Was ist ein Rootkit?
Mithilfe eines Rootkits verschleiern Cyberkriminelle ihre Spuren bei Angriffen im Netz. Das Rootkit selbst ist keine Schadsoftware im eigentlichen Sinne. Der Zweck der Rootkits: Malware tarnen und vor dem Anwender und Antivirenprogrammen verstecken. „Root“ bezieht sich auf die Root-Rechte (Administratorrechte) und „kit“ steht für eine Sammlung von Softwarewerkzeugen. Ein Rootkit ist sozusagen ein Werkzeugkasten für Systemadministratoren. Nach dem Einbruch in ein Softwaresystem installiert sich das Rootkit und versteckt zukünftige Anmeldevorgänge und Aktionen des Cyberkriminellen vor dem Besitzer.
Die ersten Rootkit-Sammlungen waren Unix-Tools, die es dem Angreifer ermöglichten Aktionen als Systemadministrator auszuführen, ohne dass der tatsächliche Admin dies bemerkte. Dabei handelte es sich meist um modifizierte Systemprogramme. Heute erkennen Sicherheitslösungen diese schnell, weshalb solche modifizierten Systemprogramme nicht mehr zum Einsatz kommen.
Rootkits ähneln Trojanern, allerdings gehen Trojaner beim Infizieren eines Systems anders vor. Ist das Rootkit erfolgreich ohne Wissen des Admins installiert, kann der Angreifer weitere Schadsoftware installieren, die den Anwender belauscht, Daten entwendet oder einen Distributed-Denial-of-Service startet. Die Gefahr geht von den schädlichen Programmen aus, deren Spuren die Rootkits verwischen.
Was machen Rootkits?
Rootkits halten den Zugang zu einem System offen, ohne dass der Administrator etwas davon bemerkt. Die Tools installieren eine Hintertür, über die der Angreifer in Zukunft leicht und unentdeckt in das System eindringt. Zu den Funktionen zählen unter anderem das Verstecken von Prozessen, Logdateien und Anmeldevorgängen. Sensible und persönliche Daten fangen die Softwareprogramme unter anderem über das Loggen von Mausklicks und Tastaturanschlägen ab, außerdem erfolgt der Datendiebstahl von Netzwerkverbindungen und Terminals. Zudem können Angreifer die vorhandenen Computer-Ressourcen für eigene Zwecke ausnutzen, wie zum Beispiel zum Bitcoin Mining. Viele moderne Malware-Typen versuchen mit Rootkits ihre Erkennung und Beseitigung zu verhindern, dazu gehört Malware wie Sirefef, Alureon, Rustock und Sinowal.
Die Infizierung erfolgt meist über Sicherheitslücken im Betriebssystem oder einem installierten Programm. Mithilfe von Exploit-Code erhalten Angreifer die benötigten privilegierten Rechte und installieren das Rootkit und Software für den Remote-Zugriff.
Verschiedene Arten von Rootkits
Der Zugriff auf die Ressourcen eines Computers ist durch unterschiedliche Zugriffsrechte geregelt, die Berechtigungsstufen der CPU sind in sogenannte Ringe unterteilt. Ring 0 steht für die vollen Rechte, Ring 3 für die geringsten. Prozesse des Kernels (Betriebssystems) führt der Prozessor mit der höchsten Berechtigungsstufe aus (Ring 0). Hingegen beschränken sich die Rechte von Anwendungsprogrammen auf den äußeren Ring 3 mit der niedrigsten Berechtigungsstufe. Von Ring 3 aus sind zwar keine direkten Zugriffe auf die Hardware möglich, Risiken wie die Installation weiterer Schadsoftware und Datendiebstahl bestehen dennoch. Rootkits lassen sich grob in zwei Arten unterscheiden: Kernel-Mode-Rootkits und User-Mode-Rootkits.
# LKM-Rootkits bzw. Kernel-Rootkits (Ring 0)
Der Kernel-Mode stellt den innersten Kern des Betriebssystems dar. Hat sich hier ein Rootkit eingenistet, kann der Angreifer aus der Ferne beliebige Manipulationen ausführen. Kernel-Rootkits sind komplexer und relativ selten, jedoch schwieriger zu entdecken und zu entfernen als die User-Mode-Rootkits.
# User-Mode-Rootkits (Ring 3)
Der User-Mode verfügt über weit weniger Rechte und hat geringere Einflussmöglichkeiten auf das Betriebssystem. Die User-Mode-Rootkits starten im gleichen Betriebssystem-Teil, in dem alle installierten Programme laufen. Diese infizieren Prozesse der laufenden Programme oder überschreiben den Speicherbereich.
Darüber hinaus gibt es weitere und weniger häufig eingesetzte Rootkit-Varianten. Zum Beispiel verändern sogenannte Bootkits den Bootsektor eines PCs. Zudem wächst die Anzahl mobiler Rootkits, die Smartphones angreifen, um dort unentdeckt Schaden anzurichten. Mobile Rootkits gelangen meist über Apps aus App-Stores von Drittanbietern auf die Geräte, vor allem Android-Smartphones sind betroffen.
Wie kann man ein Rootkit entfernen?
Wie bei allen Typen von Malware ist der beste Schutz, die Installation im vornherein zu verhindern. Zur Sicherheit müssen das Betriebssystem, die Sicherheits-Software und alle Programme immer auf dem aktuellen Stand sein. Die Firewall muss eingeschaltet sein, und das im Alltag verwendete User-Konto sollte über eingeschränkte Rechte verfügen. Vorsicht ist geboten bei E-Mails und fragwürdigen Webseiten mit Links zu anderen Webseiten. Anwender sollten sich vor Social-Engineering-Attacken schützen und sehr sichere Passwörter verwenden.
Windows 10 integriert mehrere Technologien, die das System vor Rootkits schützen sollen. Das Standalone-Tool Windows Defender Offline erkennt solch hartnäckige Schadsoftware und sollte bei Verdacht auf eine Infizierung installiert werden. Auch Virenprogramme entdecken Infizierungen. Wenn das Problem erneut auftritt, sollte der betroffene Anwender das Betriebssystem und die Sicherheits-Software neu installieren. Anschließend folgt das Kopieren der persönlichen Daten von einem Backup. Die vollständige Neuinstallation gilt als beste Option, doch selbst diese Methode bietet keine vollständige Sicherheit, da sich manche Rootkits im Bios verstecken.