Rootkits

Und was ist ein Wurzelverzeichnis?

Es gibt Rootkits seit beinahe 20 Jahren. Er wird im weiteren Sinn für eine ganze Reihe von Malware benutzt, die sich auf angesteckten Rechnern versteckt und dem Täter Zugang zum Rechner verschafft. Der folgende Beitrag zeigt Ihnen, wie Rootkits arbeiten und was Sie tun können, wenn Ihr Rechner mit einem solchen System angesteckt wurde.

Als Rootkits bezeichnet man Malware, die den PC infiziert und es dem Täter ermöglicht, diverse Software zu nutzen, die ihm einen permanenten Zugang zum Rechner ermöglicht. Die Rootkits können auch diverse bösartige Werkzeuge wie Keylogger, Passwortdiebstahlprogramme, Bausteine zum Stehlen von Kreditkarten-Nummern und Online-Banking-Daten, einen Roboter für DDoS-Angriffe oder Funktionalitäten zum Ausschalten der installierten Sicherheitssoftware beinhalten.

Die Rootkits dienen in der Regel als Backdoors und erlauben dem Täter den Fernzugriff und die Installation bestimmter Bestandteile auf dem angesteckten Rechner. Beispiel für aktuell aktivierte Windows-basierte Rootkits sind TDSS, ZeroAccess, Alureon und Newcomer. Man unterscheidet zwei Typen von Rootkits: User Mode Rootkits und Core Mode Rootkits. Rootkits im Benutzermodus werden im selben Teil des Betriebsystems ausgeführt, in dem alle vorhandenen Anwendungen ausgeführt werden.

Ihre böswilligen Handlungen schleichen sich in die Abläufe der aufgerufenen Anwendungen ein oder überschreiten den Speicherbereich, den ein spezielles Anwendungsprogramm ausnutzt. Dieses Rootkit wird öfter verwendet. Rootkits im Kernel-Modus werden auf der niedrigsten Stufe des Betriebssystem ausgeführt und verleihen dem Hacker die umfangreichsten Rechte auf dem Rechner. Nachdem ein Kernel-Modus-Rootkit installiert wurde, hat ein Hacker die volle Steuerung über einen gefährdeten Rechner und kann tun, was er will.

Rootkits im Kernel-Modus sind in der Regel komplizierter als Rootkits im Benutzermodus und daher weniger verbreitet. Dieser Rootkit-Typ ist auch schwieriger zu erkennen und zu löschen. Desweiteren gibt es einige weniger verbreitete Varianten von Rootkits, wie z.B. Bootskits. Seit einigen Jahren gibt es eine neue Kategorie von mobilen Rootkits, die sich über das Smartphone, insbesondere über Android-Geräte, verbreiten. Die Rootkits sind in der Regel Teil einer bösartigen Anwendung, die von einem externen Applikationsspeicher geladen wird.

Die Rootkits werden auf mehrere Weisen eingesetzt, die gängigste Art der Installation ist die Nutzung einer Sicherheitsschwachstelle im Betriebsystem oder eines Programms. Angriffe greifen bekannter und unbekannter Schwachstellen in Betriebsystemen und Anwendungen an und verwenden Exploit-Code, um Privilegien auf einem Opfercomputer zu erlangen. Anschließend müssen Sie das Wurzelverzeichnis und die Bestandteile für den Fernzugriff auf den Rechner einrichten.

Beispielsweise könnte sich der Exploit-Code für eine spezielle Schwachstelle auf einer legalen Website befinden, die vom Täter angesteckt wurde. Angriffe hinterlassen USB-Sticks mit verborgenen Rootkits an öffentlich zugänglichen Orten, damit sie von potentiellen Angreifern aufgespürt und weggenommen werden können. Die Rootkit-Installation braucht zwar teilweise noch Sicherheitslöcher, aber oft wird die Malware als Teil scheinbar legitimer Programme oder Daten auf dem USB-Stick aufgesetzt.

Die Erkennung eines Rootkits auf einem Computer ist nicht einfach, da diese Malware darauf abzielt, sich zu verstecken und im Verborgenen zu arbeiten. So gibt es verschiedene Verfahren zur Suche nach bestimmten und fremden Arten von Rootkits, einschließlich Signatur- und Verhaltensanalysen, die versuchen, Rootkits anhand ihrer Verhaltensweisen zu identifizieren.

Unter Umständen kann es notwendig sein, das Betriebsystem erneut zu aktivieren, wenn der Rechner defekt ist.