Categories: Workspace

Bedrohungen durch Rootkits wechseln von Linux- auf Windows-Systeme

Hacker können Sicherheitsprivilegien auf Anwenderniveau erlangen und ein Rootkit installieren, bei dem es sich hauptsächlich um eine Tool-Sammlung zur Schädigung eines Systems oder Netzwerks handelt. Das Rootkit nutzt bekannte Sicherheitsmängel aus oder knackt das Passwort eines Anwenders mit Administratorrechten und verwischt dann die Spuren des Hackers, wodurch die Schädigung nur schwer aufzuspüren ist. Der beste Schutz eines Netzwerks vor Rootkits ist das Wissen um ihre Funktionsweise und die Art des Schadens, den sie anrichten können.

Wie Rootkits arbeiten
Einer der Hauptzwecke eines Rootkits besteht darin, einem Hacker irgendwann einmal ungehinderten und unbemerkten Zugang zu einem System zu ermöglichen. Eine Möglichkeit, dies zu erreichen, ist die Installation eines Backdoor-Prozesses oder der Ersatz einer oder mehrerer Dateien, welche die normalen Verbindungsprozesse ausführen, wie telnet oder ssh. Auf Linux-Plattformen ersetzen die meisten Rootkits auch einige Systembefehle, wie ls, ps, netstat und who.

Neben dem Ersatz von entscheidenden System-Utilities können Rootkits auch Software zur Aufzeichnung der Tastatureingaben und Netzwerk-Sniffer installieren. Obwohl die Schädigung eines Systems und Installation eines Rootkits bereits an sich ein großes Problem darstellen, ist der Schaden, den ein Angreifer mittels eines dieser beiden Utilities verursachen kann, potenziell katastrophal. Mit Hilfe der Software zur Aufzeichnung der Tastatureingaben kann der Angreifer dem Administrator praktisch dabei zuschauen, wie er sich als privilegierter Anwender beim System anmeldet. In manchen Fällen kann der Angreifer den Administrator auch beim Einloggen auf entfernten Computern beobachten und erhält somit auch Zugriff zu diesen.

Verwendet der Hacker ein Rootkit mit Netzwerk-Sniffer können je nach Konfiguration des angegriffenen Netzwerks andere Probleme auftauchen. Ein Beispiel: Aktiviert der Angreifer den Sniffer auf einem geschädigten System und ist dieses System mit einer Netzwerkumgebung mit Freigaben, zum Beispiel einem Hub, verbunden, so besteht die Möglichkeit, dass das geschädigte System nicht mehr in der Lage ist, den sich plötzlich ergebenden massiven Anstieg des Netzwerk-Traffics zu verarbeiten. Durch den Einsatz eines Sniffers wird der Netzwerkadapter in den so genannten Mixmode gesetzt, was bedeutet, dass das System, mit dem der Adapter verbunden ist, den gesamten eintreffenden Traffic verarbeiten muss, selbst wenn er nicht für dieses spezifische System bestimmt ist.

Neben der Verursachung von Netzwerkproblemen lassen sich Sniffer auch zur Erstellung einer recht genauen Karte des Netzwerks verwenden, welche dem Angreifer weitere Informationen über die Infrastruktur verschafft, auf die er Zugriff gewonnen hat. Ein Sniffer versetzt den Angreifer zudem in die Lage, eine Liste von Anwendernamen und Passwörtern für alle im Netzwerk geöffneten Telnet- oder FTP-Sitzungen zu erstellen, denn diese Passwörter werden in Klartext übertragen. Mit diesen Informationen kann der Hacker weitere Angriffe gegen andere Systeme starten.

Rootkits beinhalten eine Unmenge anderer Utilities, die die Bedürfnisse fast jedes Hackers erfüllen, darunter:

  • modifizierte Versionen von entscheidenden Systemdateien.
  • Utilities zum Verändern oder Löschen von System-Logs, wodurch die vom Hacker hinterlassenen Spuren weiter verwischt werden.
  • Ladbare Kernel Module Trojans: Ladbare Module werden verwendet, um die Rekompilierung des Kernels zu vermeiden. In Form eines Trojanischen Pferdes lassen sie sich gleichzeitig zur Unterwanderung der Systemsicherheit verwenden. Grundsätzlich werden Utilities, die auf dem System-Kernel aufbauen, kompromittiert, denn die Informationen aus dem Kernel sind nicht mehr zuverlässig.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

5 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

5 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

13 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago