Definition und Erläuterung: Rootkits

Definition und Bedeutung von Rootkits

Rootkits sind eine Art von Malware, über die sich Hacker Zugang zu und Kontrolle über ein Zielgerät verschaffen. Obwohl es die Mehrzahl der Rootkits auf Softwareprogramme und Betriebssysteme abgesehen hat, können einige auch die Hardware und Firmware Ihres Computers infizieren. Rootkits sind sehr geschickt darin, ihre Anwesenheit zu verbergen. Sie sind aber auch im Verborgenen sehr aktiv.

Sobald sich Rootkits unerlaubt Zugang zu einem Computer verschafft haben, bieten Sie Cyberkriminellen die Möglichkeit, personenbezogene und Finanzdaten zu stehlen, Malware zu installieren oder Computer als Teil eines Botnets zu verwenden, um Spam zu verbreiten und an DDoS-Angriffen (Distributed Denial-of-Service) teilzunehmen.

Der Name „Rootkit“ ist aus den Betriebssystemen Linux und Unix abgeleitet, wo der Administrator mit der höchsten Berechtigungsstufe als „Root“ bezeichnet wird. Programme, die den nicht autorisierten Gerätezugriff auf Root- oder Admin-Ebene zulassen, werden als „Kit“ bezeichnet.

Was ist ein Rootkit?

Ein Rootkit ist eine Software, mit deren Hilfe Cyberkriminelle die Kontrolle über einen Zielcomputer oder ein Netzwerk übernehmen. Rootkits treten manchmal als Einzelsoftware auf, bestehen aber meist aus einer ganzen Reihe von Tools, mit denen Hacker wie ein Administrator das gesamte Zielgerät kontrollieren können.

Für Hacker gibt es verschiedene Möglichkeiten, Rootkits auf Zielrechnern zu installieren:

1. Die häufigste Methode ist das Phishing bzw. jede andere Art von Social Engineering-Angriff. Die Opfer laden unwissentlich Malware herunter, die sich nach der Installation in anderen Prozessen auf dem Computer einnistet und Hackern die Kontrolle über nahezu jeden Bereich des Betriebssystems gibt.
2. Eine andere Möglichkeit besteht in der Ausnutzung einer bestehenden Schwachstelle, also einer ungeschützten Stelle in einer Software oder einem Betriebssystem, die nicht auf dem aktuellen Stand gehalten wurden. Das Rootkit wird über diese Schwachstelle in den Computer eingeschleust.
3. Malware kann auch in einer anderen Datei versteckt sein, wie infizierten PDFs, raubkopierten Medien oder Apps aus dubiosen Stores.

Rootkits treiben ihr Unwesen nahe dem oder sogar direkt im Kernel des Betriebssystems, was sie in die Lage versetzt, dem Computer Befehle zu erteilen. Alles, was ein Betriebssystem verwendet, gilt als potentielles Ziel für einen Rootkit-Angriff, was im Zuge der Ausweitung des Internets der Dinge auch Gegenstände wie Ihren Kühlschrank oder einen Thermostat einschließen könnte.

Rootkits können Keylogger verstecken, die ohne Einwilligung des Nutzers dessen Tastatureingaben erfassen. Cyberkriminellen fällt es dann nicht mehr schwer, persönliche Daten wie Kreditkarten- oder Online-Banking-Daten abzugreifen. Rootkits öffnen Hackern Tür und Tor, damit diese DDoS-Angriffe lancieren oder Spam-E-Mails verschicken können. Selbst Sicherheitssoftware können sie mittlerweile deaktivieren oder entfernen.

Rootkits wird tatsächlich auch zu seriösen Zwecken eingesetzt, zum Beispiel im IT-Remote-Support oder bei der Strafverfolgung. In den meisten Fällen dienen Sie allerdings schädlichen Zwecken. Was Rootkits so gefährlich macht, sind die verschiedenen Formen von Malware, die sie einschleusen können, um Betriebssysteme zu manipulieren und Remote-Nutzer mit Administratorrechten auszustatten.

Arten von Rootkits

1. Hardware- oder Firmware-Rootkit

Diese Art von Rootkits kann Ihre Festplatte, Ihren Router, aber auch das BIOS Ihres Systems beeinträchtigen, also die Software, die auf einem kleinen Speicherchip auf der Hauptplatine Ihres Computers installiert ist. Sie haben es weniger auf Ihr Betriebssystem, sondern auf die Geräte-Firmware abgesehen, da dort installierte Malware sehr schwer aufzuspüren ist. Da diese Rootkits die Hardware befallen, können Hacker darüber Ihre Tastatureingaben mitschreiben und alle Online-Aktivitäten mitverfolgen. Auch wenn dieser Typ seltener vorkommt als andere, sind Hardware- oder Firmware-Rootkits eine ernsthafte Bedrohung für die Online-Sicherheit.

2. Bootloader-Rootkit

Über den Bootloader-Mechanismus wird das Betriebssystem auf einem Computer geladen. Auf dieses System haben es Bootloader-Rootkits abgesehen, die den ursprünglich auf Ihrem Computer vorhandenen Bootloader durch einen gehackten ersetzen. Das wiederum bedeutet, dass das Rootkit schon aktiv ist, wenn das Betriebssystem Ihres Computers noch hochgefahren wird.

3. Speicher-Rootkit

Diese Art von Rootkit nistet sich im Arbeitsspeicher (RAM) ein und nutzt die Ressourcen Ihres Computers, um schädliche Aktivitäten im Hintergrund auszuführen. Speicher-Rootkits beeinträchtigen die Leistungsfähigkeit Ihres Arbeitsspeichers. Da sie nur im Arbeitsspeicher Ihres Computers existieren und nicht permanent als Code installiert werden, verschwinden Speicher-Rootkits wieder, sobald man das System neu startet. Um sie allerdings vollständig loszuwerden, sind gelegentlich weitere Schritte erforderlich. Ihre kurze Lebensdauer führt dazu, dass sie in der Regel nicht als signifikante Bedrohung wahrgenommen werden.

4. Programm-Rootkit

Programm-Rootkits ersetzen Standarddateien auf Ihrem Computer durch Rootkit-Dateien und können sogar die Funktionsweise von Standardprogrammen verändern. Mit dieser Art von Rootkit werden Programme wie Microsoft Office, Notepad oder Paint infiziert. Jedes Mal, wenn Sie diese Programme ausführen, können sich die Angreifer Zugang zu Ihrem Computer verschaffen. Da die infizierten Programme völlig normal weiterlaufen, sind solche Rootkits für Nutzer nur schwer zu erkennen. Antiviren-Programmen gelingt das, weil sie ebenfalls auf der Programmebene arbeiten.

5. Im Kernel-Modus arbeitende Rootkits

Rootkits im Kernel-Modus gehören zu den gefährlichsten Bedrohungen dieser Art, da sie auf den eigentlichen Kern Ihres Betriebssystems (d. h. die Kernel-Ebene) abzielen. Hacker greifen damit nicht nur auf die Dateien auf Ihrem Computer zu, sondern verändern die Funktionsweise Ihres Betriebssystems, indem sie ihren eigenen Code einfügen.

6. Virtuelle Rootkits

Ein virtuelles Rootkit lädt sich unterhalb der Ebene des Betriebssystems selbst. Dann hostet es die befallenen Betriebssysteme als virtuelle Maschinen und kann so die Hardwareaufrufe des ursprünglichen Betriebssystems abfangen. Diese Art von Rootkits muss gar nicht erst den Kernel verändern, um das Betriebssystem zu unterwandern, und ist meist sehr schwer zu erkennen.

Beispiele für Rootkits

Stuxnet

Eines der bekanntesten Rootkits überhaupt ist Stuxnet, ein schädlicher Computerwurm, der 2010 entdeckt wurde, von dem man aber annimmt, dass er bereits seit 2005 im Umlauf war. Stuxnet fügte dem iranischen Atomprogramm erheblichen Schaden zu. Obwohl keines der beiden Länder eine Beteiligung zugab, geht man weithin davon aus, dass es sich um eine Cyberwaffe handelt, die unter dem Namen Olympic Games gemeinschaftlich von den USA und Israel entwickelt wurde.

Weitere bemerkenswerte Beispiele für Rootkits:

Flame

Im Jahr 2012 entdeckten Cybersicherheitsexperten Flame, ein Rootkit, das in erster Linie zur Cyberspionage im Nahen Osten eingesetzt wurde. Flame, auch bekannt als Flamer, sKyWIper und Skywiper, übernimmt das gesamte Betriebssystem eines Computers und bringt es dazu, den Datenverkehr zu überwachen, Screenshots zu machen, Ton aufzuzeichnen und Tastatureingaben am Gerät mitzuschreiben. Die Drahtzieher von Flame konnten nie ermittelt werden. Untersuchungen haben allerdings ergeben, dass allein für den Zugriff auf die infizierten Computer 80 Server auf drei Kontinenten zum Einsatz kamen.

Necurs

Im Jahr 2012 tauchte das Rootkit Necurs auf und soll allein in diesem Jahr für 83.000 Infektionen verantwortlich sein. Necurs wird mit einer Gruppe von äußerst raffinierten Cyberkriminellen in Osteuropa in Verbindung gebracht und zeichnet sich vor allem durch seine technische Komplexität und seine Entwicklungsfähigkeit aus.

ZeroAccess

Im Jahr 2011 stießen Cybersicherheitsexperten auf ZeroAccess, einem Rootkit im Kernel-Modus, das weltweit mehr als 2 Millionen Computer befallen hatte. Statt direkten Einfluss auf die Funktionalität des infizierten Computers zu nehmen, installiert dieses Rootkit eine Malware auf dem infizierten Computer. Damit wird dieser Teil eines weltweiten Botnetzes, das Hacker für ihre Cyberangriffe nutzen. ZeroAccess wird auch heute noch aktiv genutzt.

TDSS

Das Rootkit TDSS wurde 2008 zum ersten Mal entdeckt. Es agiert ähnlich wie Bootloader-Rootkits, indem es zu Anfang der Bootsequenz des Betriebssystems geladen und ausgeführt wird – was die Erkennung und Beseitigung erschwert.

So erkennen Sie Rootkits

Ein Rootkit auf einem Computer auszumachen, kann sich schwierig gestalten, gerade weil es darauf ausgelegt ist, im Verborgenen zu bleiben. Außerdem sind manche Rootkits in der Lage, Sicherheitssoftware auszuschalten, was die Sache zusätzlich erschwert. Eine Rootkit-Malware kann daher lange Zeit auf Ihrem Computer vorhanden sein und erheblichen Schaden anrichten.

Mögliche Anzeichen für eine Rootkit-Infektion:

1. Bluescreen

Es erscheinen zahlreiche Windows-Fehlermeldungen oder blaue Bildschirme mit weißem Text (daher auch scherzhaft die Bezeichnung „Bluescreen of Death“), während der Computer immer wieder neu startet.

2. Ungewöhnliches Webbrowser-Verhalten

Dazu gehören nicht erkannte Lesezeichen oder umgeleitete Links.

3. Verlangsamung der Geräteleistung

Ihr Gerät braucht ungewöhnlich lange beim Hochfahren, arbeitet im Schneckentempo oder hängt sich immer wieder auf. In manchen Fällen reagiert es auch nicht auf Eingaben mit der Maus oder über die Tastatur.

4. Windows-Einstellungen werden ohne Einwilligung verändert

Sie sehen zum Beispiel einen anderen Bildschirmschoner, die Taskleiste wird ausgeblendet oder Datum und Uhrzeit stimmen plötzlich nicht mehr – und zwar ohne dass Sie irgendetwas geändert haben.

5. Webseiten funktionieren nicht richtig

Aufgrund von übermäßigem Netzwerkverkehr werden Aktivitäten auf Webseiten oder im Netzwerk immer wieder sporadisch unterbrochen oder funktionieren nicht mehr richtig.

Ein Rootkit-Scan ist die beste Möglichkeit, um eine Rootkit-Infektion zu erkennen. Ihr Antiviren-Programm kann eine solche Untersuchung durchführen. Wenn Sie eine Rootkit-Infektion befürchten, könnten Sie den Computer herunterfahren und anschließend von einem sauberen System aus einen Scan durchführen.

Eine weitere Methode zur Rootkit-Erkennung ist die Verhaltensanalyse. Dabei suchen Sie weniger nach dem Rootkit selbst, sondern nach Verhalten, das auf einen Rootkit hindeutet. Gezielte Scans funktionieren gut, wenn Sie bereits vermuten, dass mit Ihrem System etwas nicht stimmt. Eine Verhaltensanalyse kann auf ein Rootkit aufmerksam machen, noch bevor Sie selbst den Übergriff bemerken.

Und wie wird man Rootkits wieder los?

Die Beseitigung eines Rootkits ist ein komplizierter Vorgang. In der Regel braucht man dazu spezielle Tools wie das Hilfsprogramm TDSSKiller von Kaspersky, das TDSS-Rootkits erkennen und komplett entfernen kann. Manchmal besteht aber auch die einzige Möglichkeit darin, das Betriebssystem Ihres Computers zu löschen und komplett neu aufzusetzen.

So entfernen Sie ein Rootkit aus Windows

Zur Beseitigung eines Rootkit unter Windows ist in der Regel ein Scan erforderlich. Im Fall einer tieferen Infektion ist häufig eine Neuinstallation von Windows die einzige Lösung. Dabei sollte man statt des integrierten Windows Installer lieber ein externes Medium verwenden. Einige Rootkits infizieren das BIOS, sodass zur Behebung eine Reparatur erforderlich ist. Wenn das Rootkit auch nach erfolgter Reparatur noch nicht beseitigt ist, brauchen Sie einen neuen PC.

So entfernen Sie ein Rootkit aus Mac

Sorgen Sie auf einem Mac dafür, dass immer die neueste Version installiert ist. Mit Mac-Updates bekommen Sie nicht nur neue Funktionen, sondern entfernen auch Malware, einschließlich Rootkits. Apple bietet integrierte Sicherheitsfunktionen, um Sie vor Malware zu schützen. Allerdings gibt es auf macOS keine bekannten Funktionen zur Rootkit-Erkennung. Wenn Sie also vermuten, dass Sie mit einem Rootkit infiziert sind, sollten Sie macOS neu installieren. Dabei werden die meisten Apps und Rootkits auf Ihrem Computer entfernt. Wie bereits erwähnt, ist eine Reparatur erforderlich, wenn sich das Rootkit im BIOS eingenistet hat. Und wenn sich das Rootkit auch damit nicht beseitigen lässt, hilft nur noch ein neues Gerät.

So verhindern Sie Rootkits

Da Rootkits oft besonders gefährlich und schwer zu erkennen sind, sollten Sie beim Surfen im Internet oder Herunterladen von Programmen stets auf der Hut sein. Gegen Rootkits gelten mehr oder weniger dieselben Schutzmaßnahmen wie bei allen anderen Computerviren auch:

1. Installation einer umfassenden Cybersicherheitslösung

Werden Sie selbst aktiv und schützen Sie Ihre Geräte mit einer umfassenden und fortschrittlichen Antiviren-Software. Kaspersky Total Security bietet vollständigen Schutz vor Cyberbedrohungen und enthält eine Funktion für Rootkit-Scans.

2. Regelmäßige Updates

Gehen Sie auf Nummer sicher mit regelmäßigen Programm-Updates, damit Hacker Ihre Geräte gar nicht erst mit Malware infizieren können. Halten Sie alle Programme und Ihr Betriebssystem auf dem neuesten Stand, um Sicherheitslücken zu schließen, die für Rootkit-Angriffe genutzt werden können.

3. Phishing als Betrugsmasche

Phishing gehört zur Gruppe der Social Engineering-Angriffe, bei denen Nutzer in E-Mails dazu verleitet werden sollen, Finanzdaten preiszugeben oder Schadsoftware wie Rootkits herunterzuladen. Damit Rootkits nicht in Ihren Computer eingeschleust werden, sollten Sie möglichst keine verdächtigen E-Mails öffnen, vor allem, wenn Sie deren Absender nicht kennen. Wenn Sie einem Link misstrauen, sollten Sie ihn auch nicht anklicken.

4. Dateidownloads nur aus vertrauenswürdigen Quellen

Überlegen Sie sich gut, ob Sie einen Anhang öffnen sollten, insbesondere, wenn Ihnen der Absender unbekannt ist. Es könnte sich um einen Versuch handeln, ein Rootkit auf Ihrem Computer zu installieren. Laden Sie Software grundsätzlich nur von seriösen Webseiten herunter. Ignorieren Sie nicht die Warnungen Ihres Webbrowsers, dass Sie im Begriff sind, eine Webseite zu öffnen, die nicht sicher ist. 

5. PC-Verhalten und -Leistung im Auge behalten

Ungewöhnliches Verhalten könnte auf ein aktives Rootkit hindeuten. Bleiben Sie wachsam, wenn es unerwartet zu Veränderungen kommt, und finden Sie heraus, woher sie kommen.

Was die Erkennung und Beseitigung betrifft, gehören Rootkits zur schwierigsten Art von Malware. Und gerade weil das Erkennen so schwer fällt, ist Prävention oft die beste Verteidigung. Um sich dauerhaft zu schützen, sollten Sie sich ständig über die neuesten Bedrohungen auf dem Laufenden halten.

Verwandte Artikel:

• Was ist ein Phishing-Betrug?
• Arten von Malware
• Wer entwickelt Malware?
• Was ist ein Trojaner?