Home    Aktuelles    Kalender    Katalog    Anmeldung  
News u. Notiz
 Suche 

Home
News u. Notiz
Kalender
Info
Anmeldung
Kontakt

 Newsletter 
E-Mail-Info mit aktuellen News und Veranstaltungen
Zur Newsletter
Um-, Ab- u. Anmeldung

 Events 

 PDF, Audio, Video 

 LogIn 
UserName: 
Kennwort:  

Kennwort vergessen?
Neu Anmeldung

 Anmelden 


 News u. Notiz 
 

« zurück
10 Dinge, die Sie über Rootkits wissen sollten  (Archiv) 

Rootkits tarnen sich geschickt vor Anti-Virensoftware auf dem Computer. Bild: Symantec
Archiviert: 01.12.2008
Rootkits sind komplex aufgebaut und verändern sich ständig, das macht es schwer, genau zu verstehen, womit man es zu tun hat.
Dennoch möchte wir versuchen, Rootkits zu erklären, damit Sie eine Chance haben, Gegenmaßnahmen zu treffen, wenn Sie mit einem konfrontiert sind.



Rootkits kommen aus der Linux/Unix-Welt und arbeiten mittlerweile auf allen Betriebssystemen. Rootkits verstecken sich z.B. in der command.com
1. Was ist ein Rootkit?

Das Wort Rootkit zu zerlegen, ist der erste Weg denselben zu beschreiben. "Root" ist ein UNIX/Linux-Begriff, der dem Administrator in Windows-Systemen entspricht. Das englische Wort "Kit" (Bausatz) bezeichnet Programme, die jemandem auf Root- bzw. Administrator-Ebene den Zugriff auf den Computer ermöglichen - und zwar ohne Kenntnis oder Einverständnis des Computer-Nutzers.


2. Warum einen Rootkit verwenden?

Rootkits haben zwei primäre Funktionen: ferngesteuerte Bedienung/Kontrolle (Backdoor) und "Abhören" der Software. Rootkits erlauben es jemandem, die administrative Kontrolle über einen Rechner zu übernehmen. Das bedeutet Ausführen von Dateien, Zugriff auf Log-Files, Ausspionieren der Aktivitäten des Users am Rechner und natürlich Änderung der Konfiguration des Computers. Deshalb sind - streng genommen - auch sämtliche VNC-Versionen (Virtual Network Computing) nichts anderes als Rootkits. Das überrascht die meisten Leute, da sie Rootkits als ausschließlich als Malware (Schadprogramme) ansehen. Aber nur für sich genommen sind sie überhaupt nicht bösartig/hinterlistig.

Ein berühmtes (berüchtigtes) Beispiel der Anwendung eines Rootkits war Sony BMG's Bestreben, Copyright-Verletzungen vorzubeugen. Sony BMG - eine der größten Plattenfirmen der Welt - verschwieg, dass beim Abspielen von bestimmten CD's auf Home-Computern DRM-Software platziert wurde.
DRM = Digital Rights Management / Digitale Rechteverwaltung; ermöglicht Nutzung und Verbreitung digitaler Medien.

Erschreckendes Detail am Rande: Die Technik, die der versteckte Rootkit von Sony verwendete, war so gut, dass kein Antivirus- oder Antispyware-Programm ihn erkannte. http://www.diagramm.net/index.php?id=1455&d=a&i=NuN

Hacker beklagen ''digitalen Hausfriedensbruch'' durch Sony BMG
http://www.diagramm.net/index.php?id=1672&d=a&i=NuN

3. Wie verbreiten sich Rootkits?

Rootkits können sich nicht selbstständig ausbreiten und diese Tatsache hat erhebliche Verwirrung ausgelöst. In Wirklichkeit sind Rootkits lediglich eine Komponente von dem, was "Blended threat" genannt wird - eine schädigende Software, die eine Kombination von Attacken gegen unterschiedliche Schwachstellen eines Systems beinhaltet; z.B. der Mail-Wurm Nimda.
Blended Threats bestehen typischerweise aus drei Schnipseln eines Codes: einem Dropper, einem Loader und dem Rootkit.

Der Dropper ist der Code, der die Rootkit-Installation startet. Um das Dropper-Programm zu aktivieren, bedarf es gewöhnlich menschlicher Bedienung, zum Beispiel Klicken auf einen bösartigen E-Mail-Link. Einmal initiiert setzt der Dropper das Loader-Programm ein und löscht sich dann selbst. Ist der Loader einmal aktiv, verursacht er gewöhnlich einen Buffer-Overflow (Puffer-Überlauf - Überlastung des Speichers), der den Rootkit in den Speicher lädt.

Blended Threat-Schadsoftware stellt den Fuß in die Tür durch Social Engineering (soziale Manipulation), Ausnutzung bekannter Schwächen oder Brute Force (Ausprobieren aller bekannten Möglichkeiten). Hier zwei Beispiele einiger aktueller und bewährter Exploits (Programme, die Sicherheitslücken in Computersystemen ausnützen):

IM - Instant Messaging
Für die Kontaktaufnahme braucht es einen Rechner, auf dem IM installiert ist. Wenn der passende Blended Threat auf nur einem Computer, auf dem IM läuft, Fuß gefasst hat, übernimmt er den IM-Client und versendet Nachrichten mit Schad-Links an jeden, der in der Kontaktliste ist. Wenn nun der Empfänger auf diesen Link klickt (Social Engineering - als käme es von einem Freund), wird auch dieser Computer infiziert und hat ebenfalls einen Rootkit installiert.

Rich Content - erweiterter Inhalt
Die neueste Herangehensweise ist, die Blended Threat-Malware in Dokumente mit erweitertem Inhalt einzubinden, z.B. PDF-Dokumente. Schon das Öffnen der infizierten PDF-Datei löst den Dropper-Code aus - und alles ist vorbei.


4. User-Modus Rootkits

Es gibt verschiedene Typen von Rootkits, wir beginnen mit dem einfachsten. User-Modus Rootkits laufen auf einem Computer mit administrativen Rechten. Diese ermöglichen den User-Modus Rootkits das Abändern von Sicherheits- und versteckten Prozessen, Dateien, System-Treibern, Netzwerk-Kanälen und Systemdiensten. Diese Rootkits bleiben am infizierten Rechner installiert, indem sie die benötigten Dateien auf die Festplatte kopieren und automatisch bei jedem System-Neustart geladen werden.

Traurigerweise sind gerade die User-Modus Rootkits die einzigen ihrer Art, bei denen Antivirus- und Antispy-Programme zumindest eine Chance haben, sie zu entdecken. Ein Beispiel für einen User-Modus Rootkit ist "Hacker defender". Das ist ein alter Rootkit, hat aber eine illustre Geschichte. Wenn Sie die Geschichte von "Hacker Defender" lesen, werden Sie einiges über Mark Russinovich erfahren, sein Rootkit-Erkennungsprogramm "Rootkit Revealer" und sein Katz-und-Maus-Spiel mit dem Entwickler von Hacker Defender.
Link: searchenterprisedesktop.techtarget.com/new....html


5. Kernel-Modus Rootkit

Malware-Entwickler sind ein gerissener Haufen. Als sie erkannten, dass User-Modus Rootkits von Rootkit-Erkennungssoftware, die im Kernel-Modus laufen, gefunden werden können, entwickelten sie Kernel-Modus Rootkits. Diese platzierten Sie auf der gleichen Ebene, auf der auch das Basis-Betriebssystem (Operating System) und die Rootkit-Erkennungssoftware arbeiten. Vereinfacht ausgedrückt: Dem OS kann nicht länger vertraut werden. Ein Kernel-Modus Rootkit, das viel Aufmerksamkeit erhält, ist der "Da IOS rootkit", entwickelt von Sebastian Muniz, der auf Cisco IOS Betriebssysteme abzielt.

Instabilität ist der eine Niedergang eines Kernel-Modus Rootkits. Wenn sie bemerken, dass auf Ihrem Bildschirm ungewöhnliche Blue-Screens auftauchen, kann es sich um einen Kernel-Modus Rootkit handeln.

Weitere Infos zum IOS Rootkit finden sie hier:
http://eusecwest.com/sebastian-muniz-da-ios-rootkit.html


6. User-Modus/Kernel-Modus Rootkit - Hybrid-Rootkit

Rootkit-Entwickler wollen das Beste aus beiden Welten. Sie entwickelten daher einen Hybrid-Rootkit, der User-Modus-Eigenschaften (einfach zu handhaben und stabil) und Kernel-Modus-Eigenschaften (heimlich, versteckt) in sich vereint. Der Hybrid-Ansatz ist sehr erfolgreich und zur Zeit der beliebteste Rootkit.


7. Firmware Rootkits / hardware-nahe Software

Firmware Rootkits sind der nächste Schritt in Raffinesse. Dieser Typus kann einer der oben beschriebenen Arten sein, aber mit einem zusätzlichen Kniff: Der Rootkit kann sich in Firmware im Rechner "verstecken", wenn der Computer runtergefahren ist. Bei jedem Neustart reinstalliert sich der Rootkit selbst. Die abgeänderte Firmware kann alles sein - vom Microprozessor Code bis zur PCI Erweiterungskarte. Selbst wenn ein Removal-Programm den Firmware Rootkit findet und eliminiert, beim nächsten Neustart des Computers ist er wieder da. John Heasman hat das ausführlich in "Implementing and Detecting a PCI Rootkit" beschrieben

Firmware:
http://de.wikipedia.org/wiki/Firmware

Implementing and Detecting a PCI Rootkit
http://www.ngssoftware.com/research/papers/Implementing_And_Detecting_A_PCI_Rootkit.pdf


8. Virtuelle Rootkits

... sind ganz neu und haben einen innovativen Ansatz. Der virtuelle Rootkit agiert wie eine Software-Implementation von Hardware-Sets, ähnlich der Art und Weise wie von VM-Ware verwendet. Diese Technologie hat große Besorgnis hervorgerufen, da virtuelle Rootkits nahezu unsichtbar sind. Die "Blue Pill" (Blaue Pille) ist ein Beispiel dieses Typs. Soweit bekannt ist, haben Forscher noch keinen im Umlauf (in the wild) gefunden.


9. Allgemeine Symptome/Anzeichen von Rootkit-Befall

Rootkits sind entmutigend. Aufgrund ihres Aufbaus / ihrer Bauart ist es schwierig festzustellen, ob sie auf einem Rechner installiert sind. Auch für Experten ist es eine Herausforderung, einen installierten Rootkit zu entdecken. Deshalb wird beim Auftreten von Fehlern auch oft nicht direkt nach Rootkits gesucht. Diese sollten gleichermaßen berücksichtigt werden wie andere mögliche Gründe für irgendeinen Abfall der Arbeitsleistung. Entschuldigen Sie bitte die Ungenauigkeit, aber das macht die Natur der Bestie. Hier eine Liste erwähnenswerter Symptome/Anzeichen:

- Wenn sich der Computer gegen Zugriffe sperrt oder fehlerhafte Ausgaben auf irgendeine Eingabe durch Mouse oder Tastatur liefert, könnte das eine Folge eines installierten Kernel-Modus Rootkit sein.

- Einstellungen/Settings in Windows ändern sich ohne Erlaubnis/Berechtigung, z.B. plötzlich ein anderer Screensaver oder die Taskleiste ist versteckt.

- Webseiten-Verbindungen werden langsamer oder Netzwerk-Aktivitäten treten zeitweilig unvermutet auf oder der Datenverkehr (Netzwerk-Traffic) steigt exzessiv an.

Wenn der Rootkit einwandfrei arbeitet, treten diese Symptome allerdings nicht auf - denn gute Rootkits laufen versteckt. Das letzte Symptom (Verlangsamung der Netzwerkverbindung) ist ein Warnsignal. Rootkits können den Traffic, den sie verursachen, nicht verbergen, besonders dann nicht, wenn der Computer als Spam-Relay fungiert oder in eine DDoS-Attacke verwickelt ist.


10. Polymorphismus / Vielgestaltigkeit

Polymorphismus ist zwar keine spezifische Eigenschaft von Rootkits, aber die Technologie, die sie so schwer auffinden lässt, ist verblüffend. Polymorphe Techniken erlauben es Malware, ebenso wie Rootkits, den Kern-Zusammensetzung-Code (core assembly code) zu überschreiben, was die Verwendung von Antivirus- oder Antispyware, die auf Signaturen-Erkennung basiert, sinnlos macht. Polymorphismus bereitet auch der heuristischen Fehlererkennung große Probleme. Die einzige Hoffnung, einen Rootkit aufzustöbern, der Polymorphismus anwendet, ist Technologie, die tiefenwirksam das Betriebssystem und Software durchsucht und dann diese Resultate mit vorangegangenen "Baselines" vergleicht.


11. Erkennung und Entfernung

Wir alle wissen es, aber es ist eine Wiederholung wert: Stellen Sie sicher, dass Ihre Antivirus- und Antispyware (und nicht zuletzt auch alle anderen Programme im Computer) immer aktualisiert ist. Das ist ein vielversprechender Weg, Malware abzuwehren. Alles immer auf dem letzten Stand zu halten ist sehr aufwendig, aber Tools wie "Vulnerability Scanning" von Secunia können helfen ( http://secunia.com/vulnerability_scanning ).

Erkennung und Entfernung hängen von den Verfälschungsqualitäten des Rootkits ab. Varianten des User-Modus-Rootkits können normalerweise mit einem der folgenden Rootkit Removal Tools (Rootkit-Entfernungsprogramme) entfernt werden:

+ F-Secure Blacklight
http://www.f-secure.com/blacklight/

+ RootkitRevealer
http://technet.microsoft.com/en-us/sysinternals/bb897445.aspx

+ Windows Malicious Software Removal Tool
http://www.microsoft.com/security/malwareremove/default.mspx

+ ProcessGuard
http://diamondcs.com.au/processguard/index.php?page=download

+ Rootkit Hunter (Linux and BSD)
http://www.rootkit.nl/projects/rootkit_hunter.html

Das Problem mit diesen Tools ist, dass Sie nicht ganz sicher sein können, dass der Rootkit tatsächlich vollständig entfernt ist. Obgleich es arbeitsintensiver ist, eine bootbare CD wie BartPE ( http://www.nu2.nu/pebuilder ) zu verwenden, gepaart mit einem Antivirus-Scanner erhöht die Chancen einen Rootkit zu finden, ganz einfach, weil Rootkits ihre Spuren nicht verwischen können, wenn sie nicht laufen. Vermutlich ist aber der einzige Weg, um ganz sicher zu sein, auf einem sauberen Computer die Baseline (vgl. Punkt 10) abzunehmen und dann Programme wie "Encase" ( http://en.wikipedia.org/wiki/EnCase ) zu verwenden, um nach hinzugefügten bzw. veränderten Einträgen zu suchen.

Lesetipp: Die Top 10 Botnets
Laut neuesten Berichten beträgt der Umfang der täglich einlangenden Spam-Nachrichten mittlerweile 95 Prozent. Den Großteil verdanken wir den so genannten Botnets.
http://www.diagramm.net/index.php?id=6897&d=a&i=NuN

Conclusio / Abschließende Gedanken

Die Meinungen klaffen auseinander, wenn es um die Entfernung von Rootkits geht - nachzulesen in einem Artikel der NetworkWorld, "Experts divided over rootkit detection and removal". Obwohl der Artikel schon zwei Jahre alt ist, sind die Infos nach wie vor relevant. Eine Hoffnung aber gibt es: Intels "Trusted Platform Module (TPM*) wird als eine mögliche Lösung in Bezug auf die Malware-Plage lobend erwähnt. Problematisch: TPM ist sehr umstritten, nebenbei wird es noch Jahre dauern, bis eine ausreichende Anzahl von Rechnern mit TPM-Prozessoren ausgestattet sein wird.

Näheres zu TPM*
Und was bitte heißt Trusted Computing? inkl. Video
http://www.diagramm.net/index.php?i=NuN&id=451&d=a

- NetworkWorld: Experts divided over rootkit detection and removal
http://www.networkworld.com/news/2006/082806-rootkits.html
- TPM, "Trusted Platform Module"
http://en.wikipedia.org/wiki/Trusted_Platform_Module


Für weitere Informationen empfehlen wir das Buch "ROOTKITS: Subverting the Windows Kernel" von Gary Hoglund und James Butler (HPGary).
http://shop.diagramm.net/description.php?II=825&hid=32&CA=8506

Zusätzliche Quellen:

+ Check out all of diagramm's "free newsletters"
http://www.diagramm.net/index.php?i=diagrammNewsletter

+ Detect rootkits and rootkit behavior with these techniques
http://downloads.techrepublic.com.com/abstract.aspx?docid=171949

+ 10 things to look for in an anti-spyware application
http://downloads.techrepublic.com.com/abstract.aspx?docid=300974

+ 10 things you should know about fighting spyware in Windows XP
http://downloads.techrepublic.com.com/abstract.aspx?docid=172633

Webseite Felix Munk, 19.11.2008

Thema: Datenschutz

Download-Info

Video: rootkits.mp4, Kleine Info zu: Was ist ein Rootkit, Englisch, 3 Min, MPEG  rootkits.mp4
Kleine Info zu: Was ist ein Rootkit, Englisch, 3 Min, MPEG
Download - klick hier!

Video: Rootkit_Detection.mp4, Interview mit Jamie_Butler, 3.5Min, MP4, Englisch  Rootkit_Detection.mp4
Interview mit Jamie_Butler, 3.5Min, MP4, Englisch
Download - klick hier!


Bitte vergeben Sie für diesen Artikel eine Note
zwischen +3 (lesenswert) und -3 (nicht lesenswert)

Artikel bewerten:
+3 +2 +1 0 -1 -2 -3

  Aktuelle Auswertung:
Gesamtbewertung (Alle Punkte): 726
             

Plus: 708, Neutral: 3, Minus: 15
  0 = neutral (Artikel zur Kenntnis genommen)


Leser-Beiträge

* Entfernung von Rootkits
(Von: Webuser:Joob am 21-11-2009 10:27:12)    Antwort   
Die sicherste Methode, einen Rootkit zu entfernen ist eine Formatierung der Festplatte und eine Neuinstallation des Betriebssystems. Man kann sonst nie sicher sein, ob das Rootkit auch wirklich entfernt wurde.

  (Antwort auf: Entfernung von Rootkits)
entfernung...
(Von: Webuser:ANOther am 20-10-2012 19:24:07)
naja, leider gibts durchaus auch orte, in denen sich die rks einnisten können, welche ausserhalb des dateisystems zu finden sind... man nehme zb. bios so ist das formatieren der platte leider kein garant für ein sauberes system mehr...


* Rootkit Detection & Removal Software
(Von: Webuser:Mr.T am 21-11-2009 10:24:08)    Antwort   
Aries Sony Rootkit Remover von Lavasoft für Win als Free
Archon Scanner von X-Solve für Win als Trial / New Version
AVG AntiRootkit von Grisoft für Win / V als Free
Avira Rootkit Detection von Avira für Win als Free
chkrootkit von Murilo & Jessen für Linux, BSD. als Free
DarkSpy von CardMagic & wowocock für 2K / XP / 03 als Free / 5 Star
F-Secure Blacklight Beta von F-Secure für Win als Free
Gmer von Gmer für 2K / XP/Vista als Free / 5 Star
Helios / Helios Lite von MIEL e-Security für Win als Free / New
HiddenFinder von Wenpoint für 2K / XP als Trial
HookExplorer von iDefense für Win als Free
IceSword von XFocus für Win als Free / 5 Star
OS X Rootkit Hunter von Christian Hornung für Mac OS X 10.4 als Free
Panda Anti-Rootkit (Tucan) von Panda Software für 2K / XP / 03 als Free
Process Master von Backfaces für 2K / XP / 03 als 30 Day Trial
Radix Anti RootKit von USEC.at für Win als New
RootKit Detective von McAfee Avert Labs für Win als New
RootKit Buster von Trend Micro für Win als Beta
RootKit Hook Analyzer von Resplendence für Win als Free
Rootkit Hunter von Boelen für Linux, BSD. als Free
Rootkit Profiler LX von Tobias Klein für Linux als Free / New
RootkitRevealer von Sysinternals für Win als Free / 5 Star
RootKitShark von Advances.com für Win als Trial
RootKit Uncover von BitDefender für Win als Free / New
RootKit Unhooker von UG North für 2K / XP / 03 als Free / 5 Star
SEEM von AI, nunki für Win als Free
Sophos Antirootkit von Sophos für Win als Free
SysProt Antirootkit von Swatkat für Win als Free / New
System Virginity Verifier von Joanna Rutkowska für Win als Free
Unhackme von Greatis für Win als Trial
Zeppoo von Zeppoo für Linux als Free / New


 neuen Eintrag erstellen 

Home | News | Kalender | Katalog | Anmeldung
Newsletter | Info | Impressum | Kontakt

diagramm.net - Alle Inhalte dienen der persönlichen Information.







Pub-Info