Was ist ein Rootkit?

what-is-a-rootkit-blog


Es gibt sie schon sehr lange. Sie sind weder Virus noch Wurm und auch kein Trojaner. Selbst der Begriff Spyware trifft nicht auf sie zu. Und doch haben sicher auch Sie im Zusammenhang mit Malware schon von Rootkits gelesen. Aber was sind sie dann?

Obwohl sie nicht zwangsläufig bösartig sind, bieten Rootkits die Möglichkeit, das Betriebssystem eines Computers zu manipulieren. Fernbenutzer können sich dann beispielsweise Administratorberechtigungen verschaffen. Es dürfte daher nicht überraschen, dass Rootkits ein beliebtes Werkzeug für Cyberkriminelle sind.

In unserem heutigen Artikel über Rootkits erklären wir Ihnen, wie sie funktionieren und wie Sie Ihr System vor dieser Onlinebedrohung schützen können.

Definition eines Rootkits

Der Begriff „Rootkit“ wurde ursprünglich in Zusammenhang mit Unix geprägt. Dort steht der Begriff „root“ für einen Benutzer mit höchstmöglichen Zugriffsrechten – vergleichbar mit dem „Administrator“ in Windows. „kit“ bezieht sich wiederum auf eine Software, die root-Zugriff auf ein Unix-basiertes System gewährt. Ein „Rootkit“ ist also ein Programm, das einem Anwender (berechtigt oder unberechtigt) privilegierten Zugriff auf einen Computer ermöglicht.

Da ein Rootkit Änderungen auf der grundlegendsten Ebene vornehmen kann, ist es in der Lage, sich zu verstecken, Dateien auszuführen, das System zu modifizieren und seine Verwendung nachzuverfolgen. Und das alles, ohne das Wissen des eigentlichen Benutzers.

Einst auf Unix- und Linux-basierte Systeme beschränkt haben die Tools schließlich mit NTRootkit auch einen Weg auf Windows-Computer gefunden. Der erstmals 1999 entdeckte Trojaner war auf Windows NT angesetzt worden. Seitdem werden Rootkits mit zunehmender Beliebtheit auch für das Microsoft-Betriebssystem eingesetzt und sind mittlerweile eine regelrechte Plage für die digitale Welt.

Wie funktionieren Rootkits?

rootkit-content-breaker-1

Rootkits können sich nicht selbst verbreiten, sondern nutzen heimliche Methoden, um einen Computer zu infizieren. Meistens sind sie in arglistiger Software versteckt, die als normale Programme getarnt sind. Wird ein solches dann installiert, gelangt das Rootkit auf das System, wo es auf die Aktivierung durch den Hacker wartet. Da sie sich vor Benutzern, Administratoren und vielen Sicherheitsprodukten verstecken können, lassen sie sich nur sehr schwer entdecken und entfernen. Hat es ein Rootkit also einmal auf ein System geschafft, ist es sehr wahrscheinlich, dass auch schädliche Aktionen ausgeführt werden.

Weitere gängige Infektionswege sind Betrugsversuche durch E-Mail-Phishing, Downloads über fragwürdige Websites oder das Vernetzen mit freigegebenen Laufwerken, die bereits infiziert sind. Ein wichtiger Hinweis noch: Um sich ein Rootkit einzufangen, ist es nicht unbedingt erforderlich, eine ausführbare Datei zu starten. Mitunter reicht es aus, ein bösartiges PDF- oder Word-Dokument zu öffnen.

Im Wesentlichen gibt es vier Arten von Rootkits:

1. Kernel-Rootkits

Kernel- Rootkits sind darauf ausgelegt, die Funktionsweise des Betriebssystems zu ändern. Dazu fügen Sie zum Kern des Betriebssystems – dem sogenannten Kernel – eigenen Code und mitunter auch eigene Datenstrukturen hinzu. Diese Art von Rootkits erfolgreich zu programmieren, ist sehr kompliziert. Werden dabei Fehler gemacht, kann es zu erheblichen Systembeeinträchtigungen führen. Das Gute daran: Die Kernel-Rootkits sind meistens einfacher aufzuspüren, als andere Rootkit-Arten.

Das Mitte 2017 zu trauriger Berühmtheit gelangte SmartService ist beispielsweise ein derartiges Kernel-Rootkit. Es hindert den Benutzer daran, Antivirus-Produkte auszuführen, und wird damit zu einer Art Schutzschild für Adware und Trojaner, die bereits auf dem Rechner vorhanden sind.

2. User-Mode-Rootkits

Diese Art von Rootkit wird entweder beim Hochfahren des Computers regulär als Programm geladen oder über einen sogenannten Dropper ins System eingeschleust. Dazu gibt es je nach Betriebssystem verschiedenste Möglichkeiten. Bei Windows wird das Rootkit in der Regel die grundlegende Funktionsweise der DLL-Dateien manipulieren. Bei einem Unix-basierten System ersetzt es hingegen oftmals eine komplette Anwendung.

User-Mode-Rootkits werden bevorzugt für Finanz-Malware eingesetzt. Eine der am häufigsten kopierten Versionen, die sich diese Technik zunutze macht, ist Carberp. Ihr Quellcode ist vor einigen Jahren an die Öffentlichkeit gelangt, sodass die Rootkit-Komponente bis heute von vielen Malware-Familien im Finanzbereich weiterverwertet wird.

3. Bootloader-Rootkits (Bootkits)

Diese Biester haben es auf das Fundament Ihres Computers abgesehen, indem sie den Master Boot Record angreifen. Der MBR ist ein wichtiger Bestandteil des Computers, da er Anweisungen enthält, wie das Betriebssystem zu starten ist. Außerdem lassen sich diese Rootkits nur schwer wieder loswerden. Wurde der Bootloader nämlich in den Code des MBR eingeschleust, könnte durch das Entfernen der Computer beschädigt werden.

Moderne Betriebssysteme wie Windows 8 und 10 sind aufgrund der Einführung von Secure Boot gegenüber dieser Art von Rootkit nahezu immun und Bootkits daher so gut wie ausgestorben. Die bekannteste Familie war von 2007 bis 2012 unter den Namen Alureon, TDL-4 und TDSS aktiv. Die aufgrund ihrer Bootkit-Komponente geschützte Alureon-Malware hatte zu ihrer Zeit das zweitaktivste Botnetz erschaffen – bis ihre Schöpfer im Jahr 2011 verhaftet wurden.

4. Speicher-Rootkits

Wie der Name schon andeutet, befinden sich diese Rootkits im Speicher (RAM) Ihres Computers. Im Gegensatz zu anderen Arten, die sich über Jahre hinweg ohne Ihr Wissen auf Ihrem Rechner einnisten können, bleiben sie jedoch nicht dauerhaft gespeichert. Indem der RAM beim Neustart Ihres Computers zurückgesetzt wird, wird auch das Rootkit gelöscht.

Obwohl es viele verschiedene Arten von Rootkits gibt, haben sie doch alle einen Zweck: ihre Spuren (und die von zugehöriger Software) auf dem Betriebssystem verwischen. Dazu gibt es zahlreiche Methoden. Windows verfügt beispielsweise über eine integrierte Funktion zum Auflisten von Ordnerinhalten. Ein Rootkit kann diese Basisfunktion (auch als Programmierschnittstelle oder kurz API bezeichnet) modifizieren, damit der Name der Datei, die das Rootkit enthält, niemals angezeigt wird. Auf diese Weise wird die Datei für den normalen Benutzer unsichtbar. Durch die Manipulation weiterer Windows-APIs lassen sich jedoch nicht nur Dateien und Ordner verstecken, sondern auch aktive Programme, geöffnete Netzwerkports oder Registrierungsschlüssel. Das ist jedoch nur eine kleine Auswahl der von Rootkits eingesetzten Verschleierungstaktiken.

Sind Rootkits Malware?

rootkit-content-breaker-2

Rootkits werden häufig von Malware-Entwicklern eingesetzt. Doch macht sie das zwangsläufig zu einem Schädling?

Nein. Wie bereits zuvor erwähnt, sind Rootkits nicht unbedingt gefährlich, und ihr einziger Zweck liegt darin, Software und die von ihr im Betriebssystem hinterlassenen Spuren zu beseitigen. Ob es sich bei der dadurch versteckten Software jedoch um ein befugtes oder ein bösartiges Programm handelt, ist eine ganz andere Sache.

Über die Jahre gab es etliche Beispiele für seriöse Rootkits. Besonders bekannt dürfte das CD-Kopierschutzsystem von Sony BMG sein. 2005 hatte der Windows-Spezialist Mark Russinovich entdeckt, dass bei der Verwendung einer mit dem System geschützten CD von Sony BMG automatisch und ohne Zustimmung des Benutzers eine Software installiert wurde, die in keiner Prozessliste erschien und sich auch nicht deinstallieren ließ – sich also vor dem Benutzer versteckte. Auf diese Weise sollten die Käufer der Musik-CDs davon abgehalten werden, die Audiodaten auszulesen, um sie dann zu kopieren und möglicherweise illegal weiterzuvertreiben.

Trotz der rechtmäßigen Einsatzmöglichkeiten von Rootkits sind es dennoch die Cyberkriminellen, die am meisten von ihrer Funktionsweise profitieren. Was für legitime Prozesse, Dateien und Speicherordner funktioniert, geht schließlich auch für Malware. Daher setzen Hacker sie häufig ein, um ihre Schädlinge vor Benutzern zu verstecken sowie Antivirus-Programmen das Erkennen und Entfernen zu erschweren. Rootkits sind auch in Keyloggern überaus gebräuchlich. Diese Schädlinge nisten sich mit ihrer Hilfe zwischen dem Betriebssystem und der Hardware des Computers ein und zeichnen jeden einzelnen Tastenanschlag auf. Wie oben schon kurz angesprochen lassen sich mit Rootkits auch gigantische Botnetze aus Millionen Computern aufbauen. Diese werden dann missbraucht, um beispielsweise Kryptowährung zu schürfen, massive DDoS-Angriffe zu starten oder andere illegale Großkampagnen auszuführen.

So geht Emsisoft gegen Rootkits vor

Rootkits sind durchaus in der Lage, sich vor Virenscannern und anderen Desinfektionssystemen zu verstecken. Dadurch wird es für Antivirus-Produkte, die nur auf Signatur-Erkennung setzen, unmöglich, die zugehörigen Signaturen zu analysieren und entsprechende Gegenmaßnahmen zu ergreifen.

Anstatt sich auf den Vergleich von Signaturen zu beschränken, verfolgt Emsisoft Anti-Malware zum Glück ein anderes Prinzip. Die Verhaltensanalyse des Programms kann bösartige Versuche, Zugriff auf wichtige Systemfunktionen zu erlangen, entdecken und folglich das entsprechende Programm stoppen, bevor es Änderungen am System vornimmt.

Durch diesen innovativen Ansatz zur Bekämpfung von Rootkits und Malware kann Emsisoft Anti-Malware alle Arten von digitalen Angriffen erkennen und blockieren – selbst vollkommen neue Bedrohungen.

Wir wünschen eine schöne (Malware-freie) Zeit!

 

Übersetzt von Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel