Root kit

Root kit

Ein Rootkit (englisch etwa: „Administratorenbausatz“; root ist unter unixoiden und unixähnlichen Betriebssystemen der Benutzer mit Administratorrechten) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen und Prozesse und Dateien zu verstecken.

Der Begriff ist heute nicht mehr allein auf unixbasierte Betriebssysteme beschränkt, da es längst auch Rootkits für Nicht-Unix-Systeme gibt. Antivirensoftware versucht, die Ursache der Kompromittierung zu entdecken. Zweck eines Rootkits ist es, Malware vor den Antivirenprogrammen und dem Benutzer zu verbergen (zu tarnen).

Eine weitere Sammlung von Softwarewerkzeugen oder Bootloadern ist das so genannte Bootkit.

Inhaltsverzeichnis

Geschichte

Die ersten Sammlungen von Unix-Tools zu oben genannten Zwecken bestanden aus modifizierten Versionen der Programme ps, passwd usw., die dann jede Spur des Angreifers, die sie normalerweise hinterlassen würden, verbergen und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministrators root zu agieren, ohne dass der rechtmäßige Administrator dies bemerken konnte.

Backdoor-Funktionalitäten

Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen. Hinzu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindungsanfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend.

Technische Umsetzung

Das Merkmal eines Rootkits ist es, dass es sich ohne Wissen des Administrators installiert und dem Angreifer die Basis zum Installieren von z. B. Viren oder die Möglichkeit zu DDoS („Distributed Denial of Service“, engl. soviel wie verteilte Diensteblockade) bietet. Rootkits können neue Hintertüren („backdoors“) öffnen. Zudem versuchen Rootkits den Weg ihres Einschleusens zu verschleiern, damit sie nicht von anderen entfernt werden.

Application-Rootkits

Application-Rootkits bestehen lediglich aus modifizierten Systemprogrammen. Aufgrund der trivialen Möglichkeiten zur Erkennung dieser Art von Rootkits finden sie heute kaum noch Verwendung.

Heutzutage finden sich fast ausschließlich Rootkits der folgenden drei Typen:

Kernel-Rootkits

Kernel-Rootkits ersetzen Teile des Betriebssystemkerns durch eigenen Code, um sich selbst zu tarnen („stealth“) und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen („remote access“), die nur im Kontext des Kernels („ring-0“) ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen auch ohne LKM aus, da sie den Kernelspeicher direkt manipulieren. Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer .sys-Treiber realisiert.

Ein solcher Treiber kann Funktionsaufrufe von Programmen abfangen, die beispielsweise Dateien auflisten oder laufende Prozesse anzeigen. Auf diese Weise versteckt das Rootkit seine eigene Anwesenheit auf einem Computer.

Userland-Rootkits

Userland-Rootkits sind vor allem unter Windows populär, da sie keinen Zugriff auf der Kernel-Ebene benötigen. Sie stellen jeweils eine DLL bereit, die sich anhand verschiedener API-Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle Prozesse einklinkt. Ist diese DLL einmal im System geladen, modifiziert sie ausgewählte API-Funktionen und leitet deren Ausführung auf sich selbst um („redirect“). Dadurch gelangt das Rootkit gezielt an Informationen, welche dann gefiltert oder modifiziert werden können.

Speicher-Rootkits

Speicher-Rootkits existieren nur im Arbeitsspeicher des laufenden Systems. Nach dem Neustart („rebooten“) des Systems sind diese Rootkits nicht mehr vorhanden.

Prominente Rootkits der letzten Jahre

  • Die Firma Sony BMG kam in die Schlagzeilen und musste diverse Musik-CDs zurückrufen, nachdem bekannt wurde, dass sich der von Sony eingesetzte Kopierschutz XCP („Extended Copy Protection“) für Musik-CDs mit Methoden eines Rootkits in Windows-Systemen einnistete. Obwohl selbst kein Virus bzw. Trojaner, eröffnet allein dessen Existenz weiterer „Malware“ Tür und Tor.[1]
  • Zwischenzeitlich gab es auch einen USB-Stick mit Fingerabdruckleser[2] von Sony, dessen Software zur vollen Funktionsfähigkeit ein Rootkit im Windows-Verzeichnis versteckte. Allerdings wurde einer Pressemitteilung von Sony zufolge die Produktion und der Vertrieb dieses USB-Sticks Ende August 2007 wieder eingestellt.[3]
  • Die Firma Kinowelt verkauft derzeit in Deutschland DVDs mit einem von Settec entwickelten Kopierschutz, der unter Windows ebenfalls ein Userland-Rootkit zum Verstecken von Prozessen installiert.
  • Forscher der University of Michigan haben eine Variante entwickelt, virtuelle Maschinen als Rootkits („Virtual Machine Based Rootkits“) zu verwenden. Die Arbeit an diesem Projekt mit Namen SubVirt wurde unter anderem von Microsoft und Intel unterstützt. Das Rootkit, das mittlerweile von Wissenschaftlern und Microsoft-Mitarbeitern entwickelt wurde, sollte auf dem IEEE Symposium on Security and Privacy“ im Mai 2006 präsentiert werden.
  • Auf der Konferenz Black Hat im Januar 2006 wurde ein möglicher Rootkit-Typ vorgestellt, der selbst eine Reinstallation des Betriebssystems oder ein Neuformatieren der Festplatte überlebt, indem er das ACPI („Advanced Configuration and Power Interface“) manipuliert oder sich im PC-BIOS festsetzt.
  • Die Firma EA hat in ihrem im September 2008 veröffentlichten Spieletitel Spore im DRM-Paket des Programms ein Rootkit zur Anwendung gebracht, die dem Zweck dient, den Kopierschutz mit Online-Authentifizierung vor dem Benutzer zu verbergen. Darüber ist eine bis jetzt noch kontroverse Diskussion entstanden.[4]

Positive Aspekte von Rootkits

Kontrovers diskutiert werden mögliche positive Aspekte von Rootkits. So könnten Programme mit Rootkit-Aspekten mit dem Ziel eingesetzt werden, ein System zu schützen anstatt es zu kompromittieren.

Entfernung von Rootkits

Da eine hundertprozentige Erkennung von Rootkits unmöglich ist, ist die beste Methode zur Entfernung die komplette Neuinstallation. Jedoch gibt es für viele Standard-Rootkits, z.B. das Sony Rootkit, bereits Programme zur Erkennung und Entfernung.

Siehe auch

Weblinks

Einzelnachweise

  1. www.heise.de/newsticker/Sony-BMGs-Kopierschutz-mit-Rootkit-Funktionen--/meldung/65602 Heise Verlag
  2. Golem.de „Sonys USB-Sticks mit Rootkit-Funktion“
  3. GameStar.de „Sony: Produktion der USB-Sticks mit Rootkit wieder eingestellt“
  4. heise.de Spore: Ärger über Kopierschutz

Wikimedia Foundation.

Игры ⚽ Нужен реферат?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Kit (association football) — A kit (also known as a strip or uniform ) is the standard equipment and attire worn by players in association football. The sport s Laws of the Game specify the minimum kit which a player must use, and also prohibit the use of anything that is… …   Wikipedia

  • Jim Root — Infobox Musical artist Name = James Root Img capt = Jim Root performing in Slipknot at the Mayhem Festival in 2008 Background = non vocal instrumentalist Birth name = James D. Root [http://www.zabasearch.com/query1 zaba.php?sname=JAMES%20ROOT… …   Wikipedia

  • Satellite Tool Kit — Infobox Software | name = STK caption = STK 8.0 being used to plan a lunar lagrange orbit. developer = Analytical Graphics, Inc. latest release version = 8.1.3 latest release date = March 13, 2008 operating system = Windows, Unix genre =… …   Wikipedia

  • rootkit — rootˈkit noun (computing) Software embedded within an operating system that performs operations without informing the user • • • Main Entry: ↑root …   Useful english dictionary

  • Rootkit — A rootkit is software that enables continued privileged access to a computer while actively hiding its presence from administrators by subverting standard operating system functionality or other applications. The term rootkit is a concatenation… …   Wikipedia

  • Linux malware — includes viruses, trojans, worms and other types of malware that affect the Linux operating system. Linux, Unix and other Unix like computer operating systems are generally regarded as very well protected, but not immune, from computer viruses.… …   Wikipedia

  • Extended Copy Protection — XCP redirects here. For other uses, see XCP (disambiguation). Extended Copy Protection (XCP) is a software package developed by the British company First 4 Internet, (which on 20 November 2006, changed its name to Fortium Technologies Ltd see… …   Wikipedia

  • Rootkit — (руткит, от англ. root kit, то есть «набор root а»)  программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином… …   Википедия

  • Sony BMG — Music Entertainment Former type Joint venture Industry Music Entertainment Fate Sony buys …   Wikipedia

  • CD/DVD copy protection — is a blanket term for various methods of copy protection for CDs and DVDs. Such methods include DRM, CD checks, Dummy Files, illegal tables of contents, over sizing or over burning the CD, physical errors, and bad sectors. Many protection schemes …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”