem Namen NT RootKit ist aufgetaucht. Es ist in der Lage:

• Prozesse zu verstecken, damit sie nicht in der Liste erscheinen können.
• Dateien und Registrierungseinträge zu verstecken.
• Tastenanschläge aufzuzeichnen.
• Ausführbare Dateien umzuleiten.
• Befehle auszugeben, die zu einem so genannten „Blue Screen“ führen.

Selbst in seiner Testphase ist dieses Rootkit schon gefährlich, denn es kann einen Backdoor-Prozess verbergen, der ständigen Zugriff auf das System ermöglicht. Dieses Rootkit beinhaltet auch seinen eigenen TCP/IP-Stack, so dass netstat unter Windows NT und 2000 keine Prozesse anzeigt. Zusätzlich verwendet dieser Stack Raw Sockets, die ihm erlauben, viel mehr zu tun, als der eingebaute Windows TCP/IP-Stack normalerweise erlauben würde. Raw Sockets erlauben dem Entwickler eines Rootkits die Codierung von Anwendungen, die TCP/IP-Sockets auf unerwartete Weise verwenden: so lässt sich zum Beispiel eine Anwendung schreiben, die Befehle über einen Port entgegennimmt, der sicherer wäre, würde er mit dem in Windows integrierten TCP/IP-Stack verwendet. Raw Sockets müssen nicht zwangsläufig schlecht sein – werden sie jedoch für Hacker-Zwecke verwendet, können sie sehr gefährlich sein.

Für alle, die jetzt noch nicht sicher sind, wie ein Rootkit seine Trümpfe ausspielen kann, bietet Listing A einen Auszug aus einer der Informationsseiten bezüglich der Fähigkeit des NT-RootKits, ausführbare Dateien umzuleiten.

Daran lässt sich sehen, wie gefährlich diese Utilities-Sammlung für einen Windows-Computer sein kann. Der unautorisierte Systemzugriff ist immer schlecht, die Instruktionen in Listing A erklären aber darüber hinaus, wie ein Angreifer in der Lage sein kann, Trojaner-Versionen von System-Utilities zu installieren, später erneut einzudringen und auf sie zuzugreifen. Zusätzlich wird beschrieben, dass die zyklische Redundanzprüfung (CRC) und die Hashzahlen der Datei weiterhin dem Original entsprechen, wodurch die Veränderungen unbemerkt bleiben können. Weitere Informationen über das NT-RootKit finden sich auf der MegaSecurity-Website.