Rootkits: Hacker-Tools für Spionage und Datenklau

Wenn Hacker einen Server übernehmen, haben sie meistens noch gar kein bestimmtes Ziel im Auge. Es gibt genügend Tools, die Schwachstellen von Betriebssystem, Web- oder Datenbankserver automatisiert ausnutzen und eine Hintertür installieren. Schwierig ist das wahrlich nicht. Ein ungepatchtes Windows XP mit Service Pack 1 wird nach Studien von Sicherheitsanbietern nach einer Verbindung mit dem Internet innerhalb von Minuten infiziert.

Doch nicht immer hat der Hacker Zeit, sofort jeden geknackten Computer auf interessante Informationen zu durchsuchen. Er muss also dafür sorgen, dass er den Zugang offen hält, ohne dass der Besitzer etwas davon merkt. Das Mittel der Wahl ist ein so genanntes „Rootkit“. Nach allgemeiner Definition handelt es sich dabei um eine Technik, die hilft, ein anderes Programm oder einen Dienst zu verbergen.

Entstanden sind Rootkits Anfang der 90er im Unix-Bereich. Die ersten Tools waren noch reichlich primitiv und bestanden meist aus modifizierten Systemprogrammen. Die Hacker tauschten die Programme wie die Prozessanzeige ps oder das Directory-Tool ls gegen eigene Versionen aus, die so umgebaut waren, dass sie bestimmte Prozesse oder Dateien einfach versteckten. Die zunehmende Zahl von unterschiedlichen Unix-Varianten setzte diesem Ansatz aber bald ein Ende – es wurde einfach zu aufwändig, für alle Derivate ein passendes Tool zu schreiben und zu kompilieren. Zudem begann sich der Erfolg von Windows auch im Internet zu zeigen. Und mehr und mehr Server liefen unter dem Betriebssystem. Änderungen an Tools wie dem Task-Manager waren viel zu komplex, um sie einfach und schnell durchzuführen.

So verlegte sich die Hackergemeinde auf die Arbeit mit dem Application Programming Interface (API). Diese Schnittstellen sind unter anderem Bestandteil des Betriebssystems und stellen definierte und dokumentierte Funktionen zur Verfügung. So muss ein Programmierer keinen eigenen „Datei öffnen“ Dialog entwickeln, sondern er nutzt dazu die Windows API. Das ist praktisch, sorgt für ein einheitliches Erscheinungsbild der Programme und spart Zeit. Leider auch den Hackern, sich nun darauf verlegten, API-Aufrufe abzufangen und deren Ausgabe zu modifizieren.