Rootkits gibt es mittlerweile schon seit 20 Jahren. Diese erlauben es Angreifern, die Dateien und Daten von infizierten Rechnern zu stehlen. Zugleich bleiben diese jedoch hierbei lange unentdeckt. Und genau das ist auch der Zweck: Mit dem Rootkit sollen in erster Linie Schadsoftware und deren Aktionen vor Antivirenprogrammen und der Entdeckung durch den Nutzer versteckt werden.
Was ist ein Rootkit und wie gefährlich ist dieser?
Der eigentliche Begriff Rootkit beschreibt schädliche Programme, die Computer infizieren und es den Cyberkriminellen gestatten, unterschiedliche Programme hierauf zu installieren, die diesen einen dauerhaften Zugriff auf dem Rechner ermöglichen. Es wird gewöhnlich tief in dem jeweiligen Betriebssystem versteckt und es ist programmiert, dass es die Auffindung durch eine Antivirus-Software oder andere Sicherheitslösungen erschwert.
Ein solches Kit kann unterschiedliche schädliche Tools enthalten. Hierzu gehören Programme für den Passwort-Diebstahl, Keylogger, Module für den Diebstahl von Kreditkartennummern oder den dazugehörigen Online-Banking-Informationen, oder auch Funktionen, welche die installierte Sicherheitssoftware einfach abschalten. Diese Kits fungieren zumeist als Backdoors, welche dem Angreifer gestatten, auch aus der Ferne auf die infizierten Rechner zuzugreifen und Komponenten hierauf zu installieren. Hierzu gehören aktive Windows-basierte Rootkits. Diese heißen ZeroAccess, TDSS, Necurs und Alureon.
Die Gefahr geht eigentlich nicht von dem Kit aus, sondern von Schadcodes, welche die Spuren verwischen. Ein solches Rootkit ist keine eigentliche Schadsoftware bzw. auch Malware im eigentlichen Sinne. Die Fähigkeit liegt hierbei darin, die Schadprogramme vor Sicherheitslösungen und Virenscannern oder einer Antivirus-Software zu verstecken. Wie gefährlich diese Infektion mit einem Kit ist, hängt davon ab, was die Täter im Schilde führen und welche Art von Schadcode diese durch die Hintertür in das System befördern.
Dieser Mittäter in Codeform dringt alsdann in das Betriebssystem ein und wird dann aktiv. Das Teilwort „root“ bezieht sich daher auf die Root-Rechte, welche auch jenen Namen des Superuserkontos tragen. Das Konto wird bei einer Installation des Betriebssystems neu angelegt und gestattet dem Nutzer die allgemeinen Zugriffsrechte. Damit ist es nicht für die tägliche Nutzung, sondern für administrative Vorgänge vorgesehen, welche im System durchgeführt werden– also an der Wurzel (Root).
Seinerseits deutet das „kit“ an, dass es eine Sammlung an verschiedenen Softwarewerkzeugen ist. Übersetzt ist das Rootkit etwas wie ein spezieller Werkzeugkasten für die Administratoren. Mit einem solchen Kasten können sich Cyberkriminelle heimlich auf dem Rechner anmelden und Funktionen von Administratoren ausführen.
Ein solches Kit verhindert, dass der Nutzer auch etwas von diesen illegalen Taten auf seinem Rechner bemerkt.
Anmeldungen auf dem Rechner werden sicher verschleiert, genauso wie diese mit dem Vorgang verbundenen Daten und Dateien sowie Prozesse. Durch ein Rootkit können zudem schädliche Programme versteckt werden, die zum Beispiel Passwörter, Tastatur- und Mauseingaben und auch Kreditkarteninformationen durchforschen.
Wie unterscheiden sich Rootkits untereinander?
Da es auf dem Rechner viele verschiedene Prozesse du Dateien gibt, ist ein Rootkit nicht gleich ein Rootkit: Jede der Varianten geht auf andere Art und Weise vor und setzt hierbei auch an unterschiedlichen Stellen an. Die verbreitetsten Arten sind hierbei das Kernel-Mode- und das User-Mode-Rootkit.
Ein Kernel-Mode ist der innere Kern des jeweiligen Betriebssystems. Hier werden die entscheidendsten Einstellungen bestimmt und nur ein Administrator hat hier Zugriff auf den Teil des Systems. Wenn sich ein Kit hier einquartiert, kann der Feind den Rechner aus der Ferne nach Wunsch manipulieren.
Ein User-Mode umfasst hingegen weniger Rechte und hat auch weniger Macht auf ein System. Je nachdem, wo das Kit ansetzt, kann es tief ins Betriebssystem vordringen. Die Kernel-Rootkits sind seltener, aber gleichzeitig auch schwerer zu finden und auch zu entfernen als User-Mode-Kits.
Viren und Rootkits arbeiten oftmals zusammen. In dem Fall sind es Rootkit-Viren. Dennoch besteht ein Unterschied zwischen einem Kit und dem Virus. Die Kits gewähren dem Administratorzugriff auf das System, während der Virus Daten und Dateien auf einem Rechner verändert, um sich selber zu replizieren.
So verbreiten Hacker ihre Kits mithilfe verschiedener Trojanern. Diese vermeintlich harmlose Malware soll den Nutzer verleiten, diese herunterzuladen und anschließend zu öffnen. Wenn nun der Trojaner geöffnet ist, installiert dieser das Kit. Wenn Nutzer sich nicht vor jeder Art der Malware sichern, rollen diese den Teppich für aller Hacker und deren Kits aus.
Wie kann ein Rootkit entfernt werden?
Um ein solches Kit zu entdecken, helfen besondere Boot-CDs. Sicherheitslösungen wie G DATA bieten auch jene Möglichkeit zur Erstellung einer Linux-Boot-CD, mit welcher der Computer dann abseits des Betriebssystems neu hochfährt. Mit jenem auf der CD enthaltenen Scanner für die Viren kann das Betriebssystem in jenem Zustand gescannt werden, in welchem das auf der Festplatte vorhandene Kit nicht aktiv ist und damit auch leichter entdeckt wird.
In dem Zustand wird auch die Tarnfunktion wirkungslos – und das Kit fliegt gemeinsam mit seinen kriminellen Komplizen auf.
Ein Kit auf einem Computer zu entdecken ist nicht einfach, da diese Art des Schadprogramms darauf ausgelegt ist, sich sicher und genau zu verbergen und der Arbeit im Hintergrund des Systems nachzugehen. Es gibt auch Programme, welche mit unterschiedlichen Methoden nach unbekannten und bekannten Typen von Kits suchen, die versucht, die Kits anhand der Verhaltensmuster erkennen zu können.
Das Entfernen des Kits ist generell ein komplexer Prozess und braucht eine spezielle Software. Eine Boot-CD kann hier Abhilfe schaffen.
