28 Mrz 2013

Was ist ein Rootkit?

Malware

Rootkits gibt es nun schon seit fast 20 Jahren. Sie erlauben Angreifern, Daten von infizierten Computern zu stehlen, und bleiben dabei lange Zeit unentdeckt. Der Begriff wird im weitesten Sinne für eine ganze Gruppe von Schadprogrammen verwendet, die dafür erstellt werden, sich auf infizierten Computern zu verbergen und dem Angreifer Zugriff auf den PC zu verschaffen. Im folgenden Artikel zeigen wir Ihnen, wie Rootkits funktionieren, und was Sie tun können, wenn Ihr Computer von einem Rootkit infiziert wurde.

rootkit

Rootkits: Definition

Der Begriff Rootkit beschreibt Schadprogramme, die PCs infizieren und dem Angreifer erlauben, verschiedene Programme darauf zu installieren, die ihm dauerhaften Zugriff auf den Computer ermöglichen. Das Schadprogramm wird üblicherweise tief im Betriebssystem versteckt und ist so programmiert, dass es die Entdeckung durch Antivirus-Software und andere Security-Lösungen erschwert. Das Rootkit kann auch verschiedene schädliche Tools enthalten, etwa Keylogger, Programme zum Passwort-Diebstahl, Module zum Diebstahl von Kreditkartennummern und Online-Banking-Informationen, einen Bot für DDoS-Attacken oder Funktionen, die die installierte Security-Software abschalten. Rootkits fungieren meist als Backdoors, die dem Angreifer ermöglichen, aus der Ferne auf den infizierten Computer zuzugreifen und bestimmte Komponenten darauf zu installieren. Beispiele für derzeit aktive Windows-basierte Rootkits sind TDSS, ZeroAccess, Alureon und  Necurs.

Rootkit-Varianten

Es gibt zwei Arten von Rootkits: User-Mode-Rootkits und Kerne-Mode-Rootkits. User-Mode-Rootkits werden im gleichen Teil des Betriebssystems gestartet, in dem auch alle installierten Programme laufen. Sie führen ihre schädlichen Aktionen aus, indem sie sich in die Prozesse der gestarteten Programme einschleichen oder den Speicherbereich überschreiben, den ein bestimmtes Programm nutzt. Diese Rootkit-Variante wird häufiger eingesetzt. Kernel-Mode-Rootkits laufen auf der untersten Ebene des Betriebssystems und geben dem Angreifer die weitreichendsten Privilegien auf dem Computer. Nach der Installation eines Kernel-Mode-Rootkits hat ein Angreifer die komplette Kontrolle über einen kompromittierten Computer und kann darauf tun, was er will. Kernel-Mode-Rootkits sind im Normalfall komplexer als User-Mode-Rootkits und deshalb seltener. Diese Art von Rootkit ist auch schwerer zu entdecken und zu entfernen.

Es gibt zudem einige weniger bekannte Rootkit-Varianten, etwa Bootkits. Sie verändern den Bootsektor, die Software, die vor dem Laden des Betriebssytems gestartet wird. In den letzten Jahren kam zudem eine neue Klasse mobiler Rootkits auf, die Smartphones attackieren, vor allem Android-Geräte. Diese Rootkits sind meist Teil einer schädlichen App, die von einem Drittanbieter-App-Store heruntergeladen wird.

Infektionsmethoden

Rootkits werden auf verschiedene Arten installiert, die häufigste Installationsart ist die Ausnutzung einer Sicherheitslücke im Betriebssystem oder einem installierten Programm. Angreifer zielen auf bekannte und unbekannte Sicherheitslücken in den Betriebssystemen und Programmen ab, und nutzen Exploit-Code, um auf einem Opferrechner privilegierte Rechte zu erhalten. Dann installieren sie das Rootkit und Komponenten, die entfernten Zugriff auf den Computer ermöglichen. Der Exploit-Code für eine bestimmte Sicherheitslücke kann zum Beispiel auf einer legitimen Webseite liegen, die vom Angreifer infiziert wurde. Eine andere Infektionsmethode funktioniert über USB-Sticks. Angreifer lassen dabei USB-Sticks mit versteckten Rootkits an öffentlichen Plätzen liegen, so dass sie von potenziellen Opfern gefunden und mitgenommen werden. Manchmal benötigt die Rootkit-Installation dennoch Sicherheitslücken, aber recht oft installiert sich das Schadprogramm als Teil von anscheinend legitimen Programmen oder Dateien auf dem USB-Stick.

Entfernung

Ein Rootkit auf einem PC zu entdecken ist nicht leicht, da diese Art Schadprogramm genau darauf ausgelegt ist, sich zu verbergen und seiner Arbeit im Hintergrund nachzugehen. Es gibt Programme, die mit verschiedenen Methoden nach bekannten und unbekannten Typen von Rootkits suchen, unter anderem mit Signaturen und Verhaltensanalyse, die versucht, Rootkits anhand ihrer Verhaltensmuster zu erkennen. Das Entfernen eines Rootkits ist ein komplexer Prozess und benötigt im Normalfall spezielle Software, etwa den TDSSKiller von Kaspersky Lab, der das TDSS-Rootkit entdecken und entfernen kann. In manchen Fällen kann es nötig werden, das Betriebssystem neu zu installieren, wenn der Computer zu beschädigt ist.