Ein Rootkit ist eine der fortschrittlichsten Arten von Malware, die es derzeit auf dem Markt gibt. Seit Jahren haben Sicherheitslösungen Probleme mit der Erkennung und Entfernung, vor allem weil Rootkits das Betriebssystem auf einer solchen Ebene kompromittieren, dass sie ihre Anwesenheit sowohl vor Anti-Malware-Lösungen als auch vor dem Betriebssystem selbst verbergen können.
Was ist ein Rootkit und wie funktioniert es?
Der Begriff Rootkit setzt sich aus den Wörtern "Root", dem privilegiertesten Benutzer eines Unix-basierten Betriebssystems, und "Kit", dem Satz von Software-Tools, aus denen das Rootkit besteht, zusammen. Rootkits gehen auf die frühen 90er Jahre zurück, als sie sich auf Sun und Linux konzentrierten, aber das Aufkommen neuer Betriebssysteme führte zur Entwicklung von Rootkits für Windows im Jahr 1999 und Mac im Jahr 2009.
Im Gegensatz zu herkömmlicher Malware führen Rootkits einen grundlegenden Fehler in den Computer ein, den sie infizieren. Sie kompromittieren keine Dateien oder Verzeichnisse. Stattdessen verändern sie alles, was das Betriebssystem an Sie zurückmeldet, entsprechend den Zielen ihres Urhebers.
Rootkits werden je nach ihrem Aktionsradius in 2 Hauptkategorien unterteilt: Rootkits für den Benutzermodus und Rootkits für den Kernelmodus.
Um zu verstehen, wie sie ein Betriebssystem kompromittieren, müssen wir zunächst einmal verstehen, wie ein Betriebssystem funktioniert. Alle Anwendungen auf Ihrem Computer kommunizieren über Funktionsaufrufe, die über die API (Application Programming Interface) des Betriebssystems weitergeleitet werden. Ein Treiber im Benutzermodus greift auf die Import-Adressentabelle zu (eine Liste aller Adressen von APIs oder Systemfunktionen, für deren Ausführung das Programm den Kernel des Betriebssystems benötigt).
Rootkits für den Kernelmodus verwenden Systemtreiber, die sich an den Kernel anhängen, um API-Aufrufe zwischen Benutzeranwendungen und dem Betriebssystem selbst zu "vermitteln". Nach der Installation leitet der Rootkit-Treiber die Systemfunktionsaufrufe um, so dass sein eigener Code anstelle des Kernel-Codes ausgeführt wird. Wenn Sie also einen Ordner öffnen, um seinen Inhalt zu sehen, fragen Sie normalerweise den Kernel nach der Anzahl der Dateien in dem betreffenden Ordner. Ein Rootkit könnte jedoch Ihre Anfrage abfangen und alle Dateien in dem Ordner melden, mit Ausnahme derjenigen, die bösartig sind. Sie, Ihr Betriebssystem oder Ihre Anti-Malware-Lösung werden nicht einmal wissen, dass einige Dateien jemals in dem betreffenden Ordner existiert haben.
Durch die Verwendung eines Rootkits hat ein Hacker volle Administratorrechte für Ihren Computer und Ihre Software, kann bequem auf Protokolle zugreifen, Ihre Aktivitäten überwachen, private Informationen und Dateien stehlen und Konfigurationen durcheinander bringen. Ohne dass Sie es merken, werden alle Ihre Kennwörter und Informationen für den Hacker verfügbar sein.
Wie infiziert ein Rootkit meinen Computer?
Auch wenn sie zu den gefährlichsten Bedrohungen gehören, funktionieren Rootkits nicht von selbst - sie benötigen einen Infektionsvektor, um sich zu verbreiten und zu installieren. Hacker verwenden Trojaner oder nutzen Schwachstellen im Betriebssystem aus, um Rootkits einzuschleusen. Sobald sie es jedoch in das System geschafft haben, beherbergen sie oft Spyware, Würmer, Keylogger oder Computerviren, die Ihren Computer in einen wertlosen Zombie verwandeln. Hacker können ihn dann nutzen, um DoS-Angriffe, Spam und Phishing-Kampagnen auf Dritte, vielleicht sogar auf Ihre Kontakte, zu starten. Durch den Root-Zugriff auf das Betriebssystem wird Ihr Computer vollständig von den Hackern übernommen, so dass Rootkits selbst für das erfahrenste technische Auge schwer zu erkennen sind.
Aber Rootkits sind nicht immer bösartig. In einigen Fällen werden sie zu Betrugszwecken eingesetzt, um beispielsweise den Urheberrechts- und Diebstahlschutz zu umgehen. Andererseits sind Sony und Lenovo Unternehmen, von denen bekannt ist, dass sie Rootkits in die Geräte von Nutzern eingebaut haben, um unerwünschte Software neu zu installieren oder als Teil der digitalen Rechteverwaltung. Obwohl sie in harmloser Absicht implantiert wurden, handelt es sich um Schwachstellen, die Hacker später leicht ausnutzen können, wenn sie entdeckt werden.
Erkennung, Entfernung, Vorbeugung
Die Erkennung von Rootkits ist mühsam und könnte sich als unmöglich erweisen, da sie die vollständige Kontrolle über Ihren Computer haben, auch über jede Software, die Sie zur Beseitigung einer Rootkit-Infektion auswählen könnten. Wenn Sie ein technisch versiertes Opfer sind, gibt es einige Schritte, die Sie befolgen können, wie z. B. Signatur-Scans oder Speicherabbild-Analysen, aber wenn das Rootkit den Kernel-Speicher (auch bekannt als das Gehirn Ihres Betriebssystems) übernommen hat, müssen Sie sich geschlagen geben. Formatieren Sie die Festplatte und installieren Sie Ihr Betriebssystem neu.
Wie Sie wahrscheinlich schon herausgefunden haben, sind Rootkits so ausgeklügelt, dass Sie sie möglicherweise nicht ohne eine Neuinstallation loswerden können. Es kann sogar sein, dass Sie sie erst entdecken, wenn es zu spät ist oder Sie versuchen, einen Antiviren-Scan durchzuführen, und Ihr Antivirenprogramm lässt sich nicht starten.
Um den Verlust all Ihrer Daten zu vermeiden, sollten Sie beim Surfen im Internet angemessene Gewohnheiten entwickeln:
- Verschlüsseln Sie Ihre privaten Informationen und erstellen Sie Sicherungskopien Ihrer Daten in mehreren Quellen.
- Da die häufigste Methode für Hacker, in Ihr Netzwerk einzudringen, Trojaner sind, öffnen Sie niemals E-Mail-Anhänge von unbekannten Absendern.
- Wenn Sie ein Video streamen oder eine Datei öffnen wollen und aufgefordert werden, ein Plugin herunterzuladen, sollten Sie dies nicht tun.
- Aktualisieren Sie ständig Ihre Firewall und Sicherheitslösung und führen Sie regelmäßig vollständige Systemscans auf Windows und Mac durch.