Aus dem Kurs: Cybersecurity Grundlagen: Grundlegende Konzepte

Rootkits

Aus dem Kurs: Cybersecurity Grundlagen: Grundlegende Konzepte

Rootkits

Stellen Sie sich vor, ein oder mehrere Rechner sind mit Malware infiziert, aber Sie bemerken es gar nicht. Das ist ein typisches Szenario für ein Rootkit. Die Definition eines Rootkits ist laut Wikipedia: "Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Softwaresystem auf dem kompromittierten System installiert wird, um zukünftige Anmeldevorgänge des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken." Das Klingt nicht gut. Offensichtlich ist ein Rootkit nicht nur ein Schadprogramm, sondern eine ganze Reihe von solchen Programmen, die zusammenarbeiten. Dadurch können Hacker das komplette System kontrollieren, ohne dass die Benutzerin oder der Benutzer etwas davon merkt. Der Name Rootkit kommt ursprünglich aus der Linux- oder Unix-Welt. Hier heißt der Administrator mit den höchsten Berechtigungen Root. Der Begriff Kit bedeutet eine Mehrzahl an Tools. Zusammen bedeutet das Wort in etwa eine Malware-Sammlung mit administrativen Rechten. Der Antivirus-Software-Hersteller Kaspersky teilt Rootkits in folgende Arten ein. Hardware- oder Firmware-Rootkit: Dies ist ein eher seltener Typ. Hier wird die Hardware befallen, also beispielsweise das BIOS, das sich auf einem Speicherchip auf dem Mainboard befindet. Solche Rootkits sind sehr gefährlich, denn sie können auch als Keylogger fungieren. Bootloader-Rootkit: Der Bootloader lädt das Betriebssystem. Bootloader-Rootkits ersetzen den ursprünglichen Bootloader und laden selber das Betriebssystem. Dadurch ist dieses Rootkit extrem gefährlich, da es bereits vor dem Start des Betriebssystems aktiv ist. Speicher-Rootkit: Wie der Name schon sagt, befindet sich dieses Rootkit im Arbeitsspeicher Ihres Systems. Von dort aus führt es Aktionen aus. Der Vorteil ist, dass ein Speicher-Rootkit durch einen Neustart aus dem System entfernt werden kann. Nun muss nur noch die Quelle auf dem Rechner entfernt werden. Speicher-Rootkits sind nicht so gefährlich wie Bootloader-Rootkits. Bei einem Programm-Rootkit werden die Programmdateien durch Rootkit-Dateien ersetzt. Dadurch können Hacker jedes Mal auf ihr System zugreifen, wenn das entsprechende Programm gestartet wird. Das birgt natürlich eine große Gefahr. Im Kernel arbeitende Rootkits sind die gefährlichsten Rootkits. Sie manipuliere das komplette Betriebssystem, da Sie dort Ihren eigenen Code einfügen. Virtuelle Rootkits starten zuerst und kreieren dann eine virtuelle Maschine für das eigentliche Betriebssystem. Dadurch können Sie alle Hardware-Aufrufe an das eigentliche Betriebssystem abfangen, ohne dieses zu verändern.

Inhalt