23.07.2014

Rootkits: Administrative Kontrolle über ein System erlangen

Betreiben Sie einen eigenen Server? Leider lauern hier auch Gefahren. Sicher jedem bekannt sind Einbrüche in Systeme durch Erraten des Passwortes, ungebetenes Einloggen oder die Möglichkeit, durch Sicherheitslücken im System selbst oder in den laufenden Programmen unerwünschte Befehle oder Software ausführen zu können. Weniger bekannt ist vielleicht, dass solch erfolgreiche Angriffe durch Rootkits verborgen werden können.

Von: Lars Behrens  DruckenTeilen Kommentieren 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Rootkits sind im allgemeinen eine Sammlung von Softwarewerkzeugen zur Kompromittierung (dem Befall) eines (Server-)Systems. Diese können üblicherweise erst nach erfolgreichem Einbruch in das System installiert werden. Der Begriff root (englisch: Wurzel) steht bei den Betriebssystemen aus der grossen Unixfamilie (zu denen letztlich auch die zahlreichen Linuxderivate und sogar das so modern erscheinende Apple Mac OS-System zählen) für den obersten und mithin mächtigsten Benutzer. Diese Logik ergibt sich aus der hierarchischen Sicht auf das System, die einer auf den Kopf gestellten Baumstruktur ähnelt. Auf oberster Ebene ist der Benutzer root, von dessen oberstem Hierarchiepunkt alle weiteren Stellen verzeigen. Root  ist der Benutzer, der über weitreichende Administratorrechte verfügt. Selbst wenn ein Ordner oder eine Datei über Rechte verfügt, die root den Zugriff verwehren würden, kann dieser sich über den Befehl chown -R root /Datei den Zugriff selber wieder gestatten. Eine Ausnahme davon bilden erweiterte Dateirechte, wie sie unter heutigen, typischen Linuxsystemen beispielsweise mit dem chattr-befehl und dem erweiterten Rechtezuweisungssystem von ACLs (Access Control Lists) möglich sind. Was aber, wenn diese Verwaltungsmöglichkeit missbraucht und root selber zum Angreifer wird?

Zweck von Rootkits

In der sinngemässen Übersetzung des Begriffs handelt es sich bei Rootkits um Baukästen, also vorgefertigte Software, zur Erlangung der (root-)Kontrolle über ein System. Wer aber erstellt überhaupt solche Rootkits, und wer wendet sie weshalb an? Rootkits können einerseits dazu dienen, die administrative Kontrolle über ein System oder auch nur einer Software zu erlangen. Im weitesten Sinne trifft dies auch auf Fernverwaltungsprogramme wie VNC, Dameware oder TeamViewer zu – mit dem gewichtigen Unterschied, dass der Nutzer diese Kontrolle üblicherweise nicht nur bemerkt, sondern auch ausdrücklich erwünscht. Anders ist dies bei den Rootkits, die das System befallen, um unbemerkt und unerwünscht Befehle oder Software auszuführen oder durch andere Schadsoftware ausführen zu lassen.

Eines der prominenten Beispiele eines Rootkits war die DRM-Software (DRM = Digital Rights Management/Digitale Rechteverwaltung) des Medienkonzerns Sony BMG. Der Konzern wollte damit eigentlich Copyright-Verletzungen vorbeugen, verschwieg aber, dass beim Abspielen von bestimmten CDs der Kopierschutz XCP nach Hause telefonierte – und das unbemerkt vom und ohne Zustimmung des Nutzers. Somit entsprach diese Software nicht nur nach Meinung des prominenten Sicherheitsexperten Bruce Schneier den Kriterien eines echten Rootkits. Der XCP-Kopierschutz hatte sich seit Mitte des Jahres 2004 auf schätzungsweise einer halben Millionen PCs verbreitet und ihn somit laut Schneier zu einer der grössten Infektionen der Computergeschichte werden lassen, auf einer Stufe mit den Würmern Blaster oder Slammer. Und dieses Rootkits war dermassen gut gemacht, dass kein seinerzeit aktuelles Antivirus- oder Antispywareprogramm es erkannte. Inzwischen gibt es natürlich längst ein Programm zur Entfernung des Sony Rootkits.

Dies ist zwar ein eher kurioses Beispiel – aber es zeigt, wie gefährlich Rootkits in das System eingreifen können. Dies trifft vor allem dann zu, wenn diese Rootkits aus der kriminellen Szene der Internetkriminalität oder aus der weiten Welt der Gelegenheitshacker stammen, die sich solche Bausätze einfach aus dem Internet herunterladen und somit Angriffe auf beliebige Systeme starten können. Bei letzterer Gruppe zumeist ohne Sinn, Verstand und Wissen um die technischen Hintergründe des Schadens, den sie damit anrichten – dem Administrator oder Betreiber solcher Systeme wiederum ist dies letztlich natürlich egal, sein System ist in jedem Fall gestört. Und kennzeichnend für diese Szene ist unter anderem eine verballhornende Schreibweise der Begriffe – so wird aus einem Rootkit ein R00tk1t, eingesetzt von (überwiegend jugendlichen und weit überwiegend männlichen) R00tK1dz. Diese setzen vielleicht noch einen Passwortsniffer wie Hunt auf Ihre – hoffentlich sicher übertragenen und komplex gestalteten – Passwörter an.

Obwohl Rootkits ursprünglich aus der Linux/Unix-Welt kommen, dürfen sich Nutzer anderer Betriebssysteme mitnichten entspannt zurücklehnen. Rootkits gibt es nämlich längst schon für alle bedeutenden Betriebssysteme – siehe das eben vorgestellte Beispiel des Sony XCP-Kopierschutz-Rootkits. Auf PCs und Servern mit einem der Betriebssysteme aus dem Hause Microsoft sind diese Rootkits bisher lediglich ein noch wenig bekanntes Phänomen. Dies darf die Nutzer solcher Systeme aber keinesfalls in Sicherheit wiegen.

Anti-Rootkits-Tools

Viele Rootkits – auch und gerade auf Windows-Systemen – erlangen ihre Gefährlichkeit erst dadurch, dass sie mit weiterer bedrohlicher Software wie Trojanern, Würmern und Viren zusammenspielen, indem sie die Anwesenheit dieser digitalen Schädlinge vor Anwender und Antiviren-Software verbergen. Rootkits verstecken sich in der Regel dermassen geschickt in Systemen, dass nicht einmal Virenscanner sie finden können. Zur Bekämpfung sind spezielle Anti-Rootkits-Tools gefragt. Windows- und Linux-Rootkits setzen sich typischerweise tief im Innern des Systems fest und manipulieren wichtige Systemfunktionen. Es gibt Windows-Rootkits, die sich zwischen Anfragen des Windows-Explorers, des Task-Managers oder eines Virenscanners an das Dateisystem schalten, alle Hinweise auf sich selbst löschen und erst dann die – manipulierte – Antwort weiterreichen.

Rootkits können sich nach heute allgemein anerkannter Einschätzung nicht selbstständig ausbreiten. Sie sind als Blended threat eine Kombination von Attacken gegen unterschiedliche Schwachstellen eines Systems. Wie in einem Beitrag der Fachzeitschrift für Datenverarbeitung diagramm erläutert, bestehen diese Blended Threats üblicherweise aus drei Schnipseln eines Codes: Einem Dropper, einem Loader und dem Rootkits. Dabei startet der Dropper die Rootkits-Installation. Um das Dropper-Programm zu aktivieren, bedarf es wiederum einer Aktion wie etwa dem Klicken auf einen bösartigen E-Mail-Link. Der Dropper setzt dann das sogenannte Loader-Programm ein und löscht sich anschliessend selbst. Ist der Loader aktiv, verursacht er gewöhnlich einen Buffer-Overflow (Puffer-Überlauf – Überlastung des Speichers), der den Rootkits in den Speicher lädt.

Ein gewichtiges Problem besteht darin, dass sich die meisten Rootkits mit den üblichen Bordmitteln, z.B. einer einfachen Dateisuche, einer Prüfung der Systemlogs oder der Prozesse im Taskmanager in der Regel nicht aufspüren lassen. Hier müssen Spezialisten zum Einsatz kommen – entweder in Form von Sicherheitsexperten aus Fleisch und Blut, die sich auf die Erkennung und Beseitigung solcher Schadsoftware verstehen. Diese kosten selbstverständlich ihr Geld, was in sicherheitsrelevanten Bereichen und bei wichtigen Systemen im kommerziellen Umfeld jedoch durchaus lohnend sein kann. Oder Sie machen sich selbst an die Arbeit und gehen auf Rootkitsjagd – hierzu gibt es eine ganze Reihe an Tools, Programmen und Methoden. Diese stellen wir Ihnen in einem anderen Beitrag vor – zusammen mit einer Möglichkeit, Ihr System von vornherein zu härten, also vor dem Befall durch unerwünschte (Schadens-)Software zu bewahren und somit ein gutes Stück sicherer zu machen.

MaLiWi IT

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 07. Mai 2019

mehr Infos

Produkt-Empfehlungen

  • Mein Unternehmen

    Mein Unternehmen

    Was erfolgreiche Firmen anders machen

    CHF 78.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • QM-System nach ISO 9001:2015

    QM-System nach ISO 9001:2015

    So sorgen Sie für ein effektives Qualitätsmanagement in Ihrem Unternehmen.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 08. Mai 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Der Datenschutzbeauftragte nach DSGVO (GDPR)

    Die neuen Anforderungen für Schweizer Unternehmen, die unter die DSGVO fallen, erfolgreich umsetzen

    Nächster Termin: 21. Mai 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz erfolgreich umsetzen

    Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

    Nächster Termin: 27. März 2019

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos