Rootkit

Aus Siwecos
Version vom 25. Januar 2017, 12:01 Uhr von Petra (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Zunächst eine kurze Erklärung, was ein Rootkit ist und tut. Ein Rootkit versteckt sich. Die beiden vorrangigen Funktionen von Rootkits sind die ferngesteuerte Bedienung (Backdoor) eines Computers und das Ausspähen der auf dem Rechner installierten Software inklusive Passwörtern.

Der Begriff Rootkit setzt sich aus den beiden Wörtern root (die Bezeichnung für einen Benutzer von Unix-Systemen mit Adminitrationsrechten) und kit (engl. Werkzeug) zusammen. Diese Malware-Art ist eine Zusammenstellung von Softwarewerkzeugen, durch welche ein Angreifer mit administrativen Rechten auf ein System zugreifen kann. Rootkits erlauben es dem Angreifer, die administrative Kontrolle über ein System zu übernehmen, wordurch der Angreifer Prozesse auf dem Rechner ausführen und Schadsoftware nachladen kann. Der Angreifer bekommt Zugriff auf Log-Files, kann die Aktivitäten des Anwenders ausspionieren und Änderungen an der Konfiguration des Computers vornehmen.

Ist ein Rootkit erst einmal aktiv, kann es aus dem laufenden System heraus schwierig bis unmöglich sein, die dazugehörigen Prozesse und Dateien ausfindig zu machen, da sich das Rootkit versteckt und im Hintergrund lügt, dass sich die Balken biegen - ein solches System ist nicht mehr vertrauenswürdig. Daher finden 'normale' Antivirus-Programme nichts und melden "Alles okay" - aber der Schein trügt.

Wie kommt ein Rootkit auf den Rechner? Rootkits können sich nicht selbstständig ausbreiten, denn sie sind nur eine Komponente von dem, was wir Blended Threat (Misch/Mehrfachbedrohung) nennen - eine schädigende Software, die eine Kombination von Attacken gegen unterschiedliche Schwachstellen eines Systems beinhaltet. Blended Threats bestehen typischerweise aus drei Komponenten: einem Dropper, einem Loader und dem Rootkit. Der Dropper ist der Code, der die Rootkit-Installation startet. Um das Dropper-Programm zu aktivieren, bedarf es menschlicher Hilfe, z. B. in Form von Klicken auf einen bösartigen E-Mail-Link, das Klicken auf einen Link, der in einem Messenger gepostet wird oder das Öffnen eines infizierten PDF-Dokumentes oder eines infizierten Bildschirmschoners. Auch vermeintlichen Foto- oder Musikdateien sind eine Gefahrenquelle. Daher am besten Datei-Endungen einblenden, das verringert dieses Risiko.

Einmal initiiert setzt der Dropper das Loader-Programm ein und löscht sich dann selbst. Wenn der Loader erstmal aktiv ist, verursacht er einen Buffer-Overflow (Puffer-Überlauf - Überlastung des Speichers), der den Rootkit dann in den Speicher lädt.

Es sollte nicht unerwähnt bleiben, dass es nicht nur schädliche Rootkits gibt, sondern durchaus auch legitime Anwendungen, Rootkit-Technik verwenden. Rootkits finden in Kopierschutz-Systemen Verwendung und schlussendlich ist jede VNC-Software (Virtual Network Computing) ein Rootkit.