Hacker können Sicherheitsprivilegien auf Anwenderniveau erlangen und ein Rootkit installieren, bei dem es sich hauptsächlich um eine Tool-Sammlung zur Schädigung eines Systems oder Netzwerks handelt. Das Rootkit nutzt bekannte Sicherheitsmängel aus oder knackt das Passwort eines Anwenders mit Administratorrechten und verwischt dann die Spuren des Hackers, wodurch die Schädigung nur schwer aufzuspüren ist. Der beste Schutz eines Netzwerks vor Rootkits ist das Wissen um ihre Funktionsweise und die Art des Schadens, den sie anrichten können.
Wie Rootkits arbeiten
Einer der Hauptzwecke eines Rootkits besteht darin, einem Hacker irgendwann einmal ungehinderten und unbemerkten Zugang zu einem System zu ermöglichen. Eine Möglichkeit, dies zu erreichen, ist die Installation eines Backdoor-Prozesses oder der Ersatz einer oder mehrerer Dateien, welche die normalen Verbindungsprozesse ausführen, wie telnet oder ssh. Auf Linux-Plattformen ersetzen die meisten Rootkits auch einige Systembefehle, wie ls, ps, netstat und who.
Neben dem Ersatz von entscheidenden System-Utilities können Rootkits auch Software zur Aufzeichnung der Tastatureingaben und Netzwerk-Sniffer installieren. Obwohl die Schädigung eines Systems und Installation eines Rootkits bereits an sich ein großes Problem darstellen, ist der Schaden, den ein Angreifer mittels eines dieser beiden Utilities verursachen kann, potenziell katastrophal. Mit Hilfe der Software zur Aufzeichnung der Tastatureingaben kann der Angreifer dem Administrator praktisch dabei zuschauen, wie er sich als privilegierter Anwender beim System anmeldet. In manchen Fällen kann der Angreifer den Administrator auch beim Einloggen auf entfernten Computern beobachten und erhält somit auch Zugriff zu diesen.
Verwendet der Hacker ein Rootkit mit Netzwerk-Sniffer können je nach Konfiguration des angegriffenen Netzwerks andere Probleme auftauchen. Ein Beispiel: Aktiviert der Angreifer den Sniffer auf einem geschädigten System und ist dieses System mit einer Netzwerkumgebung mit Freigaben, zum Beispiel einem Hub, verbunden, so besteht die Möglichkeit, dass das geschädigte System nicht mehr in der Lage ist, den sich plötzlich ergebenden massiven Anstieg des Netzwerk-Traffics zu verarbeiten. Durch den Einsatz eines Sniffers wird der Netzwerkadapter in den so genannten Mixmode gesetzt, was bedeutet, dass das System, mit dem der Adapter verbunden ist, den gesamten eintreffenden Traffic verarbeiten muss, selbst wenn er nicht für dieses spezifische System bestimmt ist.
Neben der Verursachung von Netzwerkproblemen lassen sich Sniffer auch zur Erstellung einer recht genauen Karte des Netzwerks verwenden, welche dem Angreifer weitere Informationen über die Infrastruktur verschafft, auf die er Zugriff gewonnen hat. Ein Sniffer versetzt den Angreifer zudem in die Lage, eine Liste von Anwendernamen und Passwörtern für alle im Netzwerk geöffneten Telnet- oder FTP-Sitzungen zu erstellen, denn diese Passwörter werden in Klartext übertragen. Mit diesen Informationen kann der Hacker weitere Angriffe gegen andere Systeme starten.
Rootkits beinhalten eine Unmenge anderer Utilities, die die Bedürfnisse fast jedes Hackers erfüllen, darunter:
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…