Rootkit

Ein Rootkit (engl., etwa "Administratorenausrüstung") ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert werden, um zukünftige Logins des Eindringlings zu verbergen, Prozesse und Dateien zu verstecken.

Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme beschränkt, da es inzwischen auch Rootkits für Nicht-Unix-Systeme gibt. Antivirensoftware versucht, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, diese Malware vor den Antivirenprogrammen zu verbergen (diese zu tarnen, zu verstecken).

Historie

Die ersten Sammlungen von Unix-Tools zu oben genannten Zwecken bestanden aus modifizierten Versionen der Programme ps, passwd usw., die dann jede Spur des Angreifers, die sie normalerweise zeigen würden, verbergen und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministrators root zu agieren, ohne dass der rechtmäßige Administrator dies bemerken konnte. Der Name Rootkit entstand also aus der Tatsache, dass der Angreifer verbarg, dass er sich Root-Rechte angeeignet hatte. Solche Rootkits, die lediglich aus modifizierten Systemprogrammen bestehen, werden gemeinhin Application-Rootkits genannt. Aufgrund der trivialen Möglichkeiten zur Erkennung dieser Rootkits finden sie heute kaum noch Verwendung.

Backdoor-Funktionalitäten

Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen. Dazu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindunganfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend.

Technische Umsetzung

Heutzutage gibt es kaum noch Application-Rootkits, es finden sich fast ausschließlich Rootkits der folgenden zwei Typen.

Kernel Rootkits

Kernel Rootkits ersetzen Teile des Betriebssystem-Kerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen durch die direkte Manipulation von Kernelspeicher auch ohne LKM aus. Unter Windows werden Kernel Rootkits haeufig als neuer .sys-Treiber realisiert.

Userland Rootkits

Userland Rootkits sind vor allem unter Windows populär, da sie keinen Zugriff auf der Kernel-Ebene benötigen (daher der Name). Sie stellen eine DLL bereit, die mittels verschiedener Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle Prozesse injiziert wird. Ist diese DLL einmal geladen, modifiziert sie entsprechende API-Funktionen und leitet die Ausführung dieser auf sich selber um. Damit können Informationen gezielt gefiltert oder modifiziert werden.

Speicher Rootkits

Solche Rootkits sind nur im Speicher. Nachdem das System neu gestartet wurde, sind diese nicht mehr vorhanden.

Weiteres

Die Firma Sony BMG kam in die Schlagzeilen und musste diverse Musik-CDs zurückrufen, nachdem im Weblog von Sysinternals am 31. Oktober 2005 bekannt wurde, dass der Sony-Kopierschutz für Musik-CDs sich mit Methoden eines Rootkits in Windows-Systemen einnistet.
Die Firma Kinowelt verkauft derzeit in Deutschland DVDs mit einem von Settec entwickelten Kopierschutz, der unter Windows ebenfalls ein Userland-Rootkit zum Verstecken von Prozessen installiert.
Eine institutionalisierte Variante von Rootkits sind Werkzeuge, die die Hersteller von proprietärer Software in ihre Lösungen einbauen und Nachrichtendiensten exklusiv zur Verfügung stellen. Dies ist unter anderem problematisch für Unternehmen, die eine potenzielle Zielscheibe von Industriespionage durch Geheimdienste "befreundeter Staaten" sind.
Forscher der University of Michigan haben eine Variante entwickelt, virtuelle Maschinen als Rootkits zu verwenden. Die Arbeit an diesem Projekt mit Namen SubVirt wurde unter anderem von Microsoft und Intel unterstützt. Das Rootkit, welches mittlerweile von Wissenschaftlern und Microsoft-Mitarbeitern entwickelte wurde, soll auf dem IEEE Symposium on Security and Privacy im Mai 2006 präsentiert werden. Eine Beschreibung wurde jedoch bereits veröffentlicht.

Siehe auch: Dropper, Malware

Positive Anwendung von Rootkits

Rootkits haben durchaus auch Anwendungszwecke die nicht zum Kompromittieren eines Systems dienen, sondern dieses sogar schützen können. Rootkits eröffnen die Möglichkeit, in grundlegende Systemfunktionalität einzugreifen und diese in fast beliebiger Weise zu verändern oder zu ergänzen. So könnte es z. B. möglich sein, die Eintragung eines Programmes in eine Autostartrampe, die unbemerkte Installation eines "bösen" Rootkits oder das Kopieren des Bildschirminhalts von vorne herein abzuwehren.

Weblinks

www.antirootkit.com "Antirootkit Software"
heise Security-Artikel "Windows Rootkits 2005, Teil 1"
c't-Artikel „Kostenloser Spürhund, RootkitRevealer spürt Hintertüren auf“ zu Rootkits unter Windows XP (siehe auch ^*)
Datenbank-Rootkits von Alexander Kornbrust
http://research.microsoft.com/rootkit/
RootkitRevealer von Sysinternals.com Hilft verdächtige Hinweise auf Rootkits unter Windows XP zu finden (en)
RootKit Hook Analyzer Analysiert die Adressen der Systemdienste des Windows-Kernels
chkrootkit Erkennt Rootkits unter Linux und anderen UNIX-Derivaten (en)
Rootkit Hunter Erkennt Rootkits unter Linux und BSD (en)
Rootkit.com Umfangreiches Rootkit-Archiv und Programmierbeispiele (en)
SonyBMGs digitaler Hausfriedensbruch – Ein Review der Ereignisse
Studie: Rootkits nehmen dramatisch zu

Computerviren und -würmer | IT-Sicherheit

Gourt Home::Gourt :: Rootkit