Rootkits – Alarm! Alarm!
Rootkits sind die mächtigsten und tückischsten aller Trojaner.
Rootkit sind der ultimative Schrecken. Diese Software-Werkzeuge (Kits) verschaffen dem Angreifer alle Rechte des Administrators und damit auch die volle Kontrolle über das befallene System. Zusätzlich dazu sind sie in der Lage, ihre Existenz durch gefinkelte Mechanismen nahezu perfekt zu verschleiern.
Während Rootkits in der Unix-Welt schon lange ein Problem darstellen, sind Windows-Rootkits relativ neu: 1999 wurde erstmals gezeigt, dass es technisch möglich ist, in den Betriebssystem-Kern von MS-Windows einen Trojaner einzubauen. Ein Angriff auf dieser Ebene umgeht sämtliche Sicherheitsvorkehrungen des Systems.
Windows-Rootkits verstecken sich gerne in DLLs oder tarnen sich als Gerätetreiber. Sie setzen üblicherweise bei den Schnittstellen zwischen Anwendungsprogrammen und Betriebssystem-Kern an und filtern jede Kommunikation zwischen der Anwendung und dem Betriebssystem.
Rootkits bestehen typischerweise aus mehreren Komponenten:
Die "Hintertür" (Backdoor) für den Angreifer sichert diesem uneingeschränkten Zugang zum System - unter Windows als Administrator.
Die Trojaner-Komponente stellt sicher, dass alle zum Rootkit gehörigen Dateien sowie die anfallenden Daten unsichtbar bleiben. Zu diesem Zweck kann der Trojaner sogar die Logfiles bzw. den Windows Task-Manager manipulieren.
Oft sind auch Key Logger oder Packet Sniffer integriert, um weitere Benutzerberechtigungen auszuspähen.
Zu guter Letzt wird meist noch die ursprüngliche Lücke geschlossen, durch die der Angreifer ins System kam: So kann ihm kein anderer Hacker den übernommenen Rechner streitig machen.
Ist ein Rootkit erst einmal installiert, wird es schwierig. Handelsübliche Virenscanner versagen - sie können nur auf der Programmebene suchen und müssen sich darauf verlassen, dass das Dateisystem ihnen vollen Zugang zu allen Daten gewährt. Ein Scanprogramm für Rootkits muss aber den Betriebssystem-Kern durchsuchen und darf sich auf nichts verlassen: Da ein Rootkit imstande ist, die Ausführung eines Programms auf beliebige andere umzuleiten, kann es sogar die korrekte Ausführung des Scanprogramms unterbinden.
Ein Virenscanner hat gegen ein Rootkit nur dann eine Chance, wenn es ihm gelingt, eine Signatur des Trojaners vor dessen Installation zu erkennen und sein Einnisten zu verhindern.
Daher ist der ununterbrochene Betrieb eines Virenscanners mit stets aktueller Virendatenbank die beste Vorbeugungsmaßnahme gegen Windows-Rootkits.
“Gehören auch Sie zu den Einsteigern, die ihre neu erworbenen Computer Kenntnisse dazu nutzen, um sorglos durchs Internet zu surfen? So als gäbe es kein morgen..." http://www.einsteigerclub.at/internetsicherheit.shtml
Rootkit sind der ultimative Schrecken. Diese Software-Werkzeuge (Kits) verschaffen dem Angreifer alle Rechte des Administrators und damit auch die volle Kontrolle über das befallene System. Zusätzlich dazu sind sie in der Lage, ihre Existenz durch gefinkelte Mechanismen nahezu perfekt zu verschleiern.
Während Rootkits in der Unix-Welt schon lange ein Problem darstellen, sind Windows-Rootkits relativ neu: 1999 wurde erstmals gezeigt, dass es technisch möglich ist, in den Betriebssystem-Kern von MS-Windows einen Trojaner einzubauen. Ein Angriff auf dieser Ebene umgeht sämtliche Sicherheitsvorkehrungen des Systems.
Windows-Rootkits verstecken sich gerne in DLLs oder tarnen sich als Gerätetreiber. Sie setzen üblicherweise bei den Schnittstellen zwischen Anwendungsprogrammen und Betriebssystem-Kern an und filtern jede Kommunikation zwischen der Anwendung und dem Betriebssystem.
Rootkits bestehen typischerweise aus mehreren Komponenten:
Die "Hintertür" (Backdoor) für den Angreifer sichert diesem uneingeschränkten Zugang zum System - unter Windows als Administrator.
Die Trojaner-Komponente stellt sicher, dass alle zum Rootkit gehörigen Dateien sowie die anfallenden Daten unsichtbar bleiben. Zu diesem Zweck kann der Trojaner sogar die Logfiles bzw. den Windows Task-Manager manipulieren.
Oft sind auch Key Logger oder Packet Sniffer integriert, um weitere Benutzerberechtigungen auszuspähen.
Zu guter Letzt wird meist noch die ursprüngliche Lücke geschlossen, durch die der Angreifer ins System kam: So kann ihm kein anderer Hacker den übernommenen Rechner streitig machen.
Ist ein Rootkit erst einmal installiert, wird es schwierig. Handelsübliche Virenscanner versagen - sie können nur auf der Programmebene suchen und müssen sich darauf verlassen, dass das Dateisystem ihnen vollen Zugang zu allen Daten gewährt. Ein Scanprogramm für Rootkits muss aber den Betriebssystem-Kern durchsuchen und darf sich auf nichts verlassen: Da ein Rootkit imstande ist, die Ausführung eines Programms auf beliebige andere umzuleiten, kann es sogar die korrekte Ausführung des Scanprogramms unterbinden.
Ein Virenscanner hat gegen ein Rootkit nur dann eine Chance, wenn es ihm gelingt, eine Signatur des Trojaners vor dessen Installation zu erkennen und sein Einnisten zu verhindern.
Daher ist der ununterbrochene Betrieb eines Virenscanners mit stets aktueller Virendatenbank die beste Vorbeugungsmaßnahme gegen Windows-Rootkits.
“Gehören auch Sie zu den Einsteigern, die ihre neu erworbenen Computer Kenntnisse dazu nutzen, um sorglos durchs Internet zu surfen? So als gäbe es kein morgen..." http://www.einsteigerclub.at/internetsicherheit.shtml
