Was ist eigentlich... ein Rootkit (Teil 1)

10 Dinge, die Sie über Rootkits wissen sollten (Teil 1)

Rootkits sind komplex aufgebaut und verändern sich ständig, das macht es schwer, genau zu verstehen, womit man es zu tun hat. Wir versuchen es trotzdem, Ihnen genau zu erklären.

1. Was ist ein Rootkit?

Wenn man das Wort "Rootkit" zerlegt, besteht es aus "Root" und "Kit". "Root" ist ein Linux-Begriff, der dem Administrator-Konto in Windows-Systemen entspricht. Das englische Wort "Kit" (Bausatz) bezeichnet Programme, die jemandem auf Root- bzw. Administrator-Ebene den Zugriff auf den Computer ermöglichen - und zwar ohne Kenntnis oder Einverständnis des Computer-Nutzers!

2. Warum einen Rootkit verwenden?

Rootkits haben zum einem die Aufgabe, Software "abzuhören", zum anderen ermöglichen sie die Kontrolle und Bedienung des Computers mit Hilfe sogenannter Hintertüren (Backdoor). Das Ausführen von Dateien, Zugriff auf Log-Files, Ausspionieren von Aktivitäten des Benutzers am PC und nicht zuletzt Änderung der Konfiguration des Computers können hierdurch ermöglicht werden. Rootkits erlauben es, die administrative Kontrolle über einen Computer zu übernehmen, und zwar von außerhalb. Wie zum Beispiel VNC (Virtual Network Computing), eine Remote-Software, die die Steuerung des Computers über das Internet ermöglicht. Es agiert ähnlich einem Rootkit, nur eben nicht versteckt. Rootkits müssen also nicht immer Schad-Software sein. Sie ermöglichen leider nur sehr oft weitere Ausführungen ohne jegliche Sicherheitsbeschränkungen, wodurch sich erst ein Virus oder Trojaner einschleichen kann.

3. Wie verbreiten sich Rootkits?

Rootkits können sich nicht selbstständig ausbreiten. Erst das Zutun des Benutzers öffnet Tür & Tor. Das Rootkit ist ein Teil von dem, was "Blended Threat" genannt wird. Das ist eine Schadsoftware, die eine Kombination von Attacken gegen unterschiedliche Schwachstellen des Systems beinhaltet. Blended Threats bestehen in der Regel aus drei Schnipseln Programmcode: einem Dropper, einem Loader und dem Rootkit selbst.

Der Dropper kommt meistend per e-Mail oder als Link in einem Instant Messaging-Programm (z. Bsp. Skype, ICQ). Er kann aber auch durch Sicherheitslücken im Betriebssystem eingeschleust werden. Einmal aktiviert, kommt der Loader zum Einsatz. Der bindet das Rootkit vollständig ins System ein und löscht sich dann meistens wieder.

Seit neuestem findet man Blended Threat's auch in Dokumenten, bspw. PDF-Dateien. Schon das Betrachten dieser Datei reicht aus, um den Dropper-Code auszulösen und das System zu infizieren.

Ende Teil 1