Rootkits: Hacker-Tools für Spionage und Datenklau

Rootkits sind je nach Konzept mehr oder weniger mächtig. Ein Rootkit, das im User-Mode arbeitet, kann praktisch alle API-Aufrufe filtern und nach Gutdünken ändern. So bleiben nicht nur Dateien und Verzeichnisse verborgen, sondern auch Registry-Einträge und Prozesse. Noch gefährlicher sind allerdings Rooitkits, die im Kernel-Mode arbeiten. Sie können die Datenstrukturen des Kernels selbst verändern und haben damit praktisch jede Funktion des Computers im Griff.

Das Aufspüren eines solchen Rootkits ist auf dem befallenen System selbst praktisch unmöglich. Fast alle Rootkits setzen sich in irgendeiner Form in der Registry fest (Persistent), damit sie nach einem Neustart wieder aktiviert werden. Andere Rootkits sind nur im Speicher aktiv und nach einem Neustart verschwunden (Memory-based). Durch den Verzicht auf Einträge in Registry und Dateistruktur sind diese schwerer zu finden, als Persistent-Rootkits.

Mittlerweile hat sich eine sehr lebhafte Szene etabliert, die zu einem guten Teil öffentlich ist und ihre Rootkit-Entwicklungen frei zur Verfügung stellt. Doch das sollte nicht über die wahren Absichten der Entwickler hinwegtäuschen: Fast alle Rootkits werden unter der Hand in modifizierten Abarten gehandelt, die nicht öffentlich gemacht und so auch nicht von den diversen Tools aufgespürt werden können. Dass die Bedrohung sehr real ist, steht mittlerweile fest. Eigentlich ist es eher verwunderlich, dass noch nicht mehr Hersteller von Spy- oder Adware-Programmen Rootkits zum Tarnen und Festsetzen ihrer Software nutzen. Doch der Trend geht eindeutig in diese Richtung, und Vorbeugen ist nach wie vor das beste Mittel im Kampf gegen ein Rootkit.

Solange der Angreifer keine Sicherheitslücke findet und der Administrator mit sicheren Passwörtern und einem abgeschotteten System kontert, findet das Rootkit keinen Weg auf den Computer. Doch leider sind die meisten Rechner nur unzureichend gesichert, und das Rootkit gräbt sich trotzdem im System ein. Der erste Schritt ist dann, das Rootkit überhaupt zu bemerken. Viele Antiviren-Programme melden, wenn fremde Software versucht, Module zu installieren oder sich in der Registry einzutragen. Bei Linux-Systemen und einfachen Rootkits kommt es dann oft zu Fehlermeldungen, besonders wenn man System-Utilities mit vielen Parametern aufruft. Oft haben die Hacker beim Kompilieren Fehler gemacht, so dass das modifizierte Tool nicht exakt zu Linux-Distribution und Libraries passt.