Categories: Workspace

Bedrohungen durch Rootkits wechseln von Linux- auf Windows-Systeme

Hacker können Sicherheitsprivilegien auf Anwenderniveau erlangen und ein Rootkit installieren, bei dem es sich hauptsächlich um eine Tool-Sammlung zur Schädigung eines Systems oder Netzwerks handelt. Das Rootkit nutzt bekannte Sicherheitsmängel aus oder knackt das Passwort eines Anwenders mit Administratorrechten und verwischt dann die Spuren des Hackers, wodurch die Schädigung nur schwer aufzuspüren ist. Der beste Schutz eines Netzwerks vor Rootkits ist das Wissen um ihre Funktionsweise und die Art des Schadens, den sie anrichten können.

Wie Rootkits arbeiten
Einer der Hauptzwecke eines Rootkits besteht darin, einem Hacker irgendwann einmal ungehinderten und unbemerkten Zugang zu einem System zu ermöglichen. Eine Möglichkeit, dies zu erreichen, ist die Installation eines Backdoor-Prozesses oder der Ersatz einer oder mehrerer Dateien, welche die normalen Verbindungsprozesse ausführen, wie telnet oder ssh. Auf Linux-Plattformen ersetzen die meisten Rootkits auch einige Systembefehle, wie ls, ps, netstat und who.

Neben dem Ersatz von entscheidenden System-Utilities können Rootkits auch Software zur Aufzeichnung der Tastatureingaben und Netzwerk-Sniffer installieren. Obwohl die Schädigung eines Systems und Installation eines Rootkits bereits an sich ein großes Problem darstellen, ist der Schaden, den ein Angreifer mittels eines dieser beiden Utilities verursachen kann, potenziell katastrophal. Mit Hilfe der Software zur Aufzeichnung der Tastatureingaben kann der Angreifer dem Administrator praktisch dabei zuschauen, wie er sich als privilegierter Anwender beim System anmeldet. In manchen Fällen kann der Angreifer den Administrator auch beim Einloggen auf entfernten Computern beobachten und erhält somit auch Zugriff zu diesen.

Verwendet der Hacker ein Rootkit mit Netzwerk-Sniffer können je nach Konfiguration des angegriffenen Netzwerks andere Probleme auftauchen. Ein Beispiel: Aktiviert der Angreifer den Sniffer auf einem geschädigten System und ist dieses System mit einer Netzwerkumgebung mit Freigaben, zum Beispiel einem Hub, verbunden, so besteht die Möglichkeit, dass das geschädigte System nicht mehr in der Lage ist, den sich plötzlich ergebenden massiven Anstieg des Netzwerk-Traffics zu verarbeiten. Durch den Einsatz eines Sniffers wird der Netzwerkadapter in den so genannten Mixmode gesetzt, was bedeutet, dass das System, mit dem der Adapter verbunden ist, den gesamten eintreffenden Traffic verarbeiten muss, selbst wenn er nicht für dieses spezifische System bestimmt ist.

Neben der Verursachung von Netzwerkproblemen lassen sich Sniffer auch zur Erstellung einer recht genauen Karte des Netzwerks verwenden, welche dem Angreifer weitere Informationen über die Infrastruktur verschafft, auf die er Zugriff gewonnen hat. Ein Sniffer versetzt den Angreifer zudem in die Lage, eine Liste von Anwendernamen und Passwörtern für alle im Netzwerk geöffneten Telnet- oder FTP-Sitzungen zu erstellen, denn diese Passwörter werden in Klartext übertragen. Mit diesen Informationen kann der Hacker weitere Angriffe gegen andere Systeme starten.

Rootkits beinhalten eine Unmenge anderer Utilities, die die Bedürfnisse fast jedes Hackers erfüllen, darunter:

  • modifizierte Versionen von entscheidenden Systemdateien.
  • Utilities zum Verändern oder Löschen von System-Logs, wodurch die vom Hacker hinterlassenen Spuren weiter verwischt werden.
  • Ladbare Kernel Module Trojans: Ladbare Module werden verwendet, um die Rekompilierung des Kernels zu vermeiden. In Form eines Trojanischen Pferdes lassen sie sich gleichzeitig zur Unterwanderung der Systemsicherheit verwenden. Grundsätzlich werden Utilities, die auf dem System-Kernel aufbauen, kompromittiert, denn die Informationen aus dem Kernel sind nicht mehr zuverlässig.

Page: 1 2 3

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago