Rootkit

Historie">Edit | | | Quellcode bearbeiten]>

Bei einem Rootkit handelt es sich um eine Ansammlung von Software-Tools, die nach einem Angriff auf ein anderes Programm auf dem betroffenen Rechner eingerichtet wird, um die zukünftigen Logins des Angreifers zu verschleiern und Vorgänge und Dateien auszublenden. Heute ist der Ausdruck nicht mehr nur auf Unix-basierte Betriebsysteme begrenzt, da für andere Rechner schon lange Rootskits verfügbar sind.

Ein Rootkit dient dazu, bösartige Programme ("Malware") vor den Virenschutzprogrammen und dem Anwender durch Camouflage zu verstecken. In einem Rootkit werden in der Regel Logins, Vorgänge und Protokolldateien verborgen und es beinhaltet oft Programme zum Abrufen von Informationen von Endgeräten, Netzverbindungen und Tastenanschlägen sowie Maustasten klicks und Passwörtern aus dem betroffenen Rechner. Backdoors können auch hinzugefügt werden, um dem Hacker in Zukunft den Zugriff auf das betroffene Netzwerk zu erleichtern, z.B. durch das Starten einer Shell, wenn eine Verbindungsanforderung an einen speziellen Netzwerk-Port erfolgt.

Der Grenzbereich zwischen Wurzelkits und Trojanern ist fliessend, während ein Trojan einen anderen Ansatz hat, um ein Computersystem zu befallen. Ein Rootkit kann sich ohne Wissen des Admins selbst installieren, so dass der Anwender das Computersystem unbemerkt für seine Aufgaben ausnutzen kann. Mit einem Rootkit können neue Backdoors geöffnet werden.

Wurzelkits bemühen sich auch, den Weg ihrer Infiltration abzudecken, damit sie nicht von anderen beseitigt werden. Aufgrund der unbedeutenden Erkennungsmöglichkeiten dieser Arten von Wurzelkits werden sie heute kaum noch eingesetzt. Heute gibt es beinahe ausschliesslich Wurzelkits der nachfolgenden drei Typen: Diese Rootkitklasse wird daher auch als " LKM Rootkit " bezeichnet (LKM steht für "loadable kernel module").

Das Rootkit verbirgt auf diese Art und Weise seine eigene Präsenz auf einem Rechner. Das Rootkit erhält dadurch einen gezielten Zugriff auf Daten, die dann herausgefiltert oder bearbeitet werden können. Speicherrootkits sind nur im Hauptspeicher des aktuellen Rechners verfügbar. Nachdem das System neu gestartet wurde, sind diese Rootskits nicht mehr verfügbar. VMBRs ( "Virtual Machines Based Rootkit") sind so genannte Rootskits, die ein bestehendes System in eine virtualisierte Arbeitsumgebung überführen.

Wissenschaftler der University of Michigan haben eine Version der Verwendung virtueller Computer als rootkit ("Virtual Machinery Based Rootkits") ausgearbeitet. Auf dem IEEE-Seminar zum Thema Sicherheit und Datenschutz im Juni 2006 sollte das von Microsoft-Mitarbeitern und Forschern entwickelte Rootkit vorgestellt werden. Weil eine komplette Rootkit-Erkennung nicht möglich ist, ist es am besten, das Betriebssystem komplett neu zu installieren.

7] Da gewisse Wurzelkits im BIOS versteckt sind, liefert auch diese Vorgehensweise keine 100%ige Sicherung beim Entfernen des Wurzelkits. 8] Um eine Infektion des BIOS im Vorfeld zu vermeiden, sollte das BIOS auf der Hardware-Seite geschützt werden, z.B. durch einen Steckbrücken auf der Mainboards. Für viele offizielle Hersteller gibt es jedoch bereits Software zur Detektion und Deinstallation, z.B. das Sony Rootkit.

Zehn Sachen, die Sie über die Webseite von Rootkit wissen sollten. net, Ausgabe 11. Oktober 2008. http://www.stealthware. org (nicht mehr verfügbar) - Startseite des Buches Virtual Machinery Based Rootkits von E. Hermann, R. Kolmhofer und anderen Künstlern ý Holems. Die USB-Sticks von Sony mit Rootkit-Funktion" Jumping up GameStar. de "Sony: Herstellung von USB-Sticks mit Rootkit wieder eingestellt" Jumping up Jürgen Schmidt: Hacking-Team arbeitet mit UEFI-Rootkit. en, July 14, 2015, Zugriff am 8. September 2015.