Wenn man zum ersten Mal mit Rootkits in Berührung kommt, ist man von ihrer Leistungsfähigkeit und Raffiniertheit häufig überrascht. Es wirkt für einige schon fast magisch. In der Regel lassen sie sich einfach installieren und bringen immer verblüffende Ergebnisse hervor.
Rootkits erlauben es Ihnen, Dateien, Prozesse und Programme vor Benutzern und sogar dem Betriebssystem gut zu verstecken. Es wirkt so, als wären Sie nie auf dem Computer gewesen. So können diese sogar von Next-Generation-Security-Lösungen nicht erkannt werden. Der Name leitet sich der allgemeinen Meinung nach davon ab, dass es sich um eine Sammlung von Werkzeugen – also ein »Kit« – handelt, denen administrativer Zugriff gewährt wird.
Vorsicht bei der Nutzung von Rootkits
Wie bei allen Bereichen eines Penetrationstests – hier aber besonders – müssen Sie sichergehen, dass der Kunde den Gebrauch von Rootkits erlaubt hat, bevor Sie diese einsetzen. Sollte der Einsatz nicht genehmigt sein, ist das sicher das Ende Ihrer Karriere und könnte Sie ins Gefängnis bringen. Vergewissern Sie sich selbst bei einer vollständigen Autorisierung für einen Penetrationstest, dass diese auch den Einsatz von Rootkits einschließt.
Rootkits ermöglichen ein äußerst heimliches Vorgehen und lassen sich für eine Vielzahl von Zwecken einsetzen:
- Erhöhen von Rechten
- Aufzeichnen von Tastenbetätigungen
- Installieren von Hintertüren und
- andere schädliche Tätigkeiten.
Da Rootkits im Kernel, einer weit tieferen Ebene als dem Betriebssystem, ausgeführt werden, können viele der Entdeckung entgehen. Software, mit der ein Anwender arbeitet, läuft auf einer höheren Ebene des Systems. Software, wie auch Anti-Virus-Programme, muss, wenn sie eine Aufgabe erledigt, Anforderungen gewöhnlich an eine tiefere Ebene des Betriebssystems übergeben.
Da die Rootkits sich in der Regel in der Tiefe des Betriebssystems eingenistet haben, können Sie sich zwischen der Software und dem Betriebssystem einhaken und diese Anforderungen abfangen und die normalen Antworten verändern.
Wenn Sie zum Beispiel herausfinden wollen, welche Prozesse auf Ihrem System gerade laufen, rufen Sie in der Regel den Task-Manager auf – häufig mit (Strg)+(Alt)+(Entf) oder direkt mit (Strg)+(Shift)(ESC) –, um die darin aufgeführten Prozesse und Dienste anzuschauen. In der Regel führen Sie diesen Task aus, ohne weiter darüber nachzudenken, und untersuchen einfach die angezeigte Prozessliste und arbeiten anschließend weiter.
Um Ihnen die Grundlagen verständlich zu machen, vereinfache ich die folgende Darstellung. Die Software fragt in diesem Beispiel beim Betriebssystem an, welche Prozesse und Dienste aktuell gerade laufen. Das Betriebssystem fragt wiederum alle laufenden Programme ab, von denen es weiß, und gibt eine Liste zurück.
Wenn jetzt ein Rootkit mitspielt, wird das Ganze etwas komplizierter. Die Antwort, die das Betriebssystem zurückgibt, kann vom Rootkit abgefangen und manipuliert werden. So ist es in der Lage, ausgewählte Programme, Dienste und Prozesse aus der Liste zu entfernen. Da das unmittelbar geschieht, wird die Veränderung der Liste dem Benutzer erst gar nicht auffallen. Das Programm selbst funktioniert korrekt, bekommt aber vom Betriebssystem falsche Informationen, die es weitergibt.
Bei einem Rootkit handelt es sich um keinen Exploit. Rootkits werden erst, nachdem ein System bereits geknackt wurde, darauf hochgeladen. Ihre Aufgabe ist es gewöhnlich, Dateien und Programme zu verstecken und so einen heimlichen Zugriff durch eine Hintertür aufrechtzuerhalten.
Rootkits erkennen und abwehren
Auch wenn wir uns hier nur mit den Grundlagen beschäftigen, sind die Schutzmaßnahmen gegen viele Techniken ziemlich einfach:
- Seien Sie vorsichtig mit den Informationen, die Sie ins Internet stellen.
- Konfigurieren Sie Ihre Firewall sowie Web- & Spamfilter sorgfältig.
- Stellen Sie sicher, dass alle Systeme (Client-PC, Server, Drucker, Netzwerkgeräte …) immer auf dem aktuellen Stand sind. Spielen Sie Updates immer zeitnah ein.
- Installieren und nutzen Sie eine moderne Endpoint-Protection-Softwarelösung.
- Nutzen Sie ein Intrusion-Detection-System.
Die Liste bildet eine gute Basis zum Schutz Ihrer IT-Infrastruktur, ist aber auf keinen Fall vollständig. Sie bietet auch keinen hundertprozentigen Schutz, auch wenn Sie alle o.g. Maßnahmen befolgen. Rootkits stellen trotz allem noch eine Gefahr dar.
Es erfordert zusätzliche Schritte, um Rootkits erkennen und abwehren zu können. Rootkits können nur mit Administratorenrechten konfiguriert und installiert werden. Sie können es sich sicher denken, eine der ersten Maßnahmen ist deshalb, die Rechte der Benutzer auf das Notwendigste einzuschränken – Prinzip der geringsten Rechte –, das bedeutet, jeder Anwender hat nur die Rechte, die er benötigt, um seine Aufgaben auszuführen. Nutzen Sie niemals einen Administratoraccount für die tägliche Arbeit.
Sie werden überrascht sein, wie oft es vorkommt, dass sämtliche Benutzer Mitglieder der Administratorengruppe sind. Die Erklärung dafür ist häufig, dass die Ausführung bestimmter Programme administrative Rechte benötigt. Es ist eine Ausrede, die nicht mehr wirklich Gültigkeit hat. Moderne Betriebssysteme erlauben es, dass die Rechte mit Befehlen wie »Ausführen als« vorübergehend angehoben werden.
Es stimmt schon, dass viele Rootkits auf Kernelebene arbeiten und von Endpoint Protection-Lösungen teilweise nicht erkannt werden, aber es ist von entscheidender Bedeutung für Ihre IT-Sicherheit, dass Sie eine solche Lösung installieren, nutzen und aktuell halten. Einige Rootkits, vor allem die älteren und weniger ausgefeilten, können durch moderne Security-Lösungen erkannt und entfernt werden.
Das Überwachen des Datenverkehrs, der in Ihr Netzwerk gelassen wird und auch Ihr Netzwerk verlässt, ist eine weitere wichtige Maßnahme. Der eingehende Netzwerkverkehr wird häufig überwacht und blockiert. Administratoren verwenden Tage und Wochen darauf, die Regeln entsprechend anzupassen und feinzuschleifen, aber der ausgehende Datenverkehr wird hier häufig komplett ignoriert.
Wenn Sie aber Malware und Rootkits erkennen wollen, können Sie nicht darauf verzichten, den ausgehenden Datenverkehr ebenfalls zu überwachen. Es lohnt sich, sich die Zeit zu nehmen, mehr über die Filterung der ausgehenden Verbindungen zu lernen.
Es ist auch eine gute Strategie zur Erkennung von Rootkits und Hintertüren, wenn Sie regelmäßige Portscans Ihrer Systeme durchführen. Hier müssen Sie Ihr Augenmerk auf alle offenen Ports legen. Sollte auf einem System ein unbekannter Port offen sein, dann müssen Sie sich diesen Computer genauer ansehen und herausfinden, welcher Dienst auf diesem Port läuft.
Tools zur Erkennung von Rootkits
Es gibt einige hervorragende kostenlose Tools, die Sie bei der Suche nach verborgenen Dateien und Rootkits unterstützen können, wie zum Beispiel:
- Rootkit Revealer: Dabei handelt es sich um ein Tool von Sysinternals und um ein erweitertes Rootkit-Erkennungsprogramm. Es liest die Inhalte von Registry und Festplatten. Die Ausgabe listet Abweichungen von Registrierung und Dateisystem-API auf, die auf das Vorhandensein eines Rootkits hinweisen können. Dieses Tool erkennt erfolgreich viele persistente Rootkits, einschließlich AFX, Vanquisch und HackerDefender.
- F-Secure BlackLight: Es untersucht auf Mausklick Ihren Computer inklusive der Registry nach verdächtigen Dateien und zeigt diese nach dem Scan in einer Liste an.
Sollte auf einem Computer erst einmal ein Rootkit installiert worden sein, ist es schwer, es vom Computer wieder zu entfernen. Eine vollständige Entfernung ist mitunter sehr kompliziert. In vielen Fällen müssen Sie den infizierten Computer erst mal mit einem anderen Betriebssystem starten oder die ursprüngliche Festplatte in einem anderen System bereitstellen, damit Sie sie gründlicher untersuchen können.
Durch dieses Vorgehen sorgen Sie dafür, dass das ursprüngliche Betriebssystem nicht läuft und der verwendete Scanner keine API-Aufrufe des infizierten Systems verwendet. So besteht eine höhere Wahrscheinlichkeit, ein Rootkit zu finden und zu entfernen. Aber in vielen Fällen ist es trotzdem besser, wenn Sie das ganze infizierte System löschen, die Festplatte(n) neu formatieren und schließlich den Computer neu aufsetzen.
Dieser Artikel ist ein Auszug aus dem Buch „Ethical Hacking“ von Jürgen Ebner. Alle Infos zum Buch, das Inhaltsverzeichnis und eine kostenlose Leseprobe findet ihr bei uns im Shop.