Rootkits: Hacker-Tools für Spionage und Datenklau

Ein weiterer Weg, um einem Rootkit auf die Spur zu kommen, läuft über das Netzwerk. Schließlich ist die Grundidee fast immer, eine Backdoor zum Internet offen zu halten, über die der Angreifer später auf das System zugreifen kann. Dazu müssen Ports geöffnet sein, die man über entsprechende Scanner wie nmap überprüfen kann. Natürlich geht das nicht vom betroffenen Computer aus, die Ausgabe des netstat-Befehls würde durch das Rootkit manipuliert werden und natürlich keine verdächtigen Ports aufweisen. Ein zweiter Computer jedoch, der über das Netzwerk einen Scan auf dem verdächtigen System durchführt, würde solche Ports sehr wohl finden.

Doch auch hier ist Vorsicht angebracht. Das so genannte „Port-Knocking“ schaltet einen Port nur dann frei, wenn er vorher durch ein bestimmtes Ping-Muster aktiviert wurde. So würde ein gewöhnlicher Scanner keinen offenen Port anzeigen, während der Angreifer nach dem Port-Knocking einen offenen Telnet oder FTP-Server finden würde. Ein weiteres Tool für Windows ist Blacklight von F-Secure, das noch in einer Beta-Version kostenlos zum Download bereit steht. Empfehlenswert sind auch die Hilfsmittel RegdatXP, das versucht auch getarnte Einträge eines Rootkits in der Registry aufzuspüren sowie der Task-Manager Taskinfo 2003. Er identifiziert auch Prozesse die im geschützten Kernelbereich (Ring =) laufen und spürt so unter anderem den Hacker Defender auf. Allerdings muss der Administrator dafür genau wissen, welche Prozesse auf seinem Computer legitim sind, da die Namen der Rootkits natürlich häufig harmlos klingen.

Für Unix und Linux sind natürlich ebenfalls Tools verfügbar. Ein spezialisierter Rootkit-Scanner ist chkrootkit, das mehrere Tools enthält, die in bestimmten Systembereichen nach Eindringlingen suchen. Generell ist es bei Linux und Unix einfacher, Vorsichtsmaßnahmen zu treffen. So könnte man einen zweiten, möglichst gut gesicherten, Linux Rechner als Syslog-Empfänger aufsetzen, der die Syslog-Einträge des eigentlichen Servers aufzeichnet. Das macht es dem Rootkit praktisch unmöglich, nachträglich Einträge in den diversen Log-Dateien zu löschen, was sonst standardmäßig zum Angriff gehört. Prüfsummen sind in der Unix-Welt ein bekanntes und oft eingesetztes Mittel, um die Integrität von Dateien zu gewährleisten. Tools wie Tripwire und AIDE automatisieren die Erstellung und den Vergleich von Prüfsummen und sorgen so für mehr Komfort bei deren Einsatz.

Auch wenn die Liste der Tools zum Aufspüren und Bekämpfen der Rootkits fast so lang ist wie die Liste der Rootkits selbst, sollte man sich nicht täuschen lassen: Der einzige Weg um sicher zu stellen, dass das System wieder Rootkit-frei ist, ist eine Neuinstallation von Originalmedien samt Partitionierung der Festplatte(n). Viele Administratoren winken schon beim Verdacht auf ein Rootkit ab und setzen den Rechner neu auf. Nur wer Analyse und Forensik betreiben will, vielleicht weil man hinter der Attacke einen Konkurrenten vermutet, kann mit einem Honeypot im System oder einem kompletten Honeynet versuchen, dem Angreifer über die Schulter zu sehen.