Rootkits können als technisch ausgefeilteste Form von Schadcode (Malware) und als eine der am schwierigsten zu entdeckenden und zu eliminierenden bezeichnet werden. Von allen Arten von Malware werden Viren und Würmer wahrscheinlich am häufigsten verbreitet, da sie in der Regel weit verbreitet sind. Es ist bekannt, dass viele Menschen von einem Virus oder Wurm betroffen sind. Dies bedeutet jedoch keineswegs, dass Viren und Würmer die zerstörerischste Malware der Welt sind. Es gibt gefährlichere Arten von Malware, da sie in der Regel im Stealth-Modus ausgeführt werden, schwer zu erkennen und zu entfernen sind und über einen sehr langen Zeitraum hinweg unbemerkt bleiben können, um unbemerkt Zugriff zu erlangen, Daten zu stehlen und die Dateien auf dem Computer des Opfers zu ändern .
Ein Beispiel für einen solchen heimlichen Feind sind Rootkits - eine Sammlung von Tools, die ausführbare Programme oder sogar den Kernel des Betriebssystems selbst ersetzen oder ändern können, um auf Administratorebene Zugriff auf das System zu erhalten, das für die Installation verwendet werden kann Spyware, Keylogger und andere schädliche Tools. Im Wesentlichen ermöglicht ein Rootkit einem Angreifer den vollständigen Zugriff auf den Computer des Opfers (und möglicherweise auf das gesamte Netzwerk, zu dem der Computer gehört). Eine der bekannten Anwendungen eines Rootkits, die erhebliche Verluste / Schäden verursachten, war der Diebstahl des Quellcodes von Valves Half-Life 2: Source-Game-Engine.
Rootkits sind nichts Neues - sie gibt es schon seit Jahren und es ist bekannt, dass sie verschiedene Betriebssysteme (Windows, UNIX, Linux, Solaris usw.) betreffen. Ohne ein oder zwei Massenvorkommnisse von Rootkit-Vorfällen (siehe Abschnitt Berühmte Beispiele), die die Öffentlichkeit auf sie aufmerksam machten, wären sie möglicherweise erneut der Aufmerksamkeit entgangen, außer durch einen kleinen Kreis von Sicherheitsexperten. Bis heute haben Rootkits nicht ihr volles zerstörerisches Potenzial entfesselt, da sie nicht so weit verbreitet sind wie andere Formen von Malware. Dies kann jedoch von geringem Komfort sein.
Rootkit-Mechanismen ausgesetzt
Ähnlich wie Trojaner, Viren und Würmer installieren sich Rootkits selbst, indem sie Fehler in der Netzwerksicherheit und im Betriebssystem ausnutzen, häufig ohne dass der Benutzer eingreift. Obwohl es Rootkits gibt, die als E-Mail-Anhang oder als Paket mit legitimen Softwareprogrammen geliefert werden können, sind sie harmlos, bis der Benutzer den Anhang öffnet oder das Programm installiert. Im Gegensatz zu weniger ausgefeilten Formen von Malware dringen Rootkits jedoch sehr tief in das Betriebssystem ein und versuchen, ihre Präsenz zu verschleiern, indem sie beispielsweise Systemdateien ändern.
Grundsätzlich gibt es zwei Arten von Rootkits: Kernel-Level-Rootkits und Application-Level-Rootkits. Rootkits auf Kernel-Ebene fügen Code zum Kernel des Betriebssystems hinzu oder ändern ihn. Dies wird erreicht, indem ein Gerätetreiber oder ein ladbares Modul installiert wird, das Systemaufrufe ändert, um die Anwesenheit eines Angreifers zu verbergen. Wenn Sie also in Ihren Protokolldateien nachsehen, sehen Sie keine verdächtigen Aktivitäten auf dem System. Rootkits auf Anwendungsebene sind weniger ausgefeilt und im Allgemeinen einfacher zu erkennen, da sie die ausführbaren Dateien von Anwendungen und nicht das Betriebssystem selbst ändern. Da Windows 2000 dem Benutzer jede Änderung einer ausführbaren Datei meldet, wird es für den Angreifer schwieriger, unbemerkt zu bleiben.
Warum Rootkits ein Risiko darstellen
Rootkits können als Hintertür fungieren und sind normalerweise nicht allein in ihrer Mission - sie werden oft von Spyware, Trojanern oder Viren begleitet. Die Ziele eines Rootkits können von der einfachen böswilligen Freude, in den Computer eines anderen einzudringen (und die Spuren einer fremden Präsenz zu verbergen) bis zum Aufbau eines vollständigen Systems zum illegalen Erhalt vertraulicher Daten (Kreditkartennummern oder Quellcode wie im Fall von Half) reichen -Leben 2).
Im Allgemeinen sind Rootkits auf Anwendungsebene weniger gefährlich und leichter zu erkennen. Wenn das Programm, mit dem Sie Ihre Finanzen verwalten, jedoch von einem Rootkit "gepatcht" wird, kann der finanzielle Verlust erheblich sein. Ein Angreifer kann also Ihre Kreditkartendaten verwenden, um ein paar Artikel zu kaufen. Wenn Sie verdächtige Aktivitäten auf Ihrem Kreditkartenguthaben nicht rechtzeitig bemerken, werden Sie das Geld höchstwahrscheinlich nie wieder sehen.
Im Vergleich zu Rootkits auf Kernel-Ebene sehen Rootkits auf Anwendungsebene süß und harmlos aus. Warum? Denn theoretisch öffnet ein Rootkit auf Kernel-Ebene alle Türen zu einem System. Sobald die Türen geöffnet sind, können andere Formen von Malware in das System gelangen. Wenn Sie eine Rootkit-Infektion auf Kernel-Ebene haben und diese nicht leicht erkennen und entfernen können (oder überhaupt nicht, wie wir im Folgenden sehen werden), kann eine andere Person die vollständige Kontrolle über Ihren Computer haben und sie auf eine von ihr gewünschte Weise verwenden. Zum Beispiel, um einen Angriff auf andere Computer auszulösen und den Eindruck zu erwecken, dass der Angriff von Ihrem Computer ausgeht und nicht von einem anderen Ort.
Erkennung und Entfernung von Rootkits
Nicht, dass andere Arten von Malware leicht zu erkennen und zu entfernen sind, aber Kernel-Level-Rootkits sind eine besondere Katastrophe. In gewisser Hinsicht handelt es sich um ein Catch 22 - Wenn Sie über ein Rootkit verfügen, werden die von der Anti-Rootkit-Software benötigten Systemdateien wahrscheinlich geändert, und daher können die Ergebnisse der Überprüfung nicht als vertrauenswürdig eingestuft werden. Wenn ein Rootkit ausgeführt wird, kann es die Liste der Dateien oder ausgeführten Prozesse, auf die sich Antivirenprogramme stützen, erfolgreich ändern und so gefälschte Daten bereitstellen. Außerdem kann ein laufendes Rootkit einfach Antiviren-Programmprozesse aus dem Speicher entladen, wodurch die Anwendung heruntergefahren oder unerwartet beendet wird. Auf diese Weise zeigt es jedoch indirekt seine Präsenz an, sodass man misstrauisch werden kann, wenn etwas schief geht, insbesondere bei Software, die die Systemsicherheit aufrechterhält.
Eine empfohlene Methode zum Erkennen des Vorhandenseins eines Rootkits besteht darin, von einem alternativen Medium zu starten, das als sauber bekannt ist (z. B. eine Backup- oder Rettungs-CD-ROM), und das verdächtige System zu überprüfen. Der Vorteil dieser Methode ist, dass das Rootkit nicht ausgeführt wird (daher kann es sich nicht verstecken) und die Systemdateien nicht aktiv manipuliert werden.
Es gibt Möglichkeiten, Rootkits zu erkennen und zu entfernen. Eine Möglichkeit besteht darin, saubere MD5-Fingerabdrücke der ursprünglichen Systemdateien zu haben, um die Fingerabdrücke der aktuellen Systemdateien zu vergleichen. Diese Methode ist nicht sehr zuverlässig, aber besser als nichts. Die Verwendung eines Kernel-Debuggers ist zuverlässiger, erfordert jedoch gründliche Kenntnisse des Betriebssystems. Selbst die Mehrheit der Systemadministratoren wird selten darauf zurückgreifen, insbesondere wenn es kostenlose gute Programme zur Erkennung von Rootkits gibt, wie Marc Russinovichs RootkitRevealer. Wenn Sie zu seiner Website gehen, finden Sie detaillierte Anweisungen zur Verwendung des Programms.
Wenn Sie ein Rootkit auf Ihrem Computer entdecken, müssen Sie es im nächsten Schritt entfernen (leichter gesagt als getan). Bei einigen Rootkits ist das Entfernen nicht möglich, es sei denn, Sie möchten auch das gesamte Betriebssystem entfernen! Die naheliegendste Lösung - das Löschen infizierter Dateien (vorausgesetzt, Sie wissen, welche genau getarnt sind) ist absolut nicht anwendbar, wenn es um wichtige Systemdateien geht. Wenn Sie diese Dateien löschen, können Sie Windows wahrscheinlich nie wieder starten. Sie können einige Rootkit-Entfernungsanwendungen wie UnHackMe oder F-Secure BlackLight Beta ausprobieren, aber rechnen Sie nicht zu viel damit, um den Schädling sicher entfernen zu können.
Es mag nach einer Schocktherapie klingen, aber die einzige bewährte Möglichkeit, ein Rootkit zu entfernen, besteht darin, die Festplatte zu formatieren und das Betriebssystem erneut zu installieren (natürlich von einem sauberen Installationsmedium!). Wenn Sie eine Ahnung haben, woher Sie das Rootkit haben (wurde es in einem anderen Programm gebündelt oder wurde es Ihnen per E-Mail gesendet?), Denken Sie nicht einmal daran, die Infektionsquelle erneut auszuführen oder zu installieren!
Berühmte Beispiele für Rootkits
Rootkits werden seit Jahren heimlich verwendet, jedoch nur bis zum letzten Jahr, als sie in den Schlagzeilen der Nachrichten erschienen. Der Fall von Sony-BMG mit seiner DRM-Technologie (Digital Right Management), die das unbefugte Kopieren von CDs durch die Installation eines Rootkits auf dem Computer des Benutzers schützte, löste scharfe Kritik aus. Es gab Klagen und strafrechtliche Ermittlungen. Sony-BMG musste ihre CDs aus den Läden zurückziehen und die gekauften Kopien gemäß der Streitbeilegung durch saubere ersetzen. Sony-BMG wurde vorgeworfen, Systemdateien heimlich getarnt zu haben, um das Vorhandensein des Kopierschutzprogramms zu verbergen, mit dem auch private Daten an die Website von Sony gesendet wurden. Wenn das Programm vom Benutzer deinstalliert wurde, wurde das CD-Laufwerk funktionsunfähig. Tatsächlich verletzte dieses Programm zum Schutz des Urheberrechts alle Datenschutzrechte, verwendete illegale Techniken, die für diese Art von Malware typisch sind, und machte den Computer des Opfers vor allem für verschiedene Angriffe anfällig. Es war typisch für ein großes Unternehmen wie Sony-BMG, zunächst den arroganten Weg zu gehen, indem es erklärte, wenn die meisten Menschen nicht wüssten, was ein Rootkit ist und warum es ihnen etwas ausmacht, dass sie eines haben. Wenn es keine Leute wie Mark Roussinovich gegeben hätte, der als erster über Sonys Rootkit sprach, hätte der Trick funktionieren können, und Millionen von Computern wären infiziert worden - ein weltweites Vergehen bei der angeblichen Verteidigung des Intellektuellen eines Unternehmens Eigentum!
Ähnlich wie bei Sony, aber wenn keine Internetverbindung erforderlich war, ist dies bei Norton SystemWorks der Fall. Es ist richtig, dass beide Fälle aus ethischer oder technischer Sicht nicht verglichen werden können, da Nortons Rootkit (oder eine Rootkit-ähnliche Technologie) Windows-Systemdateien so ändert, dass sie dem geschützten Papierkorb von Norton entsprechen Benutzerrechte oder das Rootkit nutzen, wie dies bei Sony der Fall ist. Der Zweck des Cloaking bestand darin, vor jedem (Benutzer, Administratoren usw.) und allem (anderen Programmen, Windows selbst) ein Sicherungsverzeichnis von Dateien zu verbergen, die Benutzer gelöscht haben und die später aus diesem Sicherungsverzeichnis wiederhergestellt werden können. Die Funktion des geschützten Papierkorbs bestand darin, ein weiteres Sicherheitsnetz gegen schnelle Finger hinzuzufügen, die zuerst löschten und dann überlegten, ob sie die richtigen Dateien gelöscht haben. Dies bietet eine zusätzliche Möglichkeit zum Wiederherstellen von Dateien, die aus dem Papierkorb gelöscht wurden ( oder die den Papierkorb umgangen haben).
Diese beiden Beispiele stellen kaum die schwerwiegendsten Fälle von Rootkit-Aktivitäten dar, sie sind jedoch erwähnenswert, da das öffentliche Interesse an Rootkits insgesamt geweckt wurde, indem auf diese besonderen Fälle aufmerksam gemacht wurde. Hoffentlich wissen jetzt mehr Leute nicht nur, was ein Rootkit ist, sondern kümmern sich auch darum, ob sie eines haben, und können sie erkennen und entfernen!
