Rootkits

Sind Angreifer erfolgreich erst in ein System eingebrochen, dann wollen sie diesen Zugang auch nicht so bald wieder aufgeben. Bemerkt ein wachsamer Systemadministrator die Anwesenheit von Angreifern, wird er Gegenmaßnahmen ergreifen und wahrscheinlich die Netzwerkverbindung trennen. Um die Entdeckung zu verzögern setzen Angreifer oft sog. Rootkits ein. Diese manipulieren das System auf solche Weise, dass beispielsweise die Prozesse, Dateien und Netzwerkverbindungen der Angreifer nicht mehr zu finden sind. Dies kann durch Austausch von System-Programmen erreicht werden, aber oft wird heutzutage der Kern des Betriebssystems manipuliert um eine Entdeckung weiter zu erschweren.

Für welche Betriebssysteme gibt es Rootkits?

Ende der 80er Jahre wurden Rootkits von Angreifern benutzt, um Ihre Anwesenheit auf UNIX Systemen zu verheimlichen. Entsprechend gibt es Rootkits für viele verschiedene UNIX Derivate. Mitte der 90er wurden Rootkits auf Linux portiert und Ende der 90er Jahre traten die ersten Rootkits unter Windows auf. Mittlerweile gibt es für die Angreifer eine große Auswahl von Rootkits vor allem für Linux und für Windows.

Wie erkenne und entferne ich Rootkits?

Die Täuschung durch Rootkits ist niemals perfekt und es gibt immer Anzeichen für die Manipulation. Teilweise sind diese sehr spezifisch pro Rootkit, manche Hinweise sind generisch. Generell wird bei der Suche ein sog. Cross View Verfahren eingesetzt: Informationen über das System werden auf zwei unterschiedliche Arten abgerufen. Wurde dabei nur eine durch das Rootkit manipuliert, ergibt sich eine verdächtige Differenz und damit ein Hinweis auf das installierte Rootkit. Beispiele für Rootkits und wie man sie findet sind [1], [2], [3], [4] und [5] zu entnehmen.


[1] Andreas Bunten: Rootkits: Techniken und Abwehr, Tagungsband des 10. Workshop „Sicherheit in vernetzten Systemen“ des DFN-CERT in Hamburg, Februar 2003 (lokale Kopie Folien / Paper)

[2] Andreas Bunten: UNIX und Linux basierte Kernel Rootkits, Vortrag auf der 1. DIMVA Konferenz in Dortmund, July 2004 (lokale Kopie)

[3] Andreas Bunten: UNIX und Linux based Rootkits - Techniques and Countermeasures, Tagungsband der 16. FIRST Conference in Budapest, Juni 2004 (lokale Kopie)

[4] Andreas Bunten: Rootkits - Die Tarnkappen der Angreifer, DFN-Mitteilungen Ausgabe 70, Juni 2006 (lokale Kopie)

[5] Andreas Bunten: Rootkits, Linux Magazin Technical Review Ausgabe 10, August 2008

content by andreas bunten | design tomatoe by www.yomena.de | photo by yenhoon on stock.xchng | cc:attribution