Rootkits: Das steckt dahinter und so können Sie sich davor schützen

Digitales Business

Digitales Business

Datum 22.06.2022
Lesezeit 7 Min.

Rootkits: Das steckt dahinter und so können Sie sich davor schützen

Der Begriff „Rootkit“ kann mit „Administratorenbausatz“ übersetzt werden. Das klingt harmlos nach Werkzeugkasten mit Experimentierspaß – doch das Gegenteil ist der Fall. Diese Programmsammlungen haben das Potenzial, Unternehmen existenziell zu bedrohen und ganze Netzwerke zu kompromittieren.

Rootkits sind Schadsoftware, die Unbefugten Zugriff auf Software und Rechnersysteme verschafft. Einmal installiert, ermöglichen diese Programme den Eindringlingen dauerhaften Zugriff auf die befallenen Systeme. Sind Rechner derart kompromittiert, ist es schwer, die meist tief in der Systemebene installierten Rootkits wieder zu entfernen.

Die eigentliche Gefahr geht nicht vom Rootkit selbst aus, denn Rootkits sind keine Malware im klassischen Sinne. Die besondere Fähigkeit dieser Programme liegt darin, andere Schadprogramme vor Virenscannern und Sicherheitslösungen zu verstecken, und die Ausführung der Malware zu verschleiern sowie Aktivitätsspuren zu verwischen.

Die genaue Rootkit-Definition und Beschreibung, was genau ein Rootkit ist und wie Sie sich davor schützen oder bereits vorhandene wieder loswerden, erfahren Sie hier.

 

Was ist ein Rootkit?

In der Regel handelt es sich bei Rootkits um ein oder mehrere Programme oder Skripte, die bestehende Betriebssysteme und Abläufe verändern. Sie führen unbemerkt Funktionen aus, laden weitere Schadsoftware nach, aktivieren sie oder verteilen sie im Netzwerk.

Aus der Unix- und Linux-Systemwelt stammend sind diese Kits heute nahezu auf allen Betriebssystemen vertreten. Dabei liegt der Fokus dieser Programme darauf, ergänzende Malware zu aktivieren. Rootkits sind programmiert, sich selbst sowie nachgeladene Schadsoftware vor Antivirenprogrammen und Nutzer:innen zu verbergen.

Lookout: Die Sicherheitslösung für mobile Endgeräte

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Oder integrierten Sie Lookout Advanced in Ihre bestehende Mobile Device Management Lösungen (EMM) und steuern somit den einfache Roll-Out in Ihre mobile Flotte.

Im einfachsten Fall kann ein Rootkit (Application-Rootkit) aus einem Skript bestehen. Es startet ein eigenes Ablaufschema, beispielsweise beim Aufruf eines zum Betriebssystem gehörenden Tools wie „ls“ unter Linux oder „dir“ in der Windows-Kommandozeile. Dieses eigene ls- oder dir-Programm kann dann Malware nachladen, aktivieren oder andere nichtautorisierte Funktionen starten.

Zum Schluss führt das Tool dann die erwartete Funktion des ursprünglichen Betriebssystemprogramms aus und beendet den Ablauf. Anwender:innen bemerken davon bestenfalls eine kurze Zeitverzögerung, wobei sich diese durch geschickte Programmierung und das Starten von Hintergrundprozessen verdecken lässt.

 

Video: YouTube / Udacity

 

Vielfalt unter Rootkits

Sicherheitsexpert:innen unterteilen Rootkits in verschiedene Kategorien, die nach den Angriffspunkten beziehungsweise der vom Rootkit befallenen Systemebene benannt sind. Das frühzeitige Erkennen von Schadsoftware ist dabei der wichtigste Faktor, um die unbemerkte Verbreitung einer solchen Malware zu unterbinden.

 

Kernel-Mode-Rootkits

Als Reaktion auf Rootkit-Scanner, die in der Lage sind, schädliche Kits auf Kernel-Ebene (also tief im Betriebssystem) zu entdecken, haben Hacker:innen sogenannte Kernel-Mode-Rootkits entwickelt. Diese befinden sich auf derselben Computerebene wie das Betriebssystem und können alle relevanten Bereiche innerhalb eines Computers kompromittieren, ohne durch Rootkit-Scanner enttarnt zu werden.

Sobald Ihr Computer von einem Kernel-Mode-Rootkit betroffen ist, kann ein Anti-Rootkit-Tool die Infektion durch einfache Scans nicht mehr zuverlässig erkennen. Kernel-Mode-Rootkits sind zudem verglichen mit anderer Schadsoftware kompliziert aufgebaut und nicht durch einen simplen Programmstart zu installieren.

Wenn ein Kernel (Betriebssystemkern) durch Malware manipuliert wird, führt das in der Regel zu deutlich sichtbaren Effekten wie beispielsweise Systemabstürzen, Speicherfehlern oder Bluescreens. Derartige Fehler können jedoch auch durch andere Systemprobleme ohne Malwareeinwirkung entstehen. Bei der Ursachenforschung sollte aber die Möglichkeit eines Befalls durch Kernel-Mode-Rootkits immer Teil der Betrachtung sein.

 

Bootkits

Beim Booten greifen Desktop-Rechner und die meisten Server auf einen so genannten Master Boot Record (MBR) zurück, um das Betriebssystem zu laden. Bootloader-Rootkits (Bootkits) sind eine Variante von Kernel-Mode-Rootkits, die den MBR infizieren und den Ladevorgang manipulieren. Bei einer Infizierung des Boot Record startet das Rootkit nachgeschaltete Schadsoftware noch vor dem eigentlichen Betriebssystem.

Die unter Windows oder anderen Betriebssystemen installierte Schutzsoftware startet ebenfalls erst danach. Dadurch hat sie kaum Möglichkeiten, diese Manipulation zu entdecken, da der Schadcode sich nicht im Betriebssystem, sondern „eine Ebene darunter” befindet.

MBRs sind mittlerweile sehr wirksam geschützt. Deshalb kommen Bootkits nicht mehr häufig zum Einsatz. Sowohl Windows 8 als auch Windows 10 und viele modernen Linux-Varianten prüfen den MBR vor dem Start auf Manipulationen. Daher gelingt es Bootkits nur noch selten, unerkannt zu bleiben.

 

User-Mode-Rootkits

User-Mode-Rootkits infizieren das Administratorkonto des Betriebssystems und verschaffen sich darüber die höchstmöglichen Berechtigungsstufen. So lassen sich Sicherheitsprotokolle und nahezu alle systemrelevanten Bereiche im Hintergrund manipulieren.

Sind diese Rootkits erst einmal auf dem Rechner eingerichtet, starten sie automatisch zusammen mit dem System. Alle auf Kernel-Ebene arbeitenden Malware-Scanner und Bereinigungsprogramme erkennen jedoch User-Mode-Rootkits und sind in der Lage, diese zu entfernen.

Vodafone Cyber Security Services

Vodafone Cyber Security Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber Security-Elemente können Sie Ihre Cloud umfassend absichern: von DDoS-Mitigation über Managed Firewall bis hin zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern über die passenden Cyber Security-Lösungen.

 

Hybrid-Rootkits

Hybrid-Rootkits arbeiten in unterschiedlichen Ebenen. Sie platzieren einige der Komponenten auf Benutzerebene und andere im Kernelbereich. Dadurch lassen sich diese Rootkits schwerer identifizieren, sind aber gleichzeitig stabiler als reine Kernel-Kits. Aktuell ist diese Mischform die bei Hackern beliebteste Rootkit-Variante.

 

Firmware-Rootkits

Die sogenannte Firmware ist eine auf niedriger Hardwareebene arbeitende Software. Im IT-Bereich findet sich Firmware zur Steuerung von Systemen und Hardware beispielsweise auf Grafikkarten, in Routern, in Hubs oder anderen Netzwerk- und Rechnerkomponenten. Häufig sind diese Komponenten auch über das Netzwerk ansprechbar. Einige Rootkits nutzen diese Vernetzung aus, um sich in der Firmware zu verstecken. So können sie über die kompromittierten Systeme Malware nachladen oder den Datenverkehr manipulieren.

Sicherheitsscanner können Firmware-Rootkits normalerweise während der Ausführung erkennen und deaktivieren. Allerdings entfernt der Scanner meist nur den im flüchtigen Arbeitsspeicher befindlichen Schadcode. Zur Beseitigung des Kits selbst ist bei der befallenen Hardware die Neuinstallation einer unverfälschten Firmware-Version erforderlich.

 

Virtuelle Rootkits

Virtuelle Maschinen (VM) haben den Ruf, besonders sicher zu sein, da sich im Fehlerfall die virtuelle Umgebung mit wenig Aufwand in einen sauberen Ursprungszustand versetzen lässt. Virtuelle Maschinen werden häufig verwendet, um die Ausführung mehrerer Betriebssysteme auf einem einzigen Gerät zu ermöglichen; oder um Programme in einer isolierten Umgebung zu testen.

Virtuelle Rootkits oder Virtual-Machine-based Rootkits (VMBRs) versuchen, sich auf dem Hostsystem zu installieren und von dort virtuelle Maschinen zu infizieren. Da die aktiven Bereiche der VM getrennt vom Betriebssystem und den Schutzmechanismen des Hosts laufen, sind diese Rootkits nur schwer zu identifizieren.

 

Weitere Rootkit-Versionen

Eine der ursprünglichsten und inzwischen kaum noch eingesetzten Rootkit-Varianten ist das Application-Rootkit. Hierbei werden Standard-Systemprogramme durch modifizierte Varianten ersetzt. Da diese ursprüngliche Form von Rootkits von nahezu allen Schutzprogrammen problemlos erkannt und entfernt wird, setzen Hacker:innen diese kaum noch ein. Eine weitere Gruppe sind die Speicher-Rootkits. Diese existieren nur vorübergehend im Arbeitsspeicher und verschwinden beim Neustart automatisch aus dem System.

 

Welchen Schaden können Rootkits anrichten?

Durch Rootkits ist es möglich, nahezu beliebigen Schadcode auf Systemen zu verstecken. Dabei ist die Liste der von Hacker:innen angestrebten Ziele lang:

  • Administratorrechte: Der angestrebte Schlüssel zum System, der Cyberkriminellen alle Systemtüren öffnet, ist der Besitz von Root- oder Administratorrechten. Mit diesen Privilegien ausgestattet, lässt sich nicht nur immenser Schaden anrichten, sondern auch Malware im gesamten Netzwerk verbreiten. Selbst wenn bei einem Angriff die aktivierte Malware enttarnt und entfernt wird, bleibt das am Anfang der Infektionskette stehende Rootkit häufig unerkannt. Oft sorgt es innerhalb eines programmierten Zeitfensters, oder solange es nicht entfernt wird, immer wieder für neue Infektionen.
  • Tarnen und Täuschen: Ein weiteres Ziel ist es, Malware zu verbergen. Rootkits sorgen für eine Verschleierung und Tarnung vorhandener Malware, um die Erkennung und Beseitigung zu erschweren.
  • Fernzugriff erlangen: Rootkits können es Angreifer:innen ermöglichen, unerkannt per Fernzugriff (remote) auf Systeme zuzugreifen.
  • Daten stehlen: Cyberkriminelle verwenden Rootkits häufig, um Daten auszuspähen und zu verändern. Vom Identitätsdiebstahl über Kreditkartenbetrug bis hin zur Datenspionage gibt es kaum eine Form von Cyberkriminalität, die nicht Rootkits als Werkzeug einsetzt.
  • Einrichtung von Backdoors: Ein permanenter „Hintereingang“ sorgt dafür, dass selbst die restlose Entfernung von Malware keine endgültige Sicherheit bietet. Über Backdoors ist es Hacker:innen möglich, jederzeit erneut Zugang zu Systemen zu bekommen.
  • Privatsphäre ausspähen: Rootkits können den Internet-Datenstrom eines Rechners abfangen, Benutzer-Tastenanschläge (beispielsweise bei der Passworteingabe) aufzeichnen und E-Mails unerkannt kopieren und umleiten.

 

Ausklappbare Informationsgrafik

Die Angriffsmöglichkeiten für Schadsoftware sind in den letzten Jahren stetig gewachsen.

 

So erkennen Sie Rootkits

Die meisten Virenschutzprogramme erkennen bereits die meisten Rootkit-Arten. Sie werten ungewöhnliche Vorkommnisse wie beispielsweise die Löschung von Dateien aus, um unbekannte Schadsoftware zu identifizieren. Da Rootkits jedoch weitgehend im Verborgenen arbeiten, liefern bislang unbekannte Varianten meist keinen Anhaltspunkt für einen Befall von Systemen.

Rootkits zu erkennen, sie zu finden und zu entfernen ist keine Aufgabe für Laien. Derartige Herausforderungen sollten Sie daher nach Möglichkeit Spezialisten beziehungsweise der IT-Administration Ihres Unternehmens überlassen. Häufig benutzen IT-Expert:innen spezielle Rootkit-Scanner, um eine Rootkit-Prüfung vorzunehmen. Dabei ist es wichtig, nicht nur Arbeitsplatzrechner im Unternehmen auf Malware zu testen.

Auch Rechner im Home-Office sollten auf eventuell vorhandene Rootkits geprüft werden. Die Prüfung sollte möglichst schnell und einfach ohne Unterstützung der IT-Administration erfolgen können. Dabei liefern speziell darauf ausgerichtete Programme bessere Ergebnisse als die Standard-Virenschutz-Applikationen. Zu den leistungsfähigsten Rootkit-Scannern zählen das „Sophos Virus Removal Tool“, der „Rootkit Remover“ von Bitdefender sowie Malwarebytes Anti-Rootkit.

Spätestens beim Auftreten von Warnsignalen sollten Sie Ihr System mit einer entsprechenden Scansoftware untersuchen. Die Warnsignale sind dabei häufig unspezifisch und können auch völlig andere Ursachen haben. Generell sollten Sie auf folgende Symptome achten:

  • Das System verhält sich anders als sonst. Rootkits führen meist zu einer Manipulation der Betriebssystem-Abläufe. Wenn sich der Computer seltsam verhält, könnte das ein Zeichen für Rootkit- oder Malware-Aktivität sein.
  • Systemeinstellungen verändern sich spontan: Grundsätzlich sollte der Computer die eingestellte Konfiguration nicht eigenmächtig verändern. Über Fernzugriff mittels Rootkit ist es Hacker:innen möglich, Einstellungen anzupassen und die bestehende Konfiguration zu manipulieren. Wenn Sie Veränderungen im laufenden Betrieb bemerken, könnten diese durch Rootkits hervorgerufen worden sein.
  • Webseiten/Netzwerkaktivitäten und Programme sind instabil: Für ständige Netzwerk- und Verbindungsabbrüche, Speicherzugriffsfehler oder abstürzende Programme und vermehrte Bluescreen-Meldungen könnten technischen Probleme die Ursache sein. Allerdings führt auch der Einsatz von Rootkits zu ähnlichen Symptomen. Stehen die Fehler mit einer Programminstallation oder dem Aufruf von E-Mails, dem Einspielen neuer Software oder dem Aufruf von Webseiten in Verbindung, sind das weitere Hinweise auf ein Rootkit oder andere Malware als Ursache der Störungen.

Im Zweifelsfall sollten Systeme mit ungewöhnlichem Verhalten unverzüglich auf Schadsoftware untersucht werden. Dabei empfiehlt es sich, betroffene Rechner frühzeitig zu isolieren, also vom Netzwerk zu trennen.

 

Rootkits: Angriffe erfolgreich abwehren

Die Abwehrmaßnahmen gegen Rootkits entsprechen prinzipiell denen, die auch Schutz gegen andere Schadsoftware bieten. Im betrieblichen Umfeld sind diese Maßnahmen Standard. Im Home-Office fehlt jedoch manchmal das Bewusstsein für diesen wichtigen Basisschutz:

  • Verwenden Sie Virenschutzprogramme und führen Sie regelmäßig Systemscans durch.
  • Halten Sie das System durch regelmäßige Updates auf einem aktuellen Stand.
  • Seien Sie sensibel gegenüber E-Mail-Inhalten. Entwickeln Sie ein Bewusstsein für Betrugsmaschen im Internet wie beispielsweise das Phishing und E-Mail-Spoofing.
  • Verwenden Sie ausschließlich starke Passwörter, die nicht leicht zu erraten sind und die beispielsweise Sonderzeichen beinhalten.
  • Nutzen Sie Administrator-Accounts nur, wenn erweiterte Rechte gebraucht werden. Im Internet sollte generell nicht mit Administratorzugang gesurft werden.
  • Manche Systeme bieten die Möglichkeit, einen Schreibschutz auf der Hauptplatine des Rechners zum Schutz von dessen Firmware zu aktivieren. Allerdings verhindert dieser Schreibschutz dann auch reguläre Firmware-Updates. Manche Systeme erlauben es, softwareseitig einen Schreibschutz zu setzen. Diese Möglichkeit sollten Sie nutzen.

 

So gelangen Rootkits ins System

Um Systeme vor Rootkits zu schützen, ist es wichtig zu verstehen, mit welchem Mechanismus diese Schadsoftware auf den Rechner gelangt. Im Gegensatz zu Viren benötigen Rootkits Hilfe, um sich auf Systemen installieren zu können.

Cyberkriminelle verknüpfen Rootkits in der Regel mit zwei Partnerprogrammen: einem Dropper und einem Loader. Rootkit, Dropper und Loader bilden zusammen eine sogenannte kombinierte Bedrohung. Der Dropper importiert das Rootkit auf den Zielrechner. Sobald der Dropper gestartet wird, lädt dieser den Loader nach.

Dessen einzige Funktion ist es, das eigentliche Rootkit auf dem Zielrechner zu installieren. Loader bedienen sich dabei häufig einer weit verbreiteten Sicherheitslücke. Durch den so genannten „Pufferüberlauf“ ist es möglich, Code in ansonsten unzugängliche Bereiche des Speichers eines Computers zu laden.

 

Ausklappbare Informationsgrafik

Hacker verknüpfen Rootkits mit Droppern und Loadern als Partnerprogramme.

Um diesen koordinierten Angriff durchführen zu können, bedienen sich Hacker:innen unterschiedlicher Transportmethoden. Messaging-Programme oder E-Mails mit Nachrichten und Links sind eine beliebte Variante, um Rootkits in Rechnersysteme einzuschleusen. Weitere bei Hacker:innen verbreitete Methoden sind:

  • Nutzung von Trojaner-Programmen
  • Einschleusen durch kostenlose Spielprogramme
  • Manipulation von regulären Software-Downloads über nicht vertrauenswürdige Download-Adressen
  • Verwendung von Attachments in E-Mails, um Dropper auf Zielsysteme zu transportieren.

Die Gefahr zu kennen ist der erste Schritt zur erfolgreichen Abwehr von Rootkits. Diese werden als effektive Werkzeuge von Cyberkriminellen immer eine Gefahr bleiben. Dagegen bieten nur Wachsamkeit und moderne Sicherheitssoftware einen wirksamen Schutz.

 

Haben Sie schon Erfahrungen mit der Abwehr von Rootkits gesammelt? Wir freuen uns auf Ihren Kommentar.

 


Ihre Digitalisierungs-Berater:innen für den Mittelstand

Sie haben Fragen zur Digitalisierung? Unser Expert:innen-Team hilft Ihnen kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20 Uhr). Oder am Telefon unter 0800 5054512

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail