Rootkits

Ein Rootkit ist eine Art von Computerprogrammen, die primär zum Ziel habt, ihre eigene oder die Existenz anderer Programme zu verstecken. Der Begriff “Rootkit” ist im Allgemeinen negativ behaftet und wird mit Malware assoziiert, da die Software unauffällig im Hintergrund laufen und einem Angreifer permanenten Zugriff auf den Computer ermöglichen soll – meist mit vollen Zugriffsrechten auf alle Daten. Ziel ist es, Root- (Unix) bzw. Administrator-Rechte (Windows) zu erlangen, und dadurch Daten unautorisiert zu manipulieren, kopieren oder löschen oder den Computer unerkannt auszuspionieren.

Die Infektion mit einem Rootkit erfolgt ähnlich wie mit anderen Schadprogramm. Hat es sich einmal auf dem System eingenistet, versucht es, über Sicherheitslücken erhöhte Rechte zu erlangen und dann die Anweisungen des Angreifers durchzuführen. Um sich vor der Erkennung durch das Betriebssystem oder durch Antivirenprogramme zu schützen, werden verschiedene Tarnmethoden genutzt. Dazu zählen etwa die Modifizierung des Betriebssystem-Kernels, das Einbinden unauffälliger Systemtreiber oder das Ändern des eigenen Verhaltens, um nicht über Muster- oder Verhaltensscans aufzufallen.

Rootkits treten nicht nur als Software für Betriebssysteme auf. Es existieren auch Rootkits, die die Firmware von Netzwerkkarten oder Festplatten und das BIOS eines Computers kompromittieren können. Dadurch können Sicherheitsprüfungen auf Betriebssystem-Ebene umgangen (da Firmware-Code nur selten auf Schadcode überprüft wird) und Datenströme auf Hardware-Ebene ausgelesen werden

Hergestellt werden Rootkits häufig von Drittanbietern, die ihre Software dann verkaufen oder zur freien Verfügung stellen. Außerdem stammt eine Reihe von Rootkits aus der akademischen Forschung, die dort zu Demonstrations- oder Schutzzwecken (Diebstahlsicherung, Überprüfung von vorhandenen Sicherheitslücken) ohne bösartige Eigenschaften entwickelt werden.

Öffentlich bekannt wurden Rootkits vor allem im Jahr 2005, als Sony ein Rootkit auf einigen Musik-CDs versteckte, um die Abspielfähigkeit auf PCs zu limitieren. Das verwendete Rootkit war allerdings unsauber programmiert und führte häufig zu Problemen mit Windows. Außerdem öffnete es einige Sicherheitslücken, die von anderen (bösartigen) Programmen ausgenutzt werden konnten, um sich mittels des Rootkits im System einzunisten.

Sich vor Rootkits zu schützen ist schwierig, da sie im Regelfall vom Benutzer gar nicht erst bemerkt werden und so kein Unterschied zu einem sauberen System besteht. Ein aktuelles Antivirenprogramm ist empfehlenswert, damit installierte Rootkits zumindest erkannt werden. Außerdem sollte die Software auf dem Computer möglichst aktuell gehalten werden, um damit möglichst wenig Angriffsfläche zu bieten. Im Serverbereich besteht der Schutz zusätzlich darin, nur die Software zu installieren, die zum Betrieb wirklich notwendig ist.

Da sich Rootkits tief im System eingraben können, ist eine vollständige Entfernung oft schwierig. Im Zweifelsfall ist eine Neuinstallation des Betriebssystems oder der Austausch betroffener Hardware (bei Firmware-Rootkits) die einzige wirklich sichere Lösung.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *