Rootkit

EinRootkit(englischetwa: „Administratorenbausatz “;rootist beiunixähnlichenBetriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf demkompromittiertenSystem installiert wird, um zukünftigeAnmeldevorgänge(Logins) des Eindringlings zu verbergen undProzesseund Dateien zu verstecken.

Der Begriff ist heute nicht mehr allein aufunixbasierteBetriebssystemebeschränkt, da es längst auch Rootkits für andere Systeme gibt.Antivirenprogrammeversuchen, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es,Schadprogramme(„malware “) vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen.

Eine weitere Sammlung von Softwarewerkzeugen oderBootloadernist das „Bootkit“.

Die ersten Sammlungen vonUnix-Tools zu den oben genannten Zwecken bestanden aus modifizierten Versionen der Programmeps,passwdusw., die dann jede Spur des Angreifers, die sie normalerweise hinterlassen würden, verbergen und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministratorsrootzu agieren, ohne dass der rechtmäßigeAdministratordies bemerken konnte.

Ein Rootkit versteckt normalerweise Anmeldevorgänge, Prozesse undLogdateienund enthält oft Software, um Daten vonTerminals,Netzwerkverbindungen undTastaturanschlägeund Mausklicks sowiePasswörtervom kompromittierten System abzugreifen. Hinzu könnenBackdoors(Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eineShellgestartet wird, wenn an einen bestimmtenNetzwerkporteine Verbindungsanfrage gestellt wurde. Die Grenze zwischen Rootkits undTrojanischen Pferdenist fließend, wobei ein Trojaner eine andere Vorgehensweise beim Infizieren eines Computersystems besitzt.

Das Merkmal eines Rootkits ist es, dass es sich ohne Wissen des Administrators installiert und dem Angreifer so ermöglicht, die Computeranlage unerkannt für seine Zwecke zu nutzen. Dies sind u. a.:

• Das Belauschen oder allgemein der Diebstahl von Daten (z. B. Zugangskennungen, technische Unterlagen, Betriebsgeheimnisse).
• Das Installieren von z. B. Viren, um weitere Anlagen anzugreifen.
• Die Möglichkeit zumDistributed-Denial-of-Service(engl. fürverteilte Diensteblockade).

Rootkits können neue Hintertüren („backdoors “) öffnen. Zudem versuchen Rootkits, den Weg ihres Einschleusens zu verschleiern, damit sie nicht von anderen entfernt werden.

Application-Rootkits bestehen lediglich aus modifizierten Systemprogrammen. Wegen der trivialen Möglichkeiten zur Erkennung dieser Art von Rootkits finden sie heute kaum noch Verwendung.

Heutzutage finden sich fast ausschließlich Rootkits der folgenden drei Typen:

Kernel-Rootkits ersetzen Teile desKernelsdurch eigenen Code, um sich selbst zu tarnen („stealth “) und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen („remote access “), die nur im Kontext des Kernels („ring-0 “) ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen vonKernel-Modulen.Man nennt diese Klasse von Rootkits daher auchLKM-Rootkits(LKM steht für engl. „loadable kernel module “). Einige Kernel-Rootkits kommen auch ohne LKM aus, da sie den Kernelspeicher direkt manipulieren. Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer.sys-Treiber realisiert.

Ein solcher Treiber kann Funktionsaufrufe von Programmen abfangen, die beispielsweise Dateien auflisten oder laufende Prozesse anzeigen. Auf diese Weise versteckt das Rootkit seine eigene Anwesenheit auf einem Computer.

„Userland-Rootkits “sind vor allem unter Windows populär, da sie keinen Zugriff auf der Kernel-Ebene benötigen. Sie stellen jeweils eineDLLbereit, die sich anhand verschiedenerAPI-Methoden (SetWindowsHookEx, CreateRemoteThread) direkt in alle Prozesse einklinkt. Ist diese DLL einmal im System geladen, modifiziert sie ausgewählte API-Funktionen und leitet deren Ausführung auf sich selbst um („redirect “). Dadurch gelangt das Rootkit gezielt an Informationen, welche dann gefiltert oder manipuliert werden können.

Speicher-Rootkits existieren nur im Arbeitsspeicher des laufenden Systems. Nach dem Neustart („reboot “) des Systems sind diese Rootkits nicht mehr vorhanden.

Fast alle gängigen Server-, PC- und Laptop-Prozessoren besitzen heute Hardware-Funktionen, um Programmen einen virtuellen Prozessor vorzugaukeln. Dies wird häufig genutzt, um auf einer physikalischen Computeranlage mehrere auch unter Umständen verschiedene Betriebssysteme parallel betreiben zu können. Virtual Machine Based Rootkit (VMBR)s sind Rootkits, die ein vorhandenesBetriebssystemin eine virtuelle Umgebung verschieben. Dadurch ist das Betriebssystem in dervirtuellen Umgebunggefangen. Die virtuelle Umgebung ist somit eine Software-Ebene unter dem Betriebssystem, was ein Erkennen des VMBR stark erschwert.

Machbarkeitsnachweisefür diese Technik liefertenJoanna Rutkowskamit dem ProgrammBluepillsowieMicrosoft Researchmit dem ProgrammSubVirt.Bluepill kann, im Gegensatz zu SubVirt, ohne Neustart des zu infizierenden Computers installiert werden. Der Name Bluepill (englisch für „blaue Pille “) ist eine Analogie zum FilmMatrix.

• Die FirmaSony BMGkam in die Schlagzeilen und musste diverse Musik-CDs zurückrufen, nachdem bekannt geworden war, dass sich der vonSonyeingesetzte KopierschutzXCP(„ExtendedCopyProtection “) für Musik-CDs mit Methoden eines Rootkits in Windows-Systemen einnistete. Obwohl selbst kein Virus bzw. Trojanisches Pferd, eröffnet allein dessen Existenz weiterenSchadprogrammenTür und Tor.^[1]
• Zwischenzeitlich gab es auch einenUSB-StickmitFingerabdruckscanner^[2]vonSony,dessen Software zur vollen Funktionsfähigkeit ein Rootkit im Windows-Verzeichnis versteckte. Allerdings wurde einer Pressemitteilung vonSonyzufolge die Produktion und der Vertrieb dieses USB-Sticks Ende August 2007 wieder eingestellt.^[3]
• Die FirmaKinoweltverkaufte und verlieh 2006 in deutschsprachigen Ländern DVDs mit einem vonSettecentwickelten Kopierschutz, der unter Windows ebenfalls einUserland-Rootkitzum Verstecken von Prozessen installiert.^[4]
• Forscher derUniversity of Michiganhaben eine Variante entwickelt,virtuelle Maschinenals Rootkits („Virtual Machine Based Rootkits“) zu verwenden. Die Arbeit an diesem Projekt mit NamenSubVirtwurde unter anderem vonMicrosoftundIntelunterstützt. Das Rootkit, das mittlerweile von Wissenschaftlern undMicrosoft-Mitarbeitern entwickelt wurde, sollte auf dem„IEEESymposium on Security and Privacy “im Mai 2006 präsentiert werden.
• Auf der KonferenzBlack Hatim Januar 2006 wurde ein möglicher Rootkit-Typ vorgestellt, der selbst eine Neuinstallation des Betriebssystems oder ein Neuformatieren der Festplatte überlebt, indem er dasACPI(„Advanced Configuration and Power Interface “) manipuliert oder sich im PC-BIOSfestsetzt.^[5]
• Die FirmaEAhat in ihrem im September 2008 veröffentlichten SpieletitelSporeimDRM-Paket des Programms ein Rootkit mit dem Zweck eingesetzt, den Kopierschutz mit Online-Authentifizierung vor dem Benutzer zu verbergen. Darüber ist eine bis jetzt noch kontroverse Diskussion entstanden.^[6]

Teile dieses Listenpunktes scheinen seit "?"nicht mehr aktuellzu sein.Bitte hilf uns dabei, die fehlenden Informationen zurecherchierenundeinzufügen.

• Die fix im PC-BIOS von vielen Laptops und Desktop-PC enthaltene FernwartungssoftwareComputrace,welche der Diebstahlsicherung von Endgeräten dienen soll und ein Rootkit darstellt.^[7]

Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die vollständige Neuinstallation des Betriebssystems.^[8]Da sich bestimmte Rootkits im BIOS verstecken, bietet selbst diese Methode keine hundertprozentige Sicherheit über die Entfernung des Rootkits.^[9]Um eine Infizierung des BIOS im Voraus zu verhindern, sollte das BIOS hardwareseitig mit einem Schreibschutz versehen werden, z. B. durch einenJumperauf derHauptplatine.

Jedoch gibt es für vieleRootkits von offiziellen Herstellern (z. B. das Sony Rootkit)Programme zur Erkennung und Entfernung.

• Dropper
• Hook (Informatik)

• c't-Artikel „Kostenloser Spürhund, RootkitRevealer spürt Hintertüren auf “vom 4. April 2005 zu Rootkits unter Windows XP (siehe auchheise.de/security/artikel/38057/0)
• SonyBMGs digitaler Hausfriedensbruch – Ein Review der Ereignisse
• 10 Dinge, die Sie über Rootkits wissen solltenWebsite diagramm.net, Stand: November 2008. Abgerufen am 12. Juni 2016.
• Rootkit infiltriert Beta-Version von Windows Vistaauf heise online
• https:// heise.de/security/meldung/Microsoft-demonstriert-Virtualisierungs-Rootkit-110190.html–Microsoft demonstriert Virtualisierungs-Rootkitauf heise Security
• http://bluepillproject.org (nicht mehr verfügbar) –Homepage des Blue Pill Projektes mit Quellcode des Virtualisierungs-Rootkits
• http://blog.invisiblethings.org/–Homepage von Joanna Rutkowska
• http:// stealthware.org (nicht mehr verfügbar) –Homepage des Buchs Virtual Machine Based Rootkits von E. Hermann, R. Kolmhofer u. a.

1. ↑heise.de/newsticker/Sony-BMGs-Kopierschutz-mit-Rootkit-Funktionen--/meldung/65602Heise Verlag
2. ↑Golem.de„Sonys USB-Sticks mit Rootkit-Funktion “
3. ↑GameStar.de(MementodesOriginalsvom 3. September 2007 imInternet Archive)Info:Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäßAnleitungund entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/ gamestar.de„Sony: Produktion der USB-Sticks mit Rootkit wieder eingestellt “
4. ↑DVD-Kopiersperre Alpha-DVD: Update oder Uninstaller- heise.de
5. ↑heise.deWieder einmal: Rootkit im PC-BIOS
6. ↑heise.deSpore: Ärger über Kopierschutz
7. ↑Altfredo Ortega, et al.:Deactivate the Rootkit: Attacks on BIOS anti-theft technologies.Core Security Technologies, 24. Juni 2009,abgerufen am 6. Mai 2022.
8. ↑technet.microsoftSysinternals über die Entfernung von Rootkits
9. ↑Jürgen Schmidt:Hacking Team verwendet UEFI-Rootkit.heise.de,14. Juli 2015,abgerufen am 6. August 2015.