„Rootkit“ – Versionsunterschied
Zur Navigation springen
Zur Suche springen
| [gesichtete Version] | [ungesichtete Version] |
Inhalt gelöscht Inhalt hinzugefügt
Keine Bearbeitungszusammenfassung |
|||
| Zeile 3: | Zeile 3: | ||
Der Begriff ist heute nicht mehr allein auf [[unix]]basierte [[Betriebssystem]]e beschränkt, da es längst auch Rootkits für andere Systeme gibt. [[Antivirenprogramm]]e versuchen, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, [[Schadprogramm]]e („malware“) vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen. |
Der Begriff ist heute nicht mehr allein auf [[unix]]basierte [[Betriebssystem]]e beschränkt, da es längst auch Rootkits für andere Systeme gibt. [[Antivirenprogramm]]e versuchen, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, [[Schadprogramm]]e („malware“) vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen. |
||
Eine weitere Sammlung von Softwarewerkzeugen oder [[Bootloader]]n ist das „[[Bootkit]]“ |
Eine weitere Sammlung von Softwarewerkzeugen oder [[Bootloader]]n ist das „[[Bootkit]]“ |
||
* |
|||
== Geschichte == |
|||
Die ersten Sammlungen von [[Unix]]-Tools zu den oben genannten Zwecken bestanden aus modifizierten Versionen der Programme [[Ps (Unix)|ps]], [[passwd]] usw., die dann jede Spur des Angreifers, die sie normalerweise hinterlassen würden, verbergen und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministrators [[Root Account|root]] zu agieren, ohne dass der rechtmäßige [[Systemadministrator|Administrator]] dies bemerken konnte. |
|||
== Backdoor-Funktionalitäten == |
|||
Ein Rootkit versteckt normalerweise Anmeldevorgänge, Prozesse und [[Logdatei]]en und enthält oft Software, um Daten von [[Terminal (Computer)|Terminals]], Netzwerkverbindungen und [[Tastatur]]anschläge und Mausklicks sowie [[Passwort|Passwörter]] vom kompromittierten System abzugreifen. Hinzu können [[Backdoor]]s (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine [[Betriebssystem-Shell|Shell]] gestartet wird, wenn an einen bestimmten [[Port (Protokoll)|Netzwerkport]] eine Verbindungsanfrage gestellt wurde. Die Grenze zwischen Rootkits und [[Trojanisches Pferd (Computerprogramm)|Trojanischen Pferden]] ist fließend, wobei ein Trojaner eine andere Vorgehensweise beim Infizieren eines Computersystems besitzt. |
|||
== Technische Umsetzung == |
|||
Das Merkmal eines Rootkits ist es, dass es sich ohne Wissen des Administrators installiert und dem Angreifer so ermöglicht, die |
|||
Computeranlage unerkannt für seine Zwecke zu nutzen. Dies sind u.a.: |
|||
* Das Belauschen oder allgemein der Diebstahl von Daten (z.B. Zugangskennungen, technische Unterlagen, Betriebsgeheimnisse). |
|||
* Das Installieren von z. B. Viren, um weitere Anlagen anzugreifen. |
|||
* Die Möglichkeit zum [[Distributed-Denial-of-Service]] (engl. für ''verteilte Diensteblockade''). |
|||
Rootkits können neue Hintertüren („backdoors“) öffnen. Zudem versuchen Rootkits, den Weg ihres Einschleusens zu verschleiern, damit sie nicht von anderen entfernt werden. |
|||
=== Application-Rootkits === |
|||
Application-Rootkits bestehen lediglich aus modifizierten Systemprogrammen. Wegen der trivialen Möglichkeiten zur Erkennung dieser Art von Rootkits finden sie heute kaum noch Verwendung. |
|||
Heutzutage finden sich fast ausschließlich Rootkits der folgenden drei Typen: |
|||
=== Kernel-Rootkits === |
|||
Kernel-Rootkits ersetzen Teile des [[Kernel (Betriebssystem)|Kernel]]s durch eigenen Code, um sich selbst zu tarnen („stealth“) und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen („remote access“), die nur im Kontext des Kernels („ring-0“) ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von [[Kernelmodul]]en. Man nennt diese Klasse von Rootkits daher auch ''LKM-Rootkits'' (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen auch ohne LKM aus, da sie den Kernelspeicher direkt manipulieren. Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer <tt>.sys</tt>-Treiber realisiert. |
|||
Ein solcher Treiber kann Funktionsaufrufe von Programmen abfangen, die beispielsweise Dateien auflisten oder laufende Prozesse anzeigen. Auf diese Weise versteckt das Rootkit seine eigene Anwesenheit auf einem Computer. |
|||
=== Userland-Rootkits === |
|||
„Userland-Rootkits“ sind vor allem unter Windows populär, da sie keinen Zugriff auf der Kernel-Ebene benötigen. Sie stellen jeweils eine [[Dynamic Link Library|DLL]] bereit, die sich anhand verschiedener [[Programmierschnittstelle|API]]-Methoden (''SetWindowsHookEx, ForceLibrary'') direkt in alle Prozesse einklinkt. Ist diese DLL einmal im System geladen, modifiziert sie ausgewählte API-Funktionen und leitet deren Ausführung auf sich selbst um („redirect“). Dadurch gelangt das Rootkit gezielt an Informationen, welche dann gefiltert oder manipuliert werden können. |
|||
=== Speicher-Rootkits === |
|||
Speicher-Rootkits existieren nur im Arbeitsspeicher des laufenden Systems. Nach dem Neustart („reboot“) des Systems sind diese Rootkits nicht mehr vorhanden. |
|||
=== Virtualisierungs-Rootkits === |
|||
Fast alle gängigen Server-, PC- und Laptop-Prozessoren besitzen heute Hardware-Funktionen, um Programmen einen virtuellen Prozessor vorzugaukeln. Dies wird häufig genutzt, um auf einer physikalischen Computeranlage mehrere auch unter Umständen verschiedene Betriebssysteme parallel betreiben zu können. |
|||
'''Virtual Machine Based Rootkit (VMBR)'''s sind Rootkits, die ein vorhandenes [[Betriebssystem]] in eine virtuelle Umgebung verschieben. Dadurch ist das Betriebssystem in der [[Virtuelle Maschine|virtuellen Umgebung]] gefangen. Die virtuelle Umgebung ist somit eine Software-Ebene unter dem Betriebssystem, was ein Erkennen des VMBR stark erschwert. |
|||
[[Proof of Concept|Machbarkeitsnachweise]] für diese Technik lieferten [[Joanna Rutkowska]] mit dem Programm '''Bluepill''' sowie [[Microsoft|Microsoft Research]] mit dem Programm '''SubVirt'''. Bluepill kann, im Gegensatz zu SubVirt, ohne Neustart des zu infizierenden Computers installiert werden. Der Name Bluepill (englisch für „blaue Pille“) ist eine Analogie zum Film [[Matrix_(Film)|Matrix]]. |
|||
== Prominente Rootkits der letzten Jahre == |
|||
* Die Firma ''[[Sony BMG Music Entertainment|Sony BMG]]'' kam in die Schlagzeilen und musste diverse Musik-CDs zurückrufen, nachdem bekannt geworden war, dass sich der von ''Sony'' eingesetzte Kopierschutz [[Extended Copy Protection|XCP]] („E'''x'''tended '''C'''opy '''P'''rotection“) für Musik-CDs mit Methoden eines Rootkits in Windows-Systemen einnistete. Obwohl selbst kein Virus bzw. Trojanisches Pferd, eröffnet allein dessen Existenz weiteren [[Schadprogramm]]en Tür und Tor.<ref>[http://www.heise.de/newsticker/Sony-BMGs-Kopierschutz-mit-Rootkit-Funktionen--/meldung/65602 www.heise.de/newsticker/Sony-BMGs-Kopierschutz-mit-Rootkit-Funktionen--/meldung/65602] Heise Verlag</ref> |
|||
* Zwischenzeitlich gab es auch einen [[USB-Stick]]<!-- Redirect-Ziel Spezialfall --> mit [[Fingerabdruck-Scanner|Fingerabdruckleser]]<ref>[http://www.golem.de/0708/54381.html Golem.de] „Sonys USB-Sticks mit Rootkit-Funktion“</ref> von ''[[Sony]]'', dessen Software zur vollen Funktionsfähigkeit ein Rootkit im Windows-Verzeichnis versteckte. Allerdings wurde einer Pressemitteilung von ''Sony'' zufolge die Produktion und der Vertrieb dieses USB-Sticks Ende August 2007 wieder eingestellt.<ref>[http://www.gamestar.de/news/pc/hardware/sony/1473404/sony.html GameStar.de] „Sony: Produktion der USB-Sticks mit Rootkit wieder eingestellt“</ref> |
|||
* Die Firma ''Kinowelt'' verkaufte 2006 in Deutschland DVDs mit einem von ''Settec'' entwickelten Kopierschutz, der unter Windows ebenfalls ein ''Userland-Rootkit'' zum Verstecken von Prozessen installiert.<ref>[http://www.heise.de/newsticker/meldung/DVD-Kopiersperre-Alpha-DVD-Update-oder-Uninstaller-111677.html DVD-Kopiersperre Alpha-DVD: Update oder Uninstaller] - heise.de</ref> |
|||
* Forscher der ''[[University of Michigan]]'' haben eine Variante entwickelt, [[virtuelle Maschine]]n als Rootkits („[[Virtual Machine Based Rootkit]]s“) zu verwenden. Die Arbeit an diesem Projekt mit Namen ''SubVirt'' wurde unter anderem von ''[[Microsoft]]'' und ''[[Intel]]'' unterstützt. Das Rootkit, das mittlerweile von Wissenschaftlern und ''Microsoft''-Mitarbeitern entwickelt wurde, sollte auf dem ''„[[Institute of Electrical and Electronics Engineers|IEEE]] Symposium on Security and Privacy“'' im Mai 2006 präsentiert werden. |
|||
* Auf der Konferenz ''[[Black Hat Briefings|Black Hat]]'' im Januar 2006 wurde ein möglicher Rootkit-Typ vorgestellt, der selbst eine Neuinstallation des Betriebssystems oder ein Neuformatieren der Festplatte überlebt, indem er das [[Advanced Configuration and Power Interface|ACPI]] („Advanced Configuration and Power Interface“) manipuliert oder sich im PC-[[BIOS]] festsetzt.<ref>[http://www.heise.de/security/meldung/Wieder-einmal-Rootkit-im-PC-BIOS-209207.html www.heise.de] Wieder einmal: Rootkit im PC-BIOS</ref> |
|||
* Die Firma [[Electronic Arts|EA]] hat in ihrem im September 2008 veröffentlichten Spieletitel ''[[Spore (Computerspiel)|Spore]]'' im [[Digital Rights Management|DRM]]-Paket des Programms ein Rootkit zur Anwendung gebracht, das dem Zweck dient, den Kopierschutz mit Online-Authentifizierung vor dem Benutzer zu verbergen. Darüber ist eine bis jetzt noch kontroverse Diskussion entstanden.<ref>[http://www.heise.de/newsticker/Spore-Aerger-ueber-Kopierschutz-Update--/meldung/115804 heise.de] Spore: Ärger über Kopierschutz</ref> |
|||
== Entfernung von Rootkits == |
|||
Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die vollständige Neuinstallation des Betriebssystems.<ref>[http://technet.microsoft.com/de-de/sysinternals/bb897445.aspx#inp technet.microsoft.com] Sysinternals über die Entfernung von Rootkits</ref> Da sich bestimmte Rootkits im BIOS verstecken, bietet selbst diese Methode keine hundertprozentige Sicherheit über die Entfernung des Rootkits.<ref>{{Internetquelle |
|||
| url= http://www.heise.de/security/meldung/Hacking-Team-verwendet-UEFI-Rootkit-2750312.html | titel= Hacking Team verwendet UEFI-Rootkit| autor= Jürgen Schmidt |
|||
| hrsg= [[heise.de]]| datum= 2015-07-14| zugriff= 2015-08-06}}</ref> Um eine Infizierung des BIOS im Voraus zu verhindern, sollte das BIOS hardwareseitig mit einem Schreibschutz versehen werden, z. B. durch einen [[Jumper (Elektrotechnik)|Jumper]] auf der [[Hauptplatine]]. |
|||
Jedoch gibt es für viele Rootkits von offiziellen Herstellern bereits Programme zur Erkennung und Entfernung, z. B. das Sony Rootkit. |
|||
== Siehe auch == |
|||
* [[Dropper]] |
|||
* [[Hook (Informatik)]] |
|||
== Weblinks == |
|||
* [http://www.heise.de/security/artikel/58158 c't-Artikel „Kostenloser Spürhund, RootkitRevealer spürt Hintertüren auf“] vom 4. April 2005 zu Rootkits unter Windows XP (siehe auch [http://www.heise.de/security/artikel/38057/0 www.heise.de/security/artikel/38057/0]) |
|||
* [http://www.netzpolitik.org/2005/rookit-sonys-digitaler-hausfriedensbruch/ SonyBMGs digitaler Hausfriedensbruch – Ein Review der Ereignisse] |
|||
* [http://www.diagramm.net/index.php?id=5455&d=a&i=NuN 10 Dinge, die Sie über Rootkits wissen sollten] Website diagramm.net, Stand: November 2008. Abgerufen am 12. Juni 2016. |
|||
* [http://www.heise.de/newsticker/meldung/76455 ''Rootkit infiltriert Beta-Version von Windows Vista'' auf heise online] |
|||
* http://www.heise.de/security/news/meldung/70813 – ''Microsoft demonstriert Virtualisierungs-Rootkit'' auf heise Security |
|||
* <nowiki>http://bluepillproject.org</nowiki> (nicht mehr verfügbar) – ''Homepage des Blue Pill Projektes mit Quellcode des Virtualisierungs-Rootkits'' |
|||
* http://blog.invisiblethings.org/ – ''Homepage von Joanna Rutkowska'' |
* http://blog.invisiblethings.org/ – ''Homepage von Joanna Rutkowska'' |
||
* <nowiki>http://www.stealthware.org</nowiki> (nicht mehr verfügbar) - ''Homepage des Buchs Virtual Machine Based Rootkits von E.Hermann, R.Kolmhofer ua.'' |
* <nowiki>http://www.stealthware.org</nowiki> (nicht mehr verfügbar) - ''Homepage des Buchs Virtual Machine Based Rootkits von E.Hermann, R.Kolmhofer ua.'' |
||
Version vom 4. Oktober 2016, 15:03 Uhr
Ein Rootkit (englisch etwa: „Administratorenbausatz“; root ist bei unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge („logins“) des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.
Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme beschränkt, da es längst auch Rootkits für andere Systeme gibt. Antivirenprogramme versuchen, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, Schadprogramme („malware“) vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen.
Eine weitere Sammlung von Softwarewerkzeugen oder Bootloadern ist das „Bootkit“
- http://blog.invisiblethings.org/ – Homepage von Joanna Rutkowska
- http://www.stealthware.org (nicht mehr verfügbar) - Homepage des Buchs Virtual Machine Based Rootkits von E.Hermann, R.Kolmhofer ua.