Rufen Sie uns 24 Stunden am Tag an um eine kostenlose diagnose zu erhalten 951 203 528
Ein Rootkit ist eine bösartige Software, die es einem unbefugten Benutzer ermöglicht, die Remotesteuerung über einen Computer zu übernehmen, ohne dabei entdeckt zu werden.
Ursprünglich war ein Rootkit im Kontext von UNIX-Systemen eine Gruppe von Tools, die zum Betriebssystem selbst gehörten (wie netstat, passwd und ps) und von einem Angreifer geändert wurden, um sich unbeschränkten Zugriff auf den Zielcomputer zu verschaffen, ohne dass der Systemadministrator das Eindringen bemerkt.
In der UNIX-Systemterminologie wurde der Systemadministrator „root“ genannt. Daher kommt der Oberbegriff für diese Tools, die im System verborgen blieben, nachdem sie Stammberechtigungen erhalten hatten.
Windows-Systeme sind heute die am weitesten verbreiteten Betriebssysteme, das Konzept ist jedoch gleich geblieben.
Ein Windows-Rootkit ist ein Programm, das bestimmte Elemente (Dateien, Prozesse, Windows-Registrierungsschlüssel, Arbeitsspeicheradressen, Netzwerkverbindungen usw.) vor anderen Programmen oder dem Betriebssystem verbirgt.
Wie zu sehen ist, hat diese Definition allein keine schädlichen Auswirkungen auf das System – es handelt sich also um eine Technologie, die sowohl für konstruktive als auch destruktive Zwecke eingesetzt werden kann.
Entgegen der landläufigen Meinung sind Rootkits keine Tools, die Computer einem Risiko aussetzen können.
Rootkits in UNIX
In UNIX-Systemen werden Rootkits verwendet, um kontinuierlichen Zugriff auf einen zuvor kompromittierten Remotecomputer zu gewährleisten, zum Beispiel zum:
Rootkits in Windows
Bei Windows-Systemen ist das Ziel ähnlich: das Verbergen der Existenz anderer Elemente im Computer, sodass sowohl deren Existenz als auch Ausführung für den Benutzer und auch die Sicherheitssoftware selbst unsichtbar bleiben. Wenn es sich bei diesen Elementen um Viren handelt, hat der Computerbesitzer ein ernsthaftes Problem.
Diese Tatsache stimmt vollkommen mit der aktuellen Dynamik von Malware überein. Da Malware darauf abzielt, Datenverbrechen für finanzielle Vorteile zu begehen, ist es wichtig, dass sie kaum oder überhaupt nicht entdeckt wird. So kann die Malware auf dem Computer so lange wie möglich aktiv und unerkannt bleiben.
Rootkits für gute Zwecke
Obwohl es Folgen gibt, die sorgfältig abgewogen werden müssen, gibt es auch potenzielle Vorteile einer Verwendung von Rootkits, die in folgenden Bereichen auf legitime Weise genutzt werden können:
Rootkits können anhand der folgenden Merkmale klassifiziert werden:
Persistenz:
Ein persistentes Rootkit wird bei jedem Systemstart aktiviert. Dazu muss sein Code auf irgendeine Weise im Computer gespeichert sein und die Möglichkeit haben, sich automatisch selbst zu starten.
Ein nicht persistentes Rootkit hingegen kann nach einem Neustart des Systems nicht automatisch wieder ausgeführt werden.
Art und Weise der Ausführung:
Benutzermodus: Diese Art von Rootkit hängt sich an Systemaufrufe und filtert die von den APIs (Application Programming Interfaces) zurückgegebenen Daten.
Kernel (Kern des Betriebssystems)-Modus: Diese Rootkits modifizieren die Datenstrukturen des Kernel und hängen sich an die Kernel-eigenen APIs.
Mit folgenden Techniken lässt sich das Vorhandensein von Rootkits in einem System ermitteln:
Signaturbasierte Erkennung:
Ausgereifte Technologie, die in Virenschutzprogrammen bereits seit vielen Jahren erfolgreich eingesetzt wird. Die Technologie basiert auf dem Scannen und Vergleichen von Dateien mit einer Sammlung von Signaturen, die von bekannter Malware stammen.
Heuristische oder verhaltensbasierte Erkennung:
Identifiziert Rootkits, indem Abweichungen von der normalen Aktivität eines Computers erkannt werden.
Erkennung durch Vergleich:
Dabei werden die vom Betriebssystem zurückgegebenen Ergebnisse mit den Ergebnissen von Aufrufen auf niedriger Ebene verglichen. Werden Unterschiede erkannt, gibt es im System ein Rootkit.
Integritätsbasierte Erkennung:
Zeigt die Existenz eines Rootkits an, indem Dateien und Arbeitsspeicher mit einem Teststatus verglichen werden, von dem bekannt ist, dass er zuverlässig ist.
Jedes dieser Verfahren hat seine Begrenzungen. Aus diesem Grund wird dringend empfohlen, verschiedene Technologien miteinander zu kombinieren. Außerdem muss berücksichtigt werden, dass einige Rootkits ausdrücklich so konzipiert sind, dass sie von branchenführenden Virenschutzprogrammen nicht erkannt werden.
Die wichtigste Schutzmaßnahme gegen Rootkits besteht darin, zu verhindern, dass diese in Ihren Computer eindringen. Beachten Sie dazu die folgenden grundlegenden Hinweise zum Schutz vor Malware:
Die Aufgabe, sich vor Rootkits zu schützen, darf nicht auf die leichte Schulter genommen und auch nicht auf eine Reihe allgemeiner Schutzmaßnahmen beschränkt werden.