Das Kefk Network Wiki befindet sich im Testbetrieb.

---

Aus Kefk.

Ein Rootkit (engl. etwa: „Administratorenausrüstung“; root ist unter unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme beschränkt, da es inzwischen auch Rootkits für Nicht-Unix-Systeme gibt. Antivirensoftware versucht, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, Malware vor den Antivirenprogrammen und dem Benutzer zu verbergen (zu tarnen).

Inhaltsverzeichnis 1 Historie 2 Backdoor-Funktionalitäten 3 Technische Umsetzung 3.1 Kernel-Rootkits 3.2 Userland-Rootkits 3.3 Speicher-Rootkits 4 Bekannte Rootkits der letzten Jahre 5 Positive Anwendung von Rootkits 6 Siehe auch 7 Quellen 8 Weblinks

Historie

Die ersten Sammlungen von Unix-Tools zu oben genannten Zwecken bestanden aus modifizierten Versionen der Programme ps, passwd usw., die dann jede Spur des Angreifers, die sie normalerweise zeigen würden, verbergen und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministrators root zu agieren, ohne dass der rechtmäßige Administrator dies bemerken konnte. Der Name Rootkit entstand also aus der Tatsache, dass der Angreifer verbarg, dass er sich Root-Rechte angeeignet hatte. Solche Rootkits, die lediglich aus modifizierten Systemprogrammen bestehen, werden gemeinhin Application-Rootkits genannt. Aufgrund der trivialen Möglichkeiten zur Erkennung dieser Rootkits finden sie heute kaum noch Verwendung.

Backdoor-Funktionalitäten

Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen. Dazu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindunganfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend.

Technische Umsetzung

Heutzutage gibt es kaum noch Application-Rootkits, es finden sich fast ausschließlich Rootkits der folgenden drei Typen.

Kernel-Rootkits

Kernel-Rootkits ersetzen Teile des Betriebssystemkerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen durch die direkte Manipulation von Kernelspeicher auch ohne LKM aus. Unter Windows werden Kernel Rootkits häufig als neue .sys-Treiber realisiert..

Userland-Rootkits

Userland-Rootkits sind vor allem unter Windows populär, da sie keinen Zugriff auf der Kernel-Ebene benötigen (daher der Name). Sie stellen eine DLL bereit, die mittels verschiedener Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle Prozesse injiziert wird. Ist diese DLL einmal geladen, modifiziert sie entsprechende API-Funktionen und leitet die Ausführung dieser auf sich selbst um. Damit können Informationen gezielt gefiltert oder modifiziert werden.

Speicher-Rootkits

Speicher-Rootkits existieren nur im Arbeitsspeicher. Nachdem das System neu gestartet wurde, sind diese nicht mehr vorhanden.

Bekannte Rootkits der letzten Jahre

• Die Firma Sony BMG kam in die Schlagzeilen und musste diverse Musik-CDs zurückrufen, nachdem bekannt geworden war, dass sich der Sony-Kopierschutz für Musik-CDs mit Methoden eines Rootkits in Windows-Systemen einnistet.
• Die Firma Kinowelt verkauft derzeit in Deutschland DVDs mit einem von Settec entwickelten Kopierschutz, der unter Windows ebenfalls ein Userland-Rootkit zum Verstecken von Prozessen installiert.
• Forscher der University of Michigan haben eine Variante entwickelt, virtuelle Maschinen als Rootkits (Virtual Machine Based Rootkits) zu verwenden. Die Arbeit an diesem Projekt mit Namen SubVirt wurde unter anderem von Microsoft und Intel unterstützt. Das Rootkit, das mittlerweile von Wissenschaftlern und Microsoft-Mitarbeitern entwickelt wurde, sollte auf dem IEEE Symposium on Security and Privacy im Mai 2006 präsentiert werden.
• Auf der Black Hat-Konferenz im Januar 2006 wurde ein BIOS-Rootkit vorgestellt, das selbst ein Neuformatieren der Festplatte überlebt. ^[1]

Positive Anwendung von Rootkits

Rootkits haben durchaus auch Anwendungszwecke, die nicht zum Kompromittieren eines Systems dienen, sondern dieses sogar schützen können. Rootkits eröffnen die Möglichkeit, in grundlegende Systemfunktionalität einzugreifen und diese in fast beliebiger Weise zu verändern oder zu ergänzen. So könnte zum Beispiel ein „gutes“ Rootkit dafür sorgen, die unbemerkte Installation eines „bösen“ Rootkits abzuwehren.

Siehe auch

• Dropper

Quellen

1. ↑ techweb.com "BIOS Could Hide Rootkits"

Weblinks

• c't-Artikel „Kostenloser Spürhund, RootkitRevealer spürt Hintertüren auf“ zu Rootkits unter Windows XP (siehe auch [1])
• SonyBMGs digitaler Hausfriedensbruch – Ein Review der Ereignisse

Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort Rootkit, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation.