Rootkits gibt es schon seit fast 20 Jahren, sodass Angreifer auf die Computer der Benutzer zugreifen und diese stehlen können, ohne für längere Zeit erkannt zu werden. Der Begriff wird lose auf eine Teilmenge von Malware-Tools angewendet, die speziell entwickelt wurden, um auf infizierten Computern verborgen zu bleiben und dem Angreifer die Fernsteuerung des PCS zu ermöglichen. Um Benutzern zu helfen, zu verstehen, was ein Rootkit ist und wie man arbeitet, haben wir einen Erklärer für diese Art von Malware zusammengestellt und was zu tun ist, wenn man Ihren Computer infiziert.,
Rootkit Definition
Rootkit ist ein Begriff, der auf eine Art von Malware angewendet wird, die einen Ziel-PC infiziert und es einem Angreifer ermöglicht, eine Reihe von Tools zu installieren, die ihm dauerhaften Fernzugriff auf den Computer gewähren. Die Malware wird in der Regel tief im Betriebssystem versteckt und soll der Erkennung durch Anti-Malware-Anwendungen und andere Sicherheitstools entgehen., Das Rootkit kann eine beliebige Anzahl bösartiger Tools enthalten, z. B. einen Tastenanschlaglogger, einen Kennwortdiebstahl, ein Modul zum Stehlen von Kreditkarten-oder Online-Banking-Informationen, einen Bot für DDoS-Angriffe oder Funktionen, mit denen Sicherheitssoftware deaktiviert werden kann. Rootkits fungieren normalerweise als Hintertür, die dem Angreifer die Möglichkeit gibt, eine Remote-Verbindung zum infizierten Computer herzustellen, wann immer er bestimmte Komponenten entfernt oder installiert. Einige Beispiele für Windows-basierte Rootkits, die heute aktiv verwendet werden, sind TDSS, ZeroAccess, Alureon und Necurs.,
Rootkit-Varianten
Die beiden Haupttypen von Rootkits sind Rootkits im Benutzermodus und Rootkits im Kernelmodus. Benutzermodus-Rootkits sind so konzipiert, dass sie im selben Teil des Betriebssystems des Computers wie Anwendungen ausgeführt werden. Sie führen ihr böswilliges Verhalten aus, indem sie Anwendungsprozesse entführen, die auf dem Computer ausgeführt werden, oder indem sie den von einer Anwendung verwendeten Speicher überschreiben. Dies ist die häufigste der beiden Typen. Kernel-Modus Rootkits laufen auf der untersten Ebene des PC-Betriebssystems und geben dem Angreifer die mächtigsten Berechtigungen auf dem Computer., Nach der Installation eines Kernel-Mode-Rootkits hätte der Angreifer die vollständige Kontrolle über den kompromittierten Computer und hätte die Möglichkeit, Maßnahmen zu ergreifen, die er gewählt hat. Kernel-mode-rootkits sind in der Regel komplexer als user-mode-rootkits und deshalb seltener. Diese Art von Rootkit ist auch schwieriger zu erkennen und zu entfernen.
Es gibt auch einige weniger verbreitete Rootkit-Varianten, z. B. Bootkits, mit denen der Bootloader des Computers geändert werden soll, die Low-Level-Software, die vor dem Laden des Betriebssystems ausgeführt wird. In den letzten Jahren ist eine neue Klasse mobiler Rootkits entstanden, um Smartphones, insbesondere Android-Geräte, anzugreifen. Diese Rootkits sind häufig mit einer bösartigen Anwendung verbunden, die aus einem App Store oder Forum eines Drittanbieters heruntergeladen wurde.,
Infektionsmethode
Rootkits werden mit einer Vielzahl von Methoden installiert, der häufigste Infektionsvektor ist jedoch die Verwendung einer Sicherheitsanfälligkeit im Betriebssystem oder einer Anwendung, die auf dem Computer ausgeführt wird. Angreifer zielen auf bekannte und unbekannte Sicherheitslücken im Betriebssystem und in den Anwendungen ab und verwenden Exploit-Code, um eine privilegierte Position auf dem Zielcomputer zu erhalten. Anschließend installieren sie das Rootkit und richten Komponenten ein, die den Fernzugriff auf den Computer ermöglichen. Der Exploit-Code für eine bestimmte Sicherheitsanfälligkeit kann auf einer legitimen Website gehostet werden, die kompromittiert wurde., Ein weiterer Infektionsvektor ist über infizierte USB-Laufwerke. Angreifer können USB-Laufwerke mit Rootkits auf ihnen an Orten versteckt lassen, wo sie wahrscheinlich von Opfern gefunden und abgeholt werden, wie Bürogebäude, Cafés und Konferenzzentren. In einigen Fällen kann die Rootkit-Installation immer noch auf Sicherheitslücken beruhen, in anderen Fällen kann die Malware jedoch als Teil einer scheinbar legitimen Anwendung oder Datei auf dem USB-Laufwerk installiert werden.,
Entfernung
Das Erkennen des Vorhandenseins eines Rootkits auf einem Computer kann schwierig sein, da diese Art von Malware so konzipiert ist, dass sie verborgen bleibt und ihre Geschäfte im Hintergrund abwickelt. Es gibt Dienstprogramme, mit denen bekannte und unbekannte Arten von Rootkits mithilfe verschiedener Methoden gesucht werden können, einschließlich der Verwendung von Signaturen oder eines Verhaltensansatzes, der versucht, ein Rootkit durch die Suche nach bekannten Verhaltensmustern zu erkennen. Das Entfernen eines Rootkits ist ein komplexer Prozess und erfordert in der Regel die Verwendung spezieller Tools, z. B. des Dienstprogramms TDSSKiller von Kaspersky Lab, mit dem das TDSS-Rootkit erkannt und entfernt werden kann., In einigen Fällen muss das Opfer möglicherweise das Betriebssystem neu installieren, wenn der Computer zu beschädigt ist.