Eigentlich sind Rootkits unentdeckbar. Auch finden Spezialisten immer neue Formen dieser komplexen Malware-Spezies. Umso wichtiger ist es, ihre grobe Funktionsweise zu kennen. Hat sich einmal tatsächlich ein Rootkit auf einem eigenen System eingenistet, kann man dies anhand einiger Faktoren zumindest erahnen und geeignete Gegenmaßnahmen erwägen. Der folgende Artikel gibt einen Überblick, welche Techniken Rootkits – Stand heute – einsetzen und wie man sie kontern kann.
1. Was ist ein Rootkit?
Wenn man das Wort Rootkit in seine zwei Bestandteile zerlegt, Root und Kit, dann kommt man schon ein ganzes Stück weiter: „root“ ist ein Unix-Begriff und entspricht dem Administrator in der Windows-Sprache. Mit dem Wort „Kit“ werden in diesem Zusammenhang Programme bezeichnet, die jemandem die Möglichkeit bieten, durch die Ausführung des im Kit enthaltenen Programms dieselben Rechte wie „root“ beziehungsweise „Administrator“ an einem Computer zu erlangen. All das geschieht, ohne dass der Anwender zustimmen muss oder überhaupt etwas merkt.
2. Wozu werden Rootkits verwendet?
Rootkits haben zwei Hauptfunktionen: Fernkontrolle eines Rechners durch die „Hintertür“ und Abgreifen von Daten. Mit Rootkits hat man – ob man nun dazu berechtigt ist oder nicht – die Möglichkeit, die Administratorrechte für einen Computer zu erhalten. Dazu gehören das Ausführen von Dateien, Einloggen in Benutzerkonten, Überwachen des Benutzerverhaltens und sogar die Manipulation der Konfiguration. Daher sind streng genommen auch Remote-Desktop-Programme, beispielsweise VNC, oder Log Me In, zu den Rootkits zu zählen. Das mag überraschend klingen, da man Rootkits gemeinhin als Schadsoftware betrachtet.
Ein bekanntes Beispiel ist der Versuch von Sony BMG, ein Rootkit zum Schutz vor Urheberrechtsverletzungen einzusetzen. Sony BMG entwickelte ein Rootkit, dass sich beim Abspielen von Musik-CDs ungefragt auf dem Computer einnistete. Die von Sony verwendete Rootkit-Methode funktionierte so gut, dass kein Antiviren- oder Antispyware-Programm etwas merkte.
3. Wie verbreiten sich Rootkits?
Rootkits können sich entgegen landläufiger Meinung nicht selbst verbreiten. In Wirklichkeit sind schädliche Rootkits nur ein Bestandteil einer so genannten „kombinierten Bedrohung“ (Blended Threat). Diese Blended Threats bestehen in der Regel aus drei Codebestandteilen: Dropper, Loader und Rootkit.
Der Dropper ist der Code, der dafür sorgt, dass das Rootkit installiert wird. Um das Dropper-Programm zu aktivieren, ist eine unvorsichtige Aktion des Benutzers erforderlich, zum Beispiel das Anklicken eines bösartigen E-Mail-Links. Sobald der Installationsvorgang gestartet wird, aktiviert der Dropper den Loader und entfernt sich daraufhin selbst. Der Loader nutzt eine bekannte Schwachstelle aus, in der Regel einen Pufferüberlauf, und lädt das Rootkit in den Speicher.
Blended-Threat-Schadsoftware setzt ihren Fuß durch Social Networking, mittels bekannter Schwachstellen, oder einfach durch pure Gewalt in die Tür. Dazu zwei Beispiele von aktuellen und erfolgreichen Angriffen:
4. User-Mode-Rootkits
Es gibt mehrere Arten von Rootkits. Die einfachste davon sind User-Mode-Rootkits. Sie installieren sich auf Computern, wenn der Benutzer mit Root- oder Administratorrechten angemeldet ist. Auf diese Weise haben User-Mode-Rootkits die Möglichkeit, Sicherheitseinstellungen zu manipulieren, alle API-Aufrufe zu filtern und nach Belieben zu ändern, so dass Prozesse, Dateien, Systemtreiber, Netzwerkports und sogar Systemdienste unerkannt bleiben. User-Mode-Rootkits kopieren erforderliche Dateien auf die PC-Festplatte und starten automatisch bei jedem Bootvorgang.
Antimalware-Programme können grundsätzlich nur User-Mode-Rootkits aufzuspüren. Ein Beispiel für ein User-Mode-Rootkit ist Hacker Defender. Das ist zwar schon sehr alt, hat sich aber zu seiner Zeit sehr schnell verbreitet.
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…