"Rootkits" - Viren, Würmer, Trojaner - das war gestern!

  • Wie ich vor einem Jahr schon einmal angedeutet hatte, ist die Zeit der Bedrohung durch Viren, Würmer oder Trojaner bald ein kleiner Nebenaspekt, wenn wir von Gefahren im WWW sprechen. Die in der Windowswelt neue Bedrohung heißt "Rootkits"! "Rootkits" sind kleine Softwaresammlungen, die, einmal im System eingeschleust, ausgepackt und genutzt werden können. Laut Panda sind mittlerweile zahlreiche Versionen für Windows aufgetaucht. Rootkits werden von Hackern zur Abdeckung ihrer schädlichen Aktionen genutzt. Sie ändern Einstellungen am Betriebssystem und können grundlegende Funktionen lahm legen. Dabei verschweigen Rootkits nicht nur ihre eigene Existenz sondern auch alle Aktionen, die durch einen User vorgenommen werden können. Jeder Login des Hackers und jede Aktion, die er ausführt, können laut Panda verschleiert werden. Außerdem können die Programmsammlungen dafür sorgen, dass andere installierte Malware nicht entdeckt wird, indem sie dateieigene Registry-Keys oder aktive Prozesse verändern. Rootkits verbergen Schadprozesse und Logins des Angreifers und erlauben auf diese Weise eine sehr effiziente Form der Spionage. Das Problem: Rootkits sind nur schwer zu entdecken, weil sie sich tief im System einnisten. Der Angriff kommt über eine infizierte E-Mail: Ein Trojaner hat sich auf dem Rechner eingenistet, ohne dass der Anwender davon Wind bekommen hätte. Wenig später entdeckt der neue Virenscanner den Schadprozess, kickt ihn von der Platte. Der Rechner ist wieder frei von Schädlingen, das jedenfalls glaubt der Anwender. In Wahrheit hat ein Angreifer die Zeit bis zur Entdeckung des Trojaners genutzt, um ein Rootkit zu installieren. Ursprünglich stammt der Name Rootkit vom Unix-Superuser, der auch als Root bekannt ist und alle Rechte auf einem System besitzt. Laut Panda kann eine aktualisierte Anti-Malware Lösung das Eindringen der meisten Rootkits verhindern. Zusätzlich gibt es inzwischen aber spezielle Rootkit-Suchtools. Infiltration gelungen - Der Rechner ist infiltriert. Mit einem Rootkit kann ein Angreifer Prozesse verstecken und seinen eigenen Login verschleiern. Auffällige Einträge in Log-Dateien bleiben aus. Egal, was der Angreifer installiert, der Anwender merkt nichts davon. Und so wird sein Rechner binnen kurzer Zeit zu einer voll ausgebildeten Bedrohung für andere Rechner am Netz. Sei es als Spam-Schleuder oder Angriffs-Lakai, als Spionage-Opfer oder Warez-Relais, der infiltrierte Rechner kann von einem Cracker zu allerlei Spielereien missbraucht werden. Das einzige, was der Anwender im Normalfall davon mitbekommt, ist eine möglicherweise lahme Internet-Verbindung oder dass der Rechner nach und nach an Performance verliert. Das war es dann aber auch. Denn Rootkits arbeiten versteckt. Root-User-Rechte - Der Begriff "Rootkit" stammt wie gesagt von dem Root-User auf Unix-Systemen. Der Root-User hat alle Rechte und ist in der Lage, alle Dateien auf dem System zu bearbeiten, zu kopieren oder zu löschen. Selbst das stabilste Unix-System wird nach den Eskapaden eines zu unvorsichtigen Root-Users schnell instabil, bricht möglicherweise sogar komplett zusammen. Entsprechend hoch ist die Bedrohungslage: Rootkits können natürlich nicht nur für Unix-Systeme gefährlich werden. Auch Windows hat einen Super-User, der alles darf. Mit dem Unterschied, dass das jeder Anwender sein kann. Sämtliche anderen verbreiteten Betriebssysteme sind Unix-basiert, egal ob Linux oder Mac OS X, Solaris oder FreeBSD. Wohl deshalb ist auch grundsätzlich niemand vor den Root-Angriffen sicher. Installation geglückt - Den Sicherheits-Unterschied macht letztlich aus, wie gut das System gegen den ersten Angriff gesichert ist. Viren, Würmer und Trojaner sind normalerweise kein Problem auf Unix-Plattformen, hier sollten sich eher Windows-Nutzer in Acht nehmen. Doch auch auf Unix-Rechnern kann von außen Software installiert werden. Zum Beispiel dann, wenn ein Benutzer ohne Passwort-Sicherung im Netz unterwegs ist. Der klassische Weg für Unix-Rootkits allerdings ist die Software-Installation. Ob ein Anwender sich per Terminal Zugang zum Rechner verschafft oder ob er direkt physisch auf den Rechner zugreift: Es ist kein großes Problem, ein Rootkit zu installieren, wenn sich nur eine ordentliche Lücke auftut. Und die größte Sicherheitslücke in jedem Betriebssystem ist und bleibt der unvorsichtige Anwender. Immense Bedrohung - Die Bedrohungslage ist also immens. Denn wer Super-Administrator-Rechte auf dem Computer hat, kann natürlich tun und lassen, was er möchte. Es ist nur schwer möglich, die Schädlinge loszuwerden, wenn man sie denn überhaupt entdeckt. Das Rootkit lässt sich von erfahrenen Administratoren zwar recht leicht enttarnen, da sie die Prüfsummen innerhalb des Systems zerwürfeln. Das setzt allerdings voraus, dass der "echte" Admin überhaupt mitbekommt, dass sich auf seinem Rechner ein Rootkit befindet. Normalerweise werden solche Dinge nämlich nicht geprüft. Das Rootkit nach der Entdeckung wieder los zu werden, ist das größere Problem: Je nach dem, wie ordentlich die kleinen Tools gearbeitet haben, sind wichtige Betriebssystem-Funktionen unterwandert. Mit dem Erfolg, dass nur eine Neuinstallation wirklich für die restlose Rootkit-Ausrottung sorgen kann. Es ist vermutlich einfacher, dafür zu sorgen, dass kein Rootkit den Weg auf den Rechner findet. Eigene Erfahrungen bei Kunden: Fast sicher vor einem Angriff ist ein PC mit folgender Sicherheitskonfiguration: Adaware mit aktiviertem Adwatch + Zonealarm + Kaspersky-Antivirus. In einem solchen (aktuell gehaltenem) System konnte bisher kein aktivierter Rootkit festgestellt werden. Bedingt sicher ist die Verwendung von Spybot anstelle von Adaware, wenn die in den neuen Systemen vorhandene Systemüberwachung eingeschaltet wurde. Bei infiltrierten Systemen kann es nur die radikale Lösung geben: Daten sichern und das Betriebssystem neu installieren. Da es bei Rootkits auch zur Auslagerung einzelner Programmteile kommen kann ist es am besten, die gesicherten Daten extra zu brennen um dann die Festplatte völlig neu zu partitionieren und zu formatieren. Die zur Zeit vorhanden Mittel zum Aufspüren von Rootkits sind allemal unvollkommen und können nur als zusätzliche Sicherheit Verwendung finden. Folgende Produkte sind zur Zeit auf dem Markt: Strider Ghostbuster - (microsoft) scant aber entfernt nicht Rootkit Revealer - (http://www.sysinternals.com/nt…eware/rootkitreveal.shtml) scant aber entfernt nicht Blacklight - (http://www.f-secure.com/blacklight) scannt und entfernt, noch relativ unvollkommen. Fazit: Nur wenn sichergestellt werden kann, dass keine ungewollten Änderungen an der Registry erfolgen können, Datenverkehr kontrolliert werden kann und das Eindringen schädlicher Software verhindert wird, kann das System als sicher gelten. Die oben genannte Kombination der Sicherheitssoftware ist nach dem derzeitigem Erfahrungsstand als sicher zu empfehlen. Die Analyse erfolgte bei ca. 350 Kundenrechnern, von denen 21 mit Rootkits infiltriert waren. http://www.spacefree-media.de/ Artikel von: Winbooster (Peter Bräuninger)