www.wikidata.de-de.nina.az

Rootkit Ein englisch etwa Administratorenbausatz root ist bei unixähnlichen Betriebssystemen der Benutzer mit Administra

Rootkit

Ein Rootkit (englisch etwa: „Administratorenbausatz“; root ist bei unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge (Logins) des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme beschränkt, da es längst auch Rootkits für andere Systeme gibt. Antivirenprogramme versuchen, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, Schadprogramme („malware“) vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen.

Eine weitere Sammlung von Softwarewerkzeugen oder Bootloadern ist das „Bootkit“.

Geschichte Bearbeiten

Die ersten Sammlungen von Unix-Tools zu den oben genannten Zwecken bestanden aus modifizierten Versionen der Programme ps, passwd usw., die dann jede Spur des Angreifers, die sie normalerweise hinterlassen würden, verbergen und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministrators root zu agieren, ohne dass der rechtmäßige Administrator dies bemerken konnte.

Backdoor-Funktionalitäten Bearbeiten

Ein Rootkit versteckt normalerweise Anmeldevorgänge, Prozesse und Logdateien und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und Tastaturanschläge und Mausklicks sowie Passwörter vom kompromittierten System abzugreifen. Hinzu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindungsanfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend, wobei ein Trojaner eine andere Vorgehensweise beim Infizieren eines Computersystems besitzt.

Technische Umsetzung Bearbeiten

Das Merkmal eines Rootkits ist es, dass es sich ohne Wissen des Administrators installiert und dem Angreifer so ermöglicht, die Computeranlage unerkannt für seine Zwecke zu nutzen. Dies sind u. a.:

  • Das Belauschen oder allgemein der Diebstahl von Daten (z. B. Zugangskennungen, technische Unterlagen, Betriebsgeheimnisse).
  • Das Installieren von z. B. Viren, um weitere Anlagen anzugreifen.
  • Die Möglichkeit zum Distributed-Denial-of-Service (engl. für verteilte Diensteblockade).

Rootkits können neue Hintertüren („backdoors“) öffnen. Zudem versuchen Rootkits, den Weg ihres Einschleusens zu verschleiern, damit sie nicht von anderen entfernt werden.

Application-Rootkits Bearbeiten

Application-Rootkits bestehen lediglich aus modifizierten Systemprogrammen. Wegen der trivialen Möglichkeiten zur Erkennung dieser Art von Rootkits finden sie heute kaum noch Verwendung.

Heutzutage finden sich fast ausschließlich Rootkits der folgenden drei Typen:

Kernel-Rootkits Bearbeiten

Kernel-Rootkits ersetzen Teile des Kernels durch eigenen Code, um sich selbst zu tarnen („stealth“) und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen („remote access“), die nur im Kontext des Kernels („ring-0“) ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernel-Modulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen auch ohne LKM aus, da sie den Kernelspeicher direkt manipulieren. Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer .sys-Treiber realisiert.

Ein solcher Treiber kann Funktionsaufrufe von Programmen abfangen, die beispielsweise Dateien auflisten oder laufende Prozesse anzeigen. Auf diese Weise versteckt das Rootkit seine eigene Anwesenheit auf einem Computer.

Userland-Rootkits Bearbeiten

„Userland-Rootkits“ sind vor allem unter Windows populär, da sie keinen Zugriff auf der Kernel-Ebene benötigen. Sie stellen jeweils eine DLL bereit, die sich anhand verschiedener API-Methoden (SetWindowsHookEx, CreateRemoteThread) direkt in alle Prozesse einklinkt. Ist diese DLL einmal im System geladen, modifiziert sie ausgewählte API-Funktionen und leitet deren Ausführung auf sich selbst um („redirect“). Dadurch gelangt das Rootkit gezielt an Informationen, welche dann gefiltert oder manipuliert werden können.

Speicher-Rootkits Bearbeiten

Speicher-Rootkits existieren nur im Arbeitsspeicher des laufenden Systems. Nach dem Neustart („reboot“) des Systems sind diese Rootkits nicht mehr vorhanden.

Virtualisierungs-Rootkits Bearbeiten

Fast alle gängigen Server-, PC- und Laptop-Prozessoren besitzen heute Hardware-Funktionen, um Programmen einen virtuellen Prozessor vorzugaukeln. Dies wird häufig genutzt, um auf einer physikalischen Computeranlage mehrere auch unter Umständen verschiedene Betriebssysteme parallel betreiben zu können. Virtual Machine Based Rootkit (VMBR)s sind Rootkits, die ein vorhandenes Betriebssystem in eine virtuelle Umgebung verschieben. Dadurch ist das Betriebssystem in der virtuellen Umgebung gefangen. Die virtuelle Umgebung ist somit eine Software-Ebene unter dem Betriebssystem, was ein Erkennen des VMBR stark erschwert.

Machbarkeitsnachweise für diese Technik lieferten Joanna Rutkowska mit dem Programm Bluepill sowie Microsoft Research mit dem Programm SubVirt. Bluepill kann, im Gegensatz zu SubVirt, ohne Neustart des zu infizierenden Computers installiert werden. Der Name Bluepill (englisch für „blaue Pille“) ist eine Analogie zum Film Matrix.

Prominente Rootkits der letzten Jahre Bearbeiten

  • Die Firma Sony BMG kam in die Schlagzeilen und musste diverse Musik-CDs zurückrufen, nachdem bekannt geworden war, dass sich der von Sony eingesetzte Kopierschutz XCP („Extended Copy Protection“) für Musik-CDs mit Methoden eines Rootkits in Windows-Systemen einnistete. Obwohl selbst kein Virus bzw. Trojanisches Pferd, eröffnet allein dessen Existenz weiteren Schadprogrammen Tür und Tor.
  • Zwischenzeitlich gab es auch einen USB-Stick mit Fingerabdruckscanner von Sony, dessen Software zur vollen Funktionsfähigkeit ein Rootkit im Windows-Verzeichnis versteckte. Allerdings wurde einer Pressemitteilung von Sony zufolge die Produktion und der Vertrieb dieses USB-Sticks Ende August 2007 wieder eingestellt.
  • Die Firma Kinowelt verkaufte und verlieh 2006 in deutschsprachigen Ländern DVDs mit einem von Settec entwickelten Kopierschutz, der unter Windows ebenfalls ein Userland-Rootkit zum Verstecken von Prozessen installiert.
  • Forscher der University of Michigan haben eine Variante entwickelt, virtuelle Maschinen als Rootkits („Virtual Machine Based Rootkits“) zu verwenden. Die Arbeit an diesem Projekt mit Namen SubVirt wurde unter anderem von Microsoft und Intel unterstützt. Das Rootkit, das mittlerweile von Wissenschaftlern und Microsoft-Mitarbeitern entwickelt wurde, sollte auf dem IEEE Symposium on Security and Privacy“ im Mai 2006 präsentiert werden.
  • Auf der Konferenz Black Hat im Januar 2006 wurde ein möglicher Rootkit-Typ vorgestellt, der selbst eine Neuinstallation des Betriebssystems oder ein Neuformatieren der Festplatte überlebt, indem er das ACPI („Advanced Configuration and Power Interface“) manipuliert oder sich im PC-BIOS festsetzt.
  • Die Firma EA hat in ihrem im September 2008 veröffentlichten Spieletitel Spore im DRM-Paket des Programms ein Rootkit mit dem Zweck eingesetzt, den Kopierschutz mit Online-Authentifizierung vor dem Benutzer zu verbergen. Darüber ist eine bis jetzt noch kontroverse Diskussion entstanden.
  • Die fix im PC-BIOS von vielen Laptops und Desktop-PC enthaltene Fernwartungssoftware Computrace, welche der Diebstahlsicherung von Endgeräten dienen soll und ein Rootkit darstellt.

Entfernung von Rootkits Bearbeiten

Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die vollständige Neuinstallation des Betriebssystems. Da sich bestimmte Rootkits im BIOS verstecken, bietet selbst diese Methode keine hundertprozentige Sicherheit über die Entfernung des Rootkits. Um eine Infizierung des BIOS im Voraus zu verhindern, sollte das BIOS hardwareseitig mit einem Schreibschutz versehen werden, z. B. durch einen Jumper auf der Hauptplatine.

Jedoch gibt es für viele Rootkits von offiziellen Herstellern (z. B. das Sony Rootkit) bereits Programme zur Erkennung und Entfernung.

Siehe auch Bearbeiten

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. www.heise.de/newsticker/Sony-BMGs-Kopierschutz-mit-Rootkit-Funktionen--/meldung/65602 Heise Verlag
  2. Golem.de „Sonys USB-Sticks mit Rootkit-Funktion“
  3. (Memento des Originals vom 3. September 2007 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.gamestar.de „Sony: Produktion der USB-Sticks mit Rootkit wieder eingestellt“
  4. DVD-Kopiersperre Alpha-DVD: Update oder Uninstaller - heise.de
  5. www.heise.de Wieder einmal: Rootkit im PC-BIOS
  6. heise.de Spore: Ärger über Kopierschutz
  7. Altfredo Ortega, et al.: Deactivate the Rootkit: Attacks on BIOS anti-theft technologies. Core Security Technologies, 24. Juni 2009, abgerufen am 6. Mai 2022.
  8. technet.microsoft.com Sysinternals über die Entfernung von Rootkits
  9. Jürgen Schmidt: Hacking Team verwendet UEFI-Rootkit. heise.de, 14. Juli 2015, abgerufen am 6. August 2015.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Ein Rootkit englisch etwa Administratorenbausatz root ist bei unixahnlichen Betriebssystemen der Benutzer mit Administratorrechten ist eine Sammlung von Softwarewerkzeugen die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird um zukunftige Anmeldevorgange Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme beschrankt da es langst auch Rootkits fur andere Systeme gibt Antivirenprogramme versuchen die Ursache der Kompromittierung zu entdecken Zweck eines Rootkits ist es Schadprogramme malware vor den Antivirenprogrammen und dem Benutzer durch Tarnung zu verbergen Eine weitere Sammlung von Softwarewerkzeugen oder Bootloadern ist das Bootkit Inhaltsverzeichnis 1 Geschichte 2 Backdoor Funktionalitaten 3 Technische Umsetzung 3 1 Application Rootkits 3 2 Kernel Rootkits 3 3 Userland Rootkits 3 4 Speicher Rootkits 3 5 Virtualisierungs Rootkits 4 Prominente Rootkits der letzten Jahre 5 Entfernung von Rootkits 6 Siehe auch 7 Weblinks 8 EinzelnachweiseGeschichte BearbeitenDie ersten Sammlungen von Unix Tools zu den oben genannten Zwecken bestanden aus modifizierten Versionen der Programme ps passwd usw die dann jede Spur des Angreifers die sie normalerweise hinterlassen wurden verbergen und es dem Angreifer so ermoglichten mit den Rechten des Systemadministrators root zu agieren ohne dass der rechtmassige Administrator dies bemerken konnte Backdoor Funktionalitaten BearbeitenEin Rootkit versteckt normalerweise Anmeldevorgange Prozesse und Logdateien und enthalt oft Software um Daten von Terminals Netzwerkverbindungen und Tastaturanschlage und Mausklicks sowie Passworter vom kompromittierten System abzugreifen Hinzu konnen Backdoors Hinterturen kommen die es dem Angreifer zukunftig vereinfachen auf das kompromittierte System zuzugreifen indem beispielsweise eine Shell gestartet wird wenn an einen bestimmten Netzwerkport eine Verbindungsanfrage gestellt wurde Die Grenze zwischen Rootkits und Trojanischen Pferden ist fliessend wobei ein Trojaner eine andere Vorgehensweise beim Infizieren eines Computersystems besitzt Technische Umsetzung BearbeitenDas Merkmal eines Rootkits ist es dass es sich ohne Wissen des Administrators installiert und dem Angreifer so ermoglicht die Computeranlage unerkannt fur seine Zwecke zu nutzen Dies sind u a Das Belauschen oder allgemein der Diebstahl von Daten z B Zugangskennungen technische Unterlagen Betriebsgeheimnisse Das Installieren von z B Viren um weitere Anlagen anzugreifen Die Moglichkeit zum Distributed Denial of Service engl fur verteilte Diensteblockade Rootkits konnen neue Hinterturen backdoors offnen Zudem versuchen Rootkits den Weg ihres Einschleusens zu verschleiern damit sie nicht von anderen entfernt werden Application Rootkits Bearbeiten Application Rootkits bestehen lediglich aus modifizierten Systemprogrammen Wegen der trivialen Moglichkeiten zur Erkennung dieser Art von Rootkits finden sie heute kaum noch Verwendung Heutzutage finden sich fast ausschliesslich Rootkits der folgenden drei Typen Kernel Rootkits Bearbeiten Kernel Rootkits ersetzen Teile des Kernels durch eigenen Code um sich selbst zu tarnen stealth und dem Angreifer zusatzliche Funktionen zur Verfugung zu stellen remote access die nur im Kontext des Kernels ring 0 ausgefuhrt werden konnen Dies geschieht am haufigsten durch Nachladen von Kernel Modulen Man nennt diese Klasse von Rootkits daher auch LKM Rootkits LKM steht fur engl loadable kernel module Einige Kernel Rootkits kommen auch ohne LKM aus da sie den Kernelspeicher direkt manipulieren Unter Windows werden Kernel Rootkits haufig durch die Einbindung neuer sys Treiber realisiert Ein solcher Treiber kann Funktionsaufrufe von Programmen abfangen die beispielsweise Dateien auflisten oder laufende Prozesse anzeigen Auf diese Weise versteckt das Rootkit seine eigene Anwesenheit auf einem Computer Userland Rootkits Bearbeiten Userland Rootkits sind vor allem unter Windows popular da sie keinen Zugriff auf der Kernel Ebene benotigen Sie stellen jeweils eine DLL bereit die sich anhand verschiedener API Methoden SetWindowsHookEx CreateRemoteThread direkt in alle Prozesse einklinkt Ist diese DLL einmal im System geladen modifiziert sie ausgewahlte API Funktionen und leitet deren Ausfuhrung auf sich selbst um redirect Dadurch gelangt das Rootkit gezielt an Informationen welche dann gefiltert oder manipuliert werden konnen Speicher Rootkits Bearbeiten Speicher Rootkits existieren nur im Arbeitsspeicher des laufenden Systems Nach dem Neustart reboot des Systems sind diese Rootkits nicht mehr vorhanden Virtualisierungs Rootkits Bearbeiten Fast alle gangigen Server PC und Laptop Prozessoren besitzen heute Hardware Funktionen um Programmen einen virtuellen Prozessor vorzugaukeln Dies wird haufig genutzt um auf einer physikalischen Computeranlage mehrere auch unter Umstanden verschiedene Betriebssysteme parallel betreiben zu konnen Virtual Machine Based Rootkit VMBR s sind Rootkits die ein vorhandenes Betriebssystem in eine virtuelle Umgebung verschieben Dadurch ist das Betriebssystem in der virtuellen Umgebung gefangen Die virtuelle Umgebung ist somit eine Software Ebene unter dem Betriebssystem was ein Erkennen des VMBR stark erschwert Machbarkeitsnachweise fur diese Technik lieferten Joanna Rutkowska mit dem Programm Bluepill sowie Microsoft Research mit dem Programm SubVirt Bluepill kann im Gegensatz zu SubVirt ohne Neustart des zu infizierenden Computers installiert werden Der Name Bluepill englisch fur blaue Pille ist eine Analogie zum Film Matrix Prominente Rootkits der letzten Jahre BearbeitenDie Firma Sony BMG kam in die Schlagzeilen und musste diverse Musik CDs zuruckrufen nachdem bekannt geworden war dass sich der von Sony eingesetzte Kopierschutz XCP Extended Copy Protection fur Musik CDs mit Methoden eines Rootkits in Windows Systemen einnistete Obwohl selbst kein Virus bzw Trojanisches Pferd eroffnet allein dessen Existenz weiteren Schadprogrammen Tur und Tor 1 Zwischenzeitlich gab es auch einen USB Stick mit Fingerabdruckscanner 2 von Sony dessen Software zur vollen Funktionsfahigkeit ein Rootkit im Windows Verzeichnis versteckte Allerdings wurde einer Pressemitteilung von Sony zufolge die Produktion und der Vertrieb dieses USB Sticks Ende August 2007 wieder eingestellt 3 Die Firma Kinowelt verkaufte und verlieh 2006 in deutschsprachigen Landern DVDs mit einem von Settec entwickelten Kopierschutz der unter Windows ebenfalls ein Userland Rootkit zum Verstecken von Prozessen installiert 4 Forscher der University of Michigan haben eine Variante entwickelt virtuelle Maschinen als Rootkits Virtual Machine Based Rootkits zu verwenden Die Arbeit an diesem Projekt mit Namen SubVirt wurde unter anderem von Microsoft und Intel unterstutzt Das Rootkit das mittlerweile von Wissenschaftlern und Microsoft Mitarbeitern entwickelt wurde sollte auf dem IEEE Symposium on Security and Privacy im Mai 2006 prasentiert werden Auf der Konferenz Black Hat im Januar 2006 wurde ein moglicher Rootkit Typ vorgestellt der selbst eine Neuinstallation des Betriebssystems oder ein Neuformatieren der Festplatte uberlebt indem er das ACPI Advanced Configuration and Power Interface manipuliert oder sich im PC BIOS festsetzt 5 Die Firma EA hat in ihrem im September 2008 veroffentlichten Spieletitel Spore im DRM Paket des Programms ein Rootkit mit dem Zweck eingesetzt den Kopierschutz mit Online Authentifizierung vor dem Benutzer zu verbergen Daruber ist eine bis jetzt noch kontroverse Diskussion entstanden 6 Die fix im PC BIOS von vielen Laptops und Desktop PC enthaltene Fernwartungssoftware Computrace welche der Diebstahlsicherung von Endgeraten dienen soll und ein Rootkit darstellt 7 Entfernung von Rootkits BearbeitenDa eine hundertprozentige Erkennung von Rootkits unmoglich ist ist die beste Methode zur Entfernung die vollstandige Neuinstallation des Betriebssystems 8 Da sich bestimmte Rootkits im BIOS verstecken bietet selbst diese Methode keine hundertprozentige Sicherheit uber die Entfernung des Rootkits 9 Um eine Infizierung des BIOS im Voraus zu verhindern sollte das BIOS hardwareseitig mit einem Schreibschutz versehen werden z B durch einen Jumper auf der Hauptplatine Jedoch gibt es fur viele Rootkits von offiziellen Herstellern z B das Sony Rootkit bereits Programme zur Erkennung und Entfernung Siehe auch BearbeitenDropper Hook Informatik Weblinks Bearbeitenc t Artikel Kostenloser Spurhund RootkitRevealer spurt Hinterturen auf vom 4 April 2005 zu Rootkits unter Windows XP siehe auch www heise de security artikel 38057 0 SonyBMGs digitaler Hausfriedensbruch Ein Review der Ereignisse 10 Dinge die Sie uber Rootkits wissen sollten Website diagramm net Stand November 2008 Abgerufen am 12 Juni 2016 Rootkit infiltriert Beta Version von Windows Vista auf heise online https www heise de security meldung Microsoft demonstriert Virtualisierungs Rootkit 110190 html Microsoft demonstriert Virtualisierungs Rootkit auf heise Security http bluepillproject org nicht mehr verfugbar Homepage des Blue Pill Projektes mit Quellcode des Virtualisierungs Rootkits http blog invisiblethings org Homepage von Joanna Rutkowska http www stealthware org nicht mehr verfugbar Homepage des Buchs Virtual Machine Based Rootkits von E Hermann R Kolmhofer u a Einzelnachweise Bearbeiten www heise de newsticker Sony BMGs Kopierschutz mit Rootkit Funktionen meldung 65602 Heise Verlag Golem de Sonys USB Sticks mit Rootkit Funktion GameStar de Memento des Originals vom 3 September 2007 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot www gamestar de Sony Produktion der USB Sticks mit Rootkit wieder eingestellt DVD Kopiersperre Alpha DVD Update oder Uninstaller heise de www heise de Wieder einmal Rootkit im PC BIOS heise de Spore Arger uber Kopierschutz Altfredo Ortega et al Deactivate the Rootkit Attacks on BIOS anti theft technologies Core Security Technologies 24 Juni 2009 abgerufen am 6 Mai 2022 technet microsoft com Sysinternals uber die Entfernung von Rootkits Jurgen Schmidt Hacking Team verwendet UEFI Rootkit heise de 14 Juli 2015 abgerufen am 6 August 2015 Abgerufen von https de wikipedia org w index php title Rootkit amp oldid 236078067