Bedrohungen durch Rootkits wechseln von Linux- auf Windows-Systeme

Hacker können Sicherheitsprivilegien auf Anwenderniveau erlangen und ein Rootkit installieren, bei dem es sich hauptsächlich um eine Tool-Sammlung zur Schädigung eines Systems oder Netzwerks handelt. Das Rootkit nutzt bekannte Sicherheitsmängel aus oder knackt das Passwort eines Anwenders mit Administratorrechten und verwischt dann die Spuren des Hackers, wodurch die Schädigung nur schwer aufzuspüren ist. Der beste Schutz eines Netzwerks vor Rootkits ist das Wissen um ihre Funktionsweise und die Art des Schadens, den sie anrichten können.

Wie Rootkits arbeiten
Einer der Hauptzwecke eines Rootkits besteht darin, einem Hacker irgendwann einmal ungehinderten und unbemerkten Zugang zu einem System zu ermöglichen. Eine Möglichkeit, dies zu erreichen, ist die Installation eines Backdoor-Prozesses oder der Ersatz einer oder mehrerer Dateien, welche die normalen Verbindungsprozesse ausführen, wie telnet oder ssh. Auf Linux-Plattformen ersetzen die meisten Rootkits auch einige Systembefehle, wie ls, ps, netstat und who.

Neben dem Ersatz von entscheidenden System-Utilities können Rootkits auch Software zur Aufzeichnung der Tastatureingaben und Netzwerk-Sniffer installieren. Obwohl die Schädigung eines Systems und Installation eines Rootkits bereits an sich ein großes Problem darstellen, ist der Schaden, den ein Angreifer mittels eines dieser beiden Utilities verursachen kann, potenziell katastrophal. Mit Hilfe der Software zur Aufzeichnung der Tastatureingaben kann der Angreifer dem Administrator praktisch dabei zuschauen, wie er sich als privilegierter Anwender beim System anmeldet. In manchen Fällen kann der Angreifer den Administrator auch beim Einloggen auf entfernten Computern beobachten und erhält somit auch Zugriff zu diesen.

Verwendet der Hacker ein Rootkit mit Netzwerk-Sniffer können je nach Konfiguration des angegriffenen Netzwerks andere Probleme auftauchen. Ein Beispiel: Aktiviert der Angreifer den Sniffer auf einem geschädigten System und ist dieses System mit einer Netzwerkumgebung mit Freigaben, zum Beispiel einem Hub, verbunden, so besteht die Möglichkeit, dass das geschädigte System nicht mehr in der Lage ist, den sich plötzlich ergebenden massiven Anstieg des Netzwerk-Traffics zu verarbeiten. Durch den Einsatz eines Sniffers wird der Netzwerkadapter in den so genannten Mixmode gesetzt, was bedeutet, dass das System, mit dem der Adapter verbunden ist, den gesamten eintreffenden Traffic verarbeiten muss, selbst wenn er nicht für dieses spezifische System bestimmt ist.

Neben der Verursachung von Netzwerkproblemen lassen sich Sniffer auch zur Erstellung einer recht genauen Karte des Netzwerks verwenden, welche dem Angreifer weitere Informationen über die Infrastruktur verschafft, auf die er Zugriff gewonnen hat. Ein Sniffer versetzt den Angreifer zudem in die Lage, eine Liste von Anwendernamen und Passwörtern für alle im Netzwerk geöffneten Telnet- oder FTP-Sitzungen zu erstellen, denn diese Passwörter werden in Klartext übertragen. Mit diesen Informationen kann der Hacker weitere Angriffe gegen andere Systeme starten.

Rootkits beinhalten eine Unmenge anderer Utilities, die die Bedürfnisse fast jedes Hackers erfüllen, darunter:

• modifizierte Versionen von entscheidenden Systemdateien.
• Utilities zum Verändern oder Löschen von System-Logs, wodurch die vom Hacker hinterlassenen Spuren weiter verwischt werden.
• Ladbare Kernel Module Trojans: Ladbare Module werden verwendet, um die Rekompilierung des Kernels zu vermeiden. In Form eines Trojanischen Pferdes lassen sie sich gleichzeitig zur Unterwanderung der Systemsicherheit verwenden. Grundsätzlich werden Utilities, die auf dem System-Kernel aufbauen, kompromittiert, denn die Informationen aus dem Kernel sind nicht mehr zuverlässig.