Bedrohungen durch Rootkits wechseln von Linux- auf Windows-Systeme

Linux Rootkit IV
Unten findet sich eine Liste der von Linux Rootkit IV modifizierten Programme und Prozesse. Sie lassen auf die von den meisten Linux-Rootkits verursachten Modifikationen schließen:

• ls & find – In diesem Rootkit wurden die Utilities ls und find dahingehend modifiziert, dass sie die Dateien des Eindringlings nicht anzeigen.
• tcpd & syslogd – Die Rootkit-Versionen dieser Utilities zeigen die in der Konfigurationsdatei des Rootkits aufgelisteten Verbindungen nicht an und zeichnen sie nicht auf. (Diese Verbindungen werden vom Eindringling selbst festgelegt.)
• ifconfig – Diese Version von ipconfig verhindert die Benachrichtigung des Administrators darüber, dass der Netzwerkadapter nun im Mixmodus läuft.
• ps, top, killall – Diese Utilities arbeiten normal, davon abgesehen, dass die Prozesse des Eindringlings nicht angezeigt oder auf irgendeine Weise von ihnen beeinträchtigt werden.
• inetd & rshd – Diese Prozesse werden dahingehend modifiziert, dass die Rootkit-Prozesse nicht angezeigt werden und der Eindringling Root-Zugang erhält.

Installierte Utilities:

• FIX – Dies verändert die Zeitstempel und Checksummen der modifizierten Dateien, um die Änderungen vor dem Administrator zu verbergen.
• bindshell – Dieses Utility liefert dem Angreifer eine Rootshell auf einem spezifischen TCP-Port.
• linsniffer & sniffchk – Damit wird ein Packet-Sniffer installiert sowie eine Utility, die sicherstellt, dass der Packet-Sniffer auch läuft.

Diese Liste enthält nicht alles, was von diesem speziellen Rootkit installiert bzw. modifiziert wird, man kann aber schon erkennen, dass bedeutende und schwerwiegende Veränderungen am System gemacht werden, die seine Integrität kompromittieren.

Besorgnis ist angebracht, jedoch keine Panik
Für Administratoren sind Rootkits schlechte Neuigkeiten. Sie stellen eine ernsthafte Bedrohung der Sicherheit und Stabilität von Systemen dar, auf die sich Anwender und Kunden verlassen müssen.

Haben Sie schon Angst? Zu viel Angst muss man nicht haben. UNIX-Administratoren setzen sich schon seit Jahren mit diesen kleinen Monstern auseinander, und Windows-Administratoren können viel von Maßnahmen lernen, die sie zum Schutz ihrer Systeme vor Rootkits ergriffen haben. In diesem Artikel finden sie Informationen darüber, wie Linux- und UNIX-Administratoren gegen Rootkits vorgehen.