Rootkit Erklärung + Effektiver Schutz und Erkennung (2024)

Rootkit einfach erklärt - Hacking Series Steffen Lippke

Was ist ein Rootkit?

Dieser Guide soll Licht in das Dunkle geben …

…, weil sich Rootkits in den dunklen Ecken des Computers verstecken.

+ Tipps für eine effektive Rootkit Prävention!

Beginnen wir!

Definition Rootkit

Ein Rootkit ist eine Malware, die sich auf einen Computer verstecken kann, ohne dass eine Antivirus-Software die Malware entdecken kann. Die Malware ist tief im Betriebssystem verwurzelt, sodass eine einfache Erkennung nur über Umwege möglich ist.

Der Computer führt Rootkits mit erhöhten Rechten auf dem Computer. Mit dem Plus an Berechtigungen kann das Rootkit die vollständige Kontrolle über einen Computer übernehmen, ohne dass der Nutzer etwas davon mitbekommt.

Mittel zum Zweck: (Hinter-)Türen offenhalten

Ein Rootkit ist meistens kein Schadprogramm im eigentlichen Sinn, sondern hilft anderer Malware sich vor dem Antivirus Programme zu verstecken. Sie verdecken die Aktivitäten der anderen Malware, um Schaden anzurichten z. B.

  • … befähigt einen Keylogger die Passwörter des Nutzers aufzunehmen. Der Hacker kann sich jetzt in alle Accounts des Opfers einloggen
  • … ermöglicht der Ransomware über mehrere Tage hinweg die gesamte Festplatte zu verschlüsseln. Am Ende der Verschlüsselung fordert die Malware den Nutzer auf einen Betrag X zu zahlen.
  • … gibt einem Kryptominer die notwendigen Ressourcen, um Bitcoins zu schürfen.
  • …ermöglicht einen geplanten Denial of Service Angriffe. Die Hacker verteilen eine Rootkit auf möglichst vielen verschiedenen Computer unbemerkt. Sobald der Hacker 10.000 Computer komplementieren konnten, sendet er an alle diese Rechner einen Befehlt, dass diese ein Ziel mit sinnlosen Anfragen überschütten sollen, bis das Ziel wegen Überlastung ausfällt

Rootkits in der Vergangenheit + Auswirkungen

Der Erfinder von dem Programm RootkitRevealer (Mark Russinovich) hat ein Rootkit zufällig auf seinen Computer entdeckt. Das Rootkit stammt von einem Sony-Musik-Player. Mit diesem Fund löste Mark einen Skandal in 2005 aus.

00 Sony Rootkit
00 Sony Rootkit

Der Konzern wollte neben einen Kopierschutz, die Hörgewohnheiten ausspionieren und für eigene Zwecke nutzen. Die CD war nicht kopierbar, weil das Rootkit den Kopiervorgang bei einer Sony-CD immer unterbunden hat.

Rootkit-Grundlage: Berechtigungen im Computer

Ein Rootkit nutzt das Berechtigungskonzept von Windows aus. Sie versuchen die höchsten Rechte in einem Betriebssystem zu erhalten, um den Computer zu kontrollieren.

Nutzertypen

Windows stellt zwei Nutzertypen zu Verfügung:

03 Account Typen Standard- Rootkit Hacking Series Steffen Lippke
03 Account Typen Standard
  • Windows-Nutzer: Dieser Nutzertyp kann seine persönlichen Dateien lesen und schreiben. Der Nutzer kann (portable) Anwendungen installieren, die keinen Schaden anrichten können z. B. Browser, Text-Editor usw.
  • Windows-Admins: Dieser Nutzertyp hat die höchsten Berechtigungen. Dieser kann auf Dateien zugreifen und jegliche Programme installieren. (andere Namen: SuperAdmin, Root, Superuser)
02 Admin Rechte
02 Admin Rechte

Anwendungen

Windows berechtigt nicht nur die Nutzer, sondern verwaltet auch die Berechtigung der Programme. Das Betriebssystem unterteilt die Berechtigungen der Programme in 3 Ringe und den Kern (Ring 0):

01 Ringe im Betreibssytem- Rootkit Hacking Series Steffen Lippke
  • Ring 3: Jedes normale nicht privilegierte Programm hat diese Berechtigung (fast alle Programme).
  • Ring 2: Nur privilegierte Programme haben einen Lese- und Schreibzugriff
  • Ring 1: Ring 1 Berechtigungen haben spezielle Emulationsprogramme wie eine virtuelle Maschine (Hypervisor).
  • Ring 0: Der letzte Ring hat die meisten Berechtigungen. Programme mit Ring-0-Berechtigungen sind ein Teil des Betriebssystems oder ein Treiber von z. B. einer Tastatur aus.

Eigenes Rootkit programmieren … leichter als gedacht

Wie kann ich ein Rootkit programmieren? Rootkits kannst Du mit C / C++ programmieren. Zusätzlich brauchst Du für das funktionierende Rootkit Erfahrung üer

  • Exploit-Suche z. B. geleakten Code auf Schwachstellen untersuchen.
  • Exploit-Programmierung (Wie kann ich die Schwachstelle ausnutzen)
  • Windows interne Prozesse z. B. Dienste / Service / Hintergrundprozesse

Du versuchst z. B. einen Treiber für eine Tastatur zu schreiben, welche Du am Ende mit einem gestohlenen oder unabsichtlich veröffentlichten Zertifikat signierst (z. B. von Microsoft).

Erkennung von Rootkits (infizierter Rechner)

Der Sinn und Zweck eines Rootkits ist, dass diese unentdeckt bleiben. Computer Spezialisten könnten Rootkits anhand verschiedener Hinweise erkennen:

05 Netzwerk Verkehr kann Hinweise geben- Rootkit Hacking Series Steffen Lippke
05 Netzwerk Verkehr kann Hinweise geben
  • Der Computer verhält sich ungewöhnlich: Terminal Fenster erscheinen kurze Zeit auf dem Desktop oder der Computer läuft langsamer als sonst.
  • Netzwerk-Verkehr: Der Router erhält TCP/IP-Anfragen von dem Computer, ohne dass der Nutzer eine Quelle findet z. B. ein Windows Update Prozess, ein laufendes Video, ein Download …
  • Unbekannte Hintergrundprozesse: Das Rootkit selbst siehst Du nicht in dem Task Manager – aber das Rootkit kann Prozesse mit Administrator-Rechten starten. Diese können den eigentlichen Schaden wie z. B. Dateien löschen oder verschlüsseln anrichten.
  • Live-CD-Antivirus: Das Betriebssystem ist blind für seine eigenen Rootkits – aber eine Live CD / USB-Stick nicht! Ein zweites Betriebssystem kann die komplette Festplatte nach Rootkits durchsuchen, wofür das Betriebssystem nicht in der Lage ist.

Effektive Prävention vor Rootkits (Schutz)

Weil Rootkits so schwer zu erkennen sind, solltest Du die folgenden Tipps beachten, damit Du nicht unabsichtlich eine Rootkit auf Deinen Computer lädst.

Downloads

Du downloadest eine Software, die im ersten Moment harmlos aussieht und funktioniert. Bei der Installation hast Du nicht nur die „gute“ Software, sondern auf das Rootkit installiert. Achte darauf, was du herunterlädst und bevorzuge Open Source Software, weil diese seltener mit Rootkit kommt.

Bloatware

Manche Hersteller spielen von Beginn an auf den Computer ein Rootkit ein, weil die zuständigen Behörden das Rootkit wollen (NSA). Informiere Dich vor dem Kauf eines Geräts, ob in der Vergangenheit der Hersteller mit solchen Fällen belastet ist.

Anhänge in E-Mails

Du bist unachtsam und öffnest einen Anhang einer E-Mail. Das Word-Makro lädt das Rootkit auf Deinen Rechner herunter und installiert sich. Öffne keine Anhänge von Personen, die Du nicht kennst oder von den Du keinen Anhang erwartest.

Plug-and-Play Geräte

06 Plug and Pray
06 Plug and Pray

Windows bieten eine Funktion zur bequemen Nutzung von Medien – Plug-and-play. Du legst eine CD in Deinen Computer ein und Windows führt automatisch eine festgelegte primäre Aktion aus.

  • Musik abspielen
  • Film starten
  • Ordner öffnen
  • …oder ein Rootkit installieren.

Stecke keine USB-Sticks in Deinen Rechner, solange Du nicht 100 % den Ursprung kennst

Admin Account – nicht als Standard

Viele Windows Nutzer nutzen tagtäglich einen Admin-Account, obwohl das für die meisten Arbeiten wie…

  • Mails schreiben
  • Office nutzen
  • Multimedia konsumieren

…nicht notwendig ist. Verwende den Windows Nutzer Account für die tägliche Arbeit.

03 Account Typen Standard- Hacking Series Steffen Lippke
03 Account Typen Standard

Updateprozesse von Herstellern

Selbst über Updateprozesse von legitimierten Herstellern können sich Rootkits einschleichen, wenn diese kompromittieren wurden.

v
07 Rootkit mit Update

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


Jeden Monat teile ich mit Mitgliedern
4 neue praxisnahe Tutorials (je 1000+ Wörter).

Trage Deine Mail, damit Du
Deine Coding + Hacking Skills erweitern kannst!

Die Webseite nutzt nur technisch notwendige Cookies.