ROOTKIT

Was ist ein Rootkit?

Eine gängige Rootkit-Definition ist eine Art von Malware-Programm, das es Cyber-Kriminellen ermöglicht, Zugang zu Geräten zu erhalten und Daten von Maschinen zu infiltrieren, ohne erkannt zu werden.

Es umfasst Software-Toolboxen, die Computer infizieren, dem Angreifer eine Fernsteuerung geben und für einen langen Zeitraum verborgen bleiben. Infolgedessen sind Rootkits einer der schwierigsten Malware-Stränge, die zu entdecken und zu entfernen sind, und werden häufig verwendet, um Benutzer zu belauschen und Angriffe auf Maschinen zu starten.

Rootkit-Malware kann mehrere bösartige Tools enthalten, darunter in der Regel Bots zum Starten von DDoS-Angriffen (Distributed Denial of Service), Software, die Sicherheitssoftware deaktivieren, Bank- und Kreditkartendaten stehlen und Passwörter stehlen kann, und Tastatureingabelogger. Ein Rootkit bietet einem Angreifer in der Regel eine Hintertür zu einem Computer, die ihm Zugang zum infizierten Computer ermöglicht und es ihm ermöglicht, Software und Komponenten nach eigenem Ermessen zu ändern oder zu entfernen.

Arten von Rootkits

Rootkits können auf verschiedene Weise installiert werden, zielen jedoch in der Regel auf eine Schwachstelle im Betriebssystem (OS) oder in der Anwendung einer Maschine ab. Angreifer zielen auf bekannte Schwachstellen ab und verwenden Exploit-Code, um einen Computer anzugreifen, und installieren dann ein Rootkit und andere Komponenten, die ihnen Remote Access gewähren.

Eine weitere gängige Rootkit-Installationsmethode sind infizierte USB-Laufwerke (Universal Serial Bus), die Angreifer an öffentlichen Orten zurücklassen, in der Hoffnung, dass unwissentliche Opfer sie abholen und an eine Maschine anschließen. Die auf einem USB-Laufwerk versteckte Malware wird dann als Teil einer Anwendung oder Datei installiert, die legitim erscheint.

Rootkits werden jedoch nicht nur für bösartige Zwecke verwendet. Sie werden auch von Organisationen und Strafverfolgungsbehörden verwendet, um Mitarbeiter zu überwachen, die es ihnen ermöglichen, Maschinen zu untersuchen und möglichen Cyber-Bedrohungen entgegenzuwirken.

Es gibt mehrere Rootkit-Virustypen, die Angreifern verschiedene Routen in Computer ermöglichen und es ihnen ermöglichen, Daten von Benutzern zu stehlen.

1. Firmware-Rootkits

Ein Firmware-Rootkit, auch Hardware-Rootkit genannt, zielt in der Regel darauf ab, die Festplatte und das Basic Input/Output System (BIOS) eines Computers zu infizieren, die Software, die auf einem kleinen Speicherchip im Motherboard installiert ist. Einige Firmware-Rootkits können verwendet werden, um den Router eines Benutzer zu infizieren und auf Festplatten geschriebene Daten abzufangen.

2. Bootloader-Rootkits

Ein Bootloader ist ein wichtiges Element jedes Computers und von zentraler Bedeutung für das Hochfahren eines Computers. Die spezielle Betriebssystemsoftware lädt sich nach dem Start in den Speicher eines Computers und wird in der Regel von einer Compact Disc (CD) oder einer digitalen vielseitigen Disc (DVD), einer Festplatte oder einem USB-Stick gestartet, der dem BIOS sagt, wo sich der Bootloader befindet. Ein Bootloader-Toolkit greift dieses System an, indem es den Bootloader einer Maschine durch eine gehackte Version ersetzt.

Ein Bootloader-Rootkit infiziert den Master-Boot-Datensatz oder den Volume-Boot-Datensatz, was bedeutet, dass er nicht in den Standarddateisystemen der Benutzer angezeigt wird. Dies erschwert es extrem, dass das Rootkit von Anti-Rootkit- und Antivirus-Software erkannt wird. Es kann auch Boot-Datensätze ändern, was eine Maschine beschädigen könnte, wenn sie entfernt wird.

3. Speicher-Rootkit

Ein Speicher-Rootkit verbirgt sich im Direktzugriffsspeicher (RAM) einer Maschine, der Hardware, die es ermöglicht, Daten zu empfangen und auf einem Computer zu speichern. Diese Rootkits haben nur kurze Lebensdauern, können aber extrem schädliche Aktivitäten im Hintergrund einer Maschine ausführen.

Speicher-Rootkits befinden sich im RAM eines Computers und verschwinden in der Regel, wenn das System neu gestartet wird. Manchmal kann es jedoch erforderlich sein, zusätzliche Arbeit zu entfernen. Sie reduzieren die Leistung des RAM einer Maschine, indem sie Ressourcen mit ihren bösartigen Prozessen verschwenden.

4. Anwendungs-Rootkit

Ein Application Rootkit ersetzt die Dateien auf einem Computer durch bösartige Rootkit-Dateien, was die Leistung von Standardanwendungen wie Notepad, Paint oder Word ändert. Jedes Mal, wenn ein Benutzer diese Anwendungen ausführt, gewährt er dem Hacker Zugriff auf seinen Computer. Die infizierten Programme laufen wie gewohnt, was es schwierig machen kann, zu erkennen, dass ein Rootkit vorhanden ist, aber sie sollten mit guten Anti-Rootkit- oder Antivirus-Programmen entdeckt werden.

5. Kernel-Modus-Rootkits

Kernel-Modus-Rootkits sind Teile komplexer Malware, die auf das Betriebssystem eines Computers abzielt. Sie geben einem Angreifer einfachen Zugriff auf einen Computer und ermöglichen es ihm, Daten zu stehlen und die Funktionsweise des Betriebssystems zu ändern, indem er seinen Code hinzufügt, löscht oder ersetzt.

Das Erstellen eines Kernel-Modus-Rootkits erfordert erhebliche technische Kenntnisse, was bedeutet, dass es, wenn es Fehler oder Störungen aufweist, erhebliche Auswirkungen auf die Leistung der infizierten Maschine haben könnte. Ein Kernel-Rootkit mit Bugs ist jedoch einfacher zu erkennen, da es einen Pfad für Anti-Rootkit- oder Antivirus-Software hinterlässt.

Diese Rootkit-Typen wurden verwendet, um verheerende Angriffe zu erstellen, darunter:

• NTRootkit: Eines der ersten erstellten bösartigen Rootkits, das auf das Windows-Betriebssystem abzielte.
• Machiavelli: Das erste Rootkit, das auf Mac OS abzielt. Der Machiavelli-Rootkit-Angriff von 2009 verursachte versteckte Kernel-Threads und versteckte Systeme in Mac-Computern.
• Zeus: Ein 2007 gestarteter Trojaner-Angriff, der Bankinformationen mit einer Man-in-the-Browser (MITB)-Angriffsmethode sowie Formulargreif- und Tastenangriffsprotokollierung angriff.
• Stuxnet: Erstmals 2010 entdeckt, das erste bekannte Rootkit, das speziell auf Steuerungstechnik abzielt und zu Fehlfunktionen der von ihnen betriebenen Geräte führt.
• Flame: 2012 entdeckt, greift Windows-Computer an und kann Audio, Tastaturaktivität, Netzwerkverkehr und Screenshots aufzeichnen.
• Necurs: Das Rootkit hinter einem der größten aktiven Botnets, das für die Verbreitung riesiger Ransomware-Angriffe wie Locky Spam und Dridex Financial Malware verantwortlich war. Necurs schützt andere Malware-Stränge, verschafft einen Computer in das Botnet und stellt sicher, dass die Infektion nicht entfernt werden kann.
• ZeroAccess: Die Rootkit-Malware, die das ZeroAccess-Botnet erstellt hat, das Ressourcen verbraucht, während es Bitcoin sucht und Benutzer mit Werbung spammt. Das Botnet enthielt bis zu 2 Millionen Maschinen, von denen die meisten von verschiedenen Sicherheitsfirmen und -behörden heruntergefahren wurden. Die Varianten von ZeroAccess sind jedoch weiterhin verfügbar und aktiv.

Rootkits erkennen – Was ist ein Rootkit-Scan?

Ein Rootkit-Scan ist die effektivste Methode für Benutzer und Unternehmen, um Rootkit-Infektionen zu erkennen. Rootkits sind für das Betriebssystem einer Maschine in der Regel schwer zu erkennen, da sie darauf ausgelegt sind, sich innerhalb des Systems eines Benutzer zu tarnen. Infolgedessen sind Antivirus-Lösungen, die Rootkit-Scans durchführen können, oft erforderlich, um die Malware zu entdecken.

Rootkit-Scans suchen nach bekannten Angriffssignaturen. Eine Möglichkeit, Malware zu finden, ist die Speicher-Dump-Analyse, die die Anweisungen erkennt, die ein Rootkit im Speicher einer Maschine ausführt. Eine weitere Methode, die Rootkit-Scans verwenden, ist die Verhaltensanalyse, die nach rootkitähnlichen Verhaltensweisen sucht, anstatt nach dem Rootkit selbst. Diese Methode kann Benutzer auf das Vorhandensein eines Rootkits aufmerksam machen, bevor sie Kenntnis davon erhalten, dass sie angegriffen werden.

Schutz und Entfernung von Rootkits

Rootkits sind eines der am schwierigsten zu entfernenden Malware-Programme von infizierten Maschinen. Infolgedessen gibt es keine garantierte Methode zur Wiederherstellung eines von einem Rootkit infiltrierten Geräts, aber es gibt Schritte, die Benutzer und Unternehmen ergreifen können, um ihre Computer zu schützen und die Malware zu entfernen.

Sobald ein Rootkit erkannt wurde, sollte der folgende Prozess befolgt werden, um es zu entfernen:

• Sichern Sie wichtige Daten: Die Reaktion des Rootkits nach der Entfernung ist unvorhersehbar und kann mit integrierten Abwehrmaßnahmen verbunden sein, die die Leistung der Maschine beeinträchtigen oder beeinträchtigen können. Sichern Sie alle wichtigen Daten und Dateien, die vom Computer aufbewahrt werden müssen.
• Hochfahren im sicheren Modus: Viele Rootkits versuchen zu verhindern, dass ein Benutzer Sicherheitslösungen installiert oder die Malware entfernt. In diesem Fall starten Sie den Computer im sicheren Modus mit dem Netzwerk neu, um den Zugriff auf das Rootkit zu begrenzen, indem Sie im Windows-Startbildschirm auf F8 drücken.
• Verwenden Sie mehrere Rootkit-Scan-Tools: Die große Bandbreite an Rootkit-Familien bedeutet, dass nicht alle Rootkit-Scans in der Lage sind, sie zu entdecken. Daher ist es wichtig, eine Kombination von Scannern zu verwenden, die unterschiedliche Funktionen bieten.
• Verbleibende Malware einfrieren: Das Entfernen des Rootkits allein garantiert möglicherweise nicht immer, dass der Computer sauber ist. Möglicherweise wurde sie durch andere Malware infiziert, die aktiv bleibt oder dazu gedacht ist, Rootkit-Scans zu umgehen. Andere Sicherheitslösungen können jede auf dem System verbleibende Malware einfrieren, was es Malware-Entfernungsprogramme ermöglicht, jede bösartige Software zu bereinigen.
• Erweiterte Rootkit-Entfernung: Einige Rootkit-Typen sind besonders schwer zu entfernen. So wird beispielsweise ein Firmware- oder Hardware-Rootkit wahrscheinlich nicht durch Standard-Rootkit-Scans entfernt, und der Benutzer muss seine Daten möglicherweise sichern und vom Computer löschen und das Betriebssystem neu installieren. Im Falle eines Rootkits, das auf das BIOS abzielt, reichen jedoch selbst ein Wipe und eine Neuinstallation möglicherweise nicht aus, um die bösartige Software zu entfernen. Dies kann erfordern, dass das BIOS-Laufwerk abgewischt und zusammen mit einem harten Zurücksetzen des Geräts ersetzt wird.

Verhindern von Rootkit-Infektionen

Rootkits können extrem schwierig zu entfernen sein, können aber daran gehindert werden, Maschinen auf die gleiche Weise wie andere Formen von Malware zu infizieren. Zu den grundlegenden Schritten, die zur Vermeidung einer Rootkit-Infektion zu befolgen sind, gehören:

• Phishing-Bewusstsein: Phishing-Angriffe sind eine der häufigsten Methoden, um Maschinen mit Malware zu infizieren. Ein Angreifer spamiert eine Liste von E-Mail-Adressen mit Nachrichten, die legitim erscheinen, aber bösartige Anhänge oder Links enthalten, die er verwenden kann, um den Computer des Benutzer zu infiltrieren. Aus diesem Grund ist es für Endbenutzer wichtig, sich der üblichen Phishing-Angriffstaktiken bewusst zu sein, immer die E-Mail-Adresse eines Absenders zu überprüfen und niemals Links direkt aus E-Mail-Nachrichten zu folgen.
• Software-Updates: Software, die veraltet ist oder das Ende ihrer Lebensdauer erreicht hat, wird vom Herausgeber nicht mehr unterstützt. Dies macht das Programm oder System anfälliger für Angriffe, die sie mit Malware wie Rootkits infizieren. Die ständige Aktualisierung von Software und die Sicherstellung, dass sie automatisch aktualisiert wird, ist eine der besten Abwehrmaßnahmen gegen Rootkits.
• Verwenden Sie Antivirus-Lösungen: Die Antivirus-Software allein ist keine solide Verteidigung gegen Cyberangriffe. Antivirus-Systeme als Teil einer übergreifenden Sicherheitslösung sind jedoch integraler Bestandteil des Kampfes gegen Malware und helfen Benutzern, das Vorhandensein von Rootkits zu erkennen.
• Scannen und Filtern des Netzwerkverkehr: Verwenden Sie zusätzlich zu Antivirus-Systemen eine Traffic-Filtersoftware, um den in und aus Netzwerken ein- und ausgehenden Datenverkehr jederzeit zu überwachen und zu scannen. Diese Software scannt eingehenden und ausgehenden Datenverkehr, um Malware zu erkennen, bevor sie in Maschinen eindringen kann.

Quelle: https://www.fortinet.com/de/resources/cyberglossary/rootkit

Infomaterial Download