Was ist ein Rootkit?

17. Juni 2024

Rootkits sind eine Art Schadsoftware, die darauf ausgelegt ist, unbefugten Zugriff auf ein Computersystem zu erlangen und die Kontrolle darüber zu behalten, während ihre Präsenz vor dem Benutzer und der Sicherheitssoftware verborgen bleibt. Wird häufig verwendet von Cyber-Kriminelle Um vertrauliche Informationen zu stehlen, manipulieren Rootkits die Betriebssystem um eine Erkennung und Entfernung zu vermeiden.

Was ist Rootkit?

Was ist ein Rootkit?

Ein Rootkit ist eine Form von Schadsoftware, die es unbefugten Benutzern ermöglicht, unbemerkt die Kontrolle über ein Computersystem zu erlangen. Dies erreicht es, indem es sich tief im Betriebssystem einnistet, oft an der Kern Ebene und Ändern der Systemfunktionen, um seine Präsenz zu verbergen.

Rootkits können Standardsystemaufrufe abfangen und verändern, sodass ihre bösartigen Aktivitäten sowohl für Benutzer als auch für herkömmliche Sicherheitsmaßnahmen unsichtbar sind. Angreifer nutzen sie normalerweise, um langfristigen Zugriff auf ein kompromittiertes System zu erhalten, was ihnen ermöglicht, Befehle aus der Ferne auszuführen, Daten zu stehlen, Benutzeraktivitäten zu überwachen und zusätzliche Malware. Aufgrund ihrer Komplexität und Heimlichkeit sind Rootkits besonders schwer zu erkennen und zu entfernen. Deshalb stellen sie eine ernste Bedrohung für die Sicherheit und Integrität der betroffenen Systeme dar.

Arten von Rootkits

Rootkits können je nach Funktionsweise und Ausmaß der Systemgefährdung in verschiedene Typen eingeteilt werden:

  • Rootkits auf Kernelebene. Diese Rootkits zielen auf den Kern des Betriebssystems, den sogenannten Kernel. Indem sie auf dieser tiefen Ebene agieren, fangen sie Systemaufrufe ab und verändern sie, was ihre Erkennung und Entfernung extrem schwierig macht. Sie verfügen über die höchsten Privilegien und Kontrolle über das System.
  • Benutzermodus-RootkitsDiese Rootkits operieren auf Benutzerebene, d.h. sie infizieren Anwendungen und Prozesse, die mit normalen Benutzerrechten ausgeführt werden. Obwohl sie im Vergleich zu Rootkits auf Kernelebene leichter zu erkennen und zu entfernen sind, können sie dennoch erheblichen Schaden anrichten, indem sie System APIs und Ändern des Anwendungsverhaltens.
  • BootkitsBootkits sind eine Untergruppe der Rootkits auf Kernel-Ebene und zielen auf Stiefel Sektor oder Master Boot Record (MBR) der Festplatte. Sie werden geladen, bevor das Betriebssystem startet, und können so der Erkennung durch herkömmliche Antivirensoftware entgehen, die auf Betriebssystemebene ausgeführt wird. Bootkits können Systemneustarts und sogar einige Neuinstallationen des Betriebssystems überstehen.
  • Speicherbasierte Rootkits. Diese Rootkits befinden sich im RAM des Systems und schreiben keine Dateien auf die Festplatte. Sie sind so konzipiert, dass sie beim Neustart verschwinden. Sie sind daher zwar flüchtig, aber mit herkömmlichen dateibasierten Antivirenlösungen schwerer zu erkennen.
  • Firmware-Rootkits. Diese Rootkits infizieren die Firmware of Hardware Komponenten wie die BIOS oder Netzwerkkarten. Da die Firmware vor dem Betriebssystem läuft, können diese Rootkits das System auf einer sehr niedrigen Ebene steuern und sind schwer zu entfernen. Oft ist ein Hardwareaustausch oder Spezialwerkzeuge erforderlich.
  • Hypervisor-Rootkits (virtualisierte Rootkits). Diese Rootkits erstellen eine virtualisierte Umgebung und führen das ursprüngliche Betriebssystem als Gast aus. Durch die Kontrolle der Hypervisor, sie können Hardwareaufrufe des Gastbetriebssystems abfangen, sodass ihre Aktivitäten für das Betriebssystem und die meisten Sicherheitsprogramme nahezu unsichtbar sind.
  • Anwendungs-Rootkits. Diese Rootkits ersetzen Standard-Anwendungsbinärdateien durch bösartige Versionen oder modifizieren vorhandene Binärdateien, um Backdoors. Sie können häufig verwendete Anwendungen kapern, um ihre bösartigen Aktivitäten auszuführen, oft ohne Verdacht zu erregen.

Rootkit-Beispiele

Rootkits gibt es in verschiedenen Formen und wurden bei zahlreichen spektakulären Cyberangriffen eingesetzt. Hier sind einige bemerkenswerte Beispiele für Rootkits, die erhebliche Auswirkungen auf Verbraucher- und Unternehmenssysteme hatten.

HackerDefender

HackerDefender ist ein bekanntes und weit verbreitetes Windows-Rootkit, das Systemaufrufe abfängt und Dateien, Prozesse und Registrierungseinträge verbirgt. Es bietet dem Angreifer Fernzugriff, sodass er das angegriffene System steuern und bösartige Aktivitäten ausführen kann, ohne entdeckt zu werden.

Necurs

Necurs ist ein hoch entwickeltes Rootkit, das in erster Linie zur Verbreitung anderer Schadsoftware verwendet wird, wie zum Beispiel Ransomware und Bankwesen Trojaner. Es nistet sich in den Kernel ein und ist daher schwer zu erkennen und zu entfernen. Necurs enthält außerdem Funktionen zum Deaktivieren von Antivirensoftware und anderen Sicherheitsmaßnahmen.

Stuxnet

Stuxnet ist ein hochentwickeltes Rootkit, das auf industrielle Kontrollsysteme abzielt, insbesondere auf solche, die in Atomanlagen im Iran verwendet werden. Es nutzte mehrere Zero-Day-Schwachstellen aus, um in die Operationen seiner Ziele einzudringen und diese zu manipulieren. Die Rootkit-Komponente von Stuxnet wurde verwendet, um seine Präsenz zu verbergen und die kontinuierliche Ausführung seiner schädlichen Nutzlast sicherzustellen.

Alureon (TDL-4)

Alureon, auch bekannt als TDL-4, ist ein Rootkit, das vertrauliche Informationen wie Anmeldeinformationen und Finanzdaten stehlen soll. Es infiziert den Master Boot Record (MBR) der Festplatte, sodass es vor dem Betriebssystem geladen werden kann und nicht von Antivirenprogrammen erkannt wird. Alureon ist für seine Widerstandsfähigkeit und seine Fähigkeit bekannt, sich selbst zu aktualisieren, um eine Entfernung zu vermeiden.

ZeroAccess

ZeroAccess ist ein Rootkit, das eine versteckte Dateisystem auf dem infizierten Computer, wodurch dieser zusätzliche Malware-Komponenten speichern und ausführen kann. Es wird häufig für Klickbetrug, Bitcoin-Mining und andere illegale Aktivitäten verwendet. ZeroAccess ist dafür bekannt, dass es Sicherheitssoftware deaktivieren und sich schnell in Netzwerken verbreiten kann.

Sony BMG Rootkit

Das Sony BMG Rootkit wurde von Sony auf Musik-CDs integriert, um Digital Rights Management (DRM). Es installierte sich ohne Wissen der Benutzer auf deren Computern und verbarg seine Präsenz, um eine Entfernung zu verhindern. Dieses Rootkit löste aufgrund seiner invasiven Natur und der dadurch verursachten Sicherheitslücken erhebliche öffentliche Reaktionen aus.

Wie funktioniert ein Rootkit?

Rootkits nisten sich tief im Betriebssystem eines Computers ein, um privilegierten Zugriff zu erhalten und aufrechtzuerhalten, während sie ihre Präsenz vor Benutzern und Sicherheitssoftware verbergen. Hier ist eine schrittweise Übersicht über die Funktionsweise eines Rootkits:

  1. Zugang bekommen. Angreifer müssen sich zunächst Zugang zum Zielsystem verschaffen. Dies kann durch verschiedene Methoden geschehen, beispielsweise durch Ausnutzen von Schwachstellen, Phishing-Attackenoder andere Schadsoftware zum Übertragen des Rootkits nutzen.
  2. Rechteerweiterung. Sobald das Rootkit im System ist, erweitert es seine Privilegien, um administrative oder Root-Level-Zugriff. Dadurch kann der Schädling Änderungen an kritischen Systemkomponenten vornehmen und unentdeckt bleiben.
  3. Sich selbst einbetten. Das Rootkit installiert sich selbst, indem es Code in die Kernkomponenten des Betriebssystems einbettet, beispielsweise in den Kernel, die Treiber oder die Firmware. Durch diese tiefe Integration kann es Systemfunktionen abfangen und manipulieren.
  4. Seine Anwesenheit verbergen. Rootkits verändern das Systemverhalten, um ihre Präsenz zu verbergen. Sie fangen Systemaufrufe ab, verbergen Dateien, Prozesse, Registrierungseinträge und Netzwerkverbindungen und sind damit für Standardüberwachungstools und Antivirensoftware unsichtbar.
  5. Die Kontrolle behalten. Das Rootkit erstellt eine Hintertür, die es dem Angreifer ermöglicht, die Kontrolle über das System zu behalten. Über diese Hintertür können Befehle ausgeführt, Daten gestohlen oder zusätzliche Malware installiert werden.
  6. Ausweichtechniken. Um nicht entdeckt zu werden, verwenden Rootkits verschiedene Verschleierungstechniken. Dazu gehören das Deaktivieren von Sicherheitssoftware, das Verbergen von Kommunikationen durch Verschlüsselung und der Einsatz von Techniken wie Polymorphismus und Code-Verschleierung, um ihr Erscheinungsbild zu verändern.
  7. Dauerbetrieb. Rootkits sind darauf ausgelegt, über längere Zeiträume aktiv zu bleiben. Sie führen kontinuierlich bösartige Aktivitäten aus, beispielsweise Datendiebstahl, Spionage oder Angriffe, und bleiben dabei vor dem Benutzer und den Sicherheitsvorkehrungen verborgen.

Wie erkennt man ein Rootkit?

Das Erkennen eines Rootkits kann schwierig sein, da es sich im Betriebssystem verstecken kann. Es gibt jedoch mehrere Methoden und Tools, mit denen sich das Vorhandensein eines Rootkits feststellen lässt:

  • Verhaltensanalyse. Die Überwachung ungewöhnlichen Systemverhaltens kann Hinweise auf eine Rootkit-Infektion liefern. Zu ungewöhnlichem Verhalten zählen unerwartete Systemverlangsamungen, häufige Abstürze oder ungewöhnliche Netzwerkaktivität.
  • Signaturbasierte Erkennung. Antiviren- und Anti-Malware-Programme verwenden Signatur Datenbanken um bekannte Rootkits zu identifizieren. Regelmäßige Updates dieser Programme helfen dabei, bereits identifizierte Rootkits zu erkennen.
  • Heuristische Analyse. Bei der heuristischen Analyse werden Systemprozesse, Dateien und Registrierungseinträge auf verdächtiges Verhalten oder Anomalien geprüft, die vom normalen Muster abweichen.
  • Integritätsprüfung. Tools wie Tripwire werden verwendet, um den aktuellen Zustand von Systemdateien und -konfigurationen mit einer bekannten guten Basis zu vergleichen. Jede nicht autorisierte Änderung kann auf die Anwesenheit eines Rootkits hinweisen.
  • Speicherauszugsanalyse. Durch die Analyse eines Speicherauszugs können Rootkits identifiziert werden, die sich im Systemspeicher befinden. Tools wie Volatility führen Speicherforensik durch, um versteckte Prozesse und Module aufzudecken.
  • Scannen beim Systemstart. Durch das Ausführen von Scans während des Systemstarts können Rootkits erkannt werden, die sich während des normalen Betriebs verbergen. Tools wie Windows Defender Offline oder andere bootfähige Antivirentools können verwendet werden.
  • Tools zur Rootkit-Erkennung. Spezialisierte Rootkit-Erkennungstools wie GMER, RootkitRevealer und chkrootkit (für Linux) dienen dazu, versteckte Rootkits durch Scannen des Systemspeichers, von Dateien und Registrierungseinträgen zu identifizieren.
  • Überprüfung des Kernelmoduls. On UNIX-ähnliche Systeme können Befehle wie lsmod geladene Kernelmodule auflisten. Alle unbekannten oder verdächtigen Module sollten genauer untersucht werden.
  • Dateisystemanalyse. Tools, die das Dateisystem auf niedriger Ebene analysieren, können versteckte Dateien und Verzeichnisse erkennen. Techniken wie der Cross-View-Vergleich, bei dem unterschiedliche Methoden zum Auflisten von Dateien und Erkennen von Abweichungen verwendet werden, können effektiv sein.
  • Überwachung des Netzwerkverkehrs. Überwachung des Netzwerkverkehrs auf ungewöhnliche Muster oder Verbindungen zu bekannten Schadprogrammen IP-Adressen helfen, Rootkit-bezogene Aktivitäten zu identifizieren. Tools wie Wireshark sind für diesen Zweck nützlich.

Ist es schwer, ein Rootkit zu erkennen?

Das Erkennen eines Rootkits ist aus mehreren Gründen bekanntermaßen schwierig:

  • Stealth-Mechanismen. Rootkits sind darauf ausgelegt, ihre Präsenz zu verbergen, indem sie Systemaufrufe und APIs abfangen und ändern, sodass sie für Standardsicherheitstools nur schwer zu erkennen sind. Sie können Dateien, Prozesse und Registrierungseinträge verbergen, sodass ihre Aktivitäten für den Benutzer und die meisten Antivirenprogramme unsichtbar sind.
  • Tiefe Integration. Rootkits nisten sich oft tief im Betriebssystem ein, beispielsweise im Kernel oder in der Firmware. Durch diese tiefe Integration können sie zentrale Systemfunktionen manipulieren und der Erkennung durch die meisten herkömmlichen Scan-Techniken entgehen.
  • Ausweichtechniken. Rootkits verwenden verschiedene Ausweichtechniken, um der Erkennung zu entgehen. Dazu gehören Polymorphismus (Änderung des Codes, um die Signaturerkennung zu vermeiden), Verschlüsselung (Verbergen ihrer Kommunikation) und Deaktivieren von Sicherheitssoftware. Sie können auch Rootkit-spezifische Taktiken anwenden, wie das Verstecken im Master Boot Record (MBR) oder die direkte Kernelobjektmanipulation (DKOM).
  • Fehlende Symptome. Rootkits können unbemerkt agieren, ohne erkennbare Symptome zu verursachen. Benutzer bemerken daher nur schwer, dass ihr System gefährdet ist. Wenn Symptome auftreten, sind sie oft subtil und können mit normalen Systemproblemen verwechselt werden.
  • Erweiterte Funktionen. Viele Rootkits verfügen über erweiterte Funktionen, mit denen sie Sicherheitssoftware deaktivieren oder umgehen können, was die Erkennung noch schwieriger macht. Sie können sich auch selbst aktualisieren, um neuen Sicherheitsmaßnahmen entgegenzuwirken.
  • Diskrepanzen zwischen den Ansichten. Rootkits können zu Diskrepanzen zwischen den Angaben der Standard-Systemtools und dem tatsächlichen Systemzustand führen. Sie können beispielsweise Prozesse vor Taskmanagern oder Dateien vor Datei-Explorern verbergen, was zu einer inkonsistenten Ansicht des Systemzustands führt.
  • Bedarf an Spezialwerkzeugen. Zum Erkennen von Rootkits sind häufig spezielle Tools und Techniken erforderlich, die über die Standard-Antivirensoftware hinausgehen. Tools wie GMER, RootkitRevealer und Tools zur Speicherforensik können hilfreich sein, erfordern jedoch fortgeschrittene Kenntnisse, um sie effektiv nutzen zu können.

Wie kann man Rootkits verhindern?

Um Rootkits vorzubeugen, ist eine Kombination aus guten Sicherheitspraktiken, der Verwendung zuverlässiger Sicherheitssoftware und einer sorgfältigen Systemverwaltung erforderlich. Hier sind einige wichtige Strategien:

  • Halten Sie die Software auf dem neuesten Stand. Aktualisieren Sie Ihr Betriebssystem, Ihre Anwendungen und Ihre Sicherheitssoftware regelmäßig, um Schwachstellen zu beheben, die von Rootkits ausgenutzt werden könnten. Aktivieren Sie nach Möglichkeit automatische Updates.
  • Verwenden Sie Antiviren- und Anti-Malware-Software. Installieren Sie bewährte Antiviren- und Anti-Malware-Programme mit Rootkit-Erkennungsfunktionen. Stellen Sie sicher, dass diese regelmäßig aktualisiert werden, um neue Bedrohungen zu erkennen und vor ihnen zu schützen.
  • Aktivieren Sie den sicheren Start. Aktivieren Sie Secure Boot im BIOS or UEFI Einstellungen. Secure Boot stellt sicher, dass während des Startvorgangs nur vertrauenswürdige Software geladen wird, und verhindert, dass Rootkits beim Start geladen werden.
  • Beschränken Sie die Administratorrechte. Arbeiten Sie nach dem Prinzip der geringsten Privilegien. Verwenden Sie Administratorkonten nur, wenn es unbedingt nötig ist, und beschränken Sie die Nutzung des Root- oder Administratorzugriffs, um das Risiko zu verringern, dass ein Rootkit die vollständige Kontrolle über das System erlangt.
  • Üben Sie sich in sicheren Surf- und E-Mail-Gewohnheiten. Klicken Sie nicht auf verdächtige Links und laden Sie keine Anhänge aus unbekannten Quellen herunter. Seien Sie vorsichtig bei E-Mail-Anhängen und Links, insbesondere bei solchen aus unerwünschten Nachrichten.
  • Verwenden Sie eine Firewall. Aktivieren und konfigurieren Sie einen Firewall um eingehenden und ausgehenden Netzwerkverkehr zu überwachen. Firewalls können dazu beitragen, unbefugten Zugriff zu verhindern und potenziell schädliche Verbindungen zu blockieren.
  • Normale backups. Führen Sie regelmäßig durch backups wichtiger Daten und Systemkonfigurationen. Im Falle einer Rootkit-Infektion ist es wichtig, aktuelle backups ermöglicht eine einfachere Wiederherstellung und Systemwiederherstellung.
  • Deaktivieren Sie Autorun und Autoplay. Deaktivieren Sie die Autorun- und Autoplay-Funktionen auf Wechseldatenträgern, um die automatische Ausführung potenziell schädlicher Software beim Anschluss externer Laufwerke oder Geräte zu verhindern.
  • Setzen Sie Netzwerksicherheitsmaßnahmen ein. Implementieren Sie Netzwerksicherheitsmaßnahmen wie Einbruchmeldesysteme (IDS), Intrusion Prevention Systems (IPS) und regelmäßige Überwachung des Netzwerkverkehrs, um ungewöhnliche Aktivitäten zu erkennen, die auf eine Rootkit-Infektion hinweisen können.
  • Benutzer schulen. Informieren Sie Benutzer über die Gefahren von Rootkits und Best Practices zur Vermeidung von Malware. Sensibilisierungsschulungen helfen, Social Engineering Angriffe, die oft zu Rootkit-Infektionen führen.
  • Nutzen Sie Endpoint Detection and Response (EDR). Erwägen Sie den Einsatz von EDR-Lösungen, die erweiterte Funktionen zur Bedrohungserkennung und -reaktion bieten. EDR-Tools können dabei helfen, Rootkit-Infektionen effektiver zu identifizieren und darauf zu reagieren.

Wie entferne ich Rootkits?

Das Entfernen von Rootkits ist komplex, da sie sich tief in das Betriebssystem integrieren und ihre Präsenz verbergen können. Hier sind Schritte und Methoden zum effektiven Entfernen von Rootkits:

  • Verwenden Sie spezielle Tools zum Entfernen von Rootkits. Es gibt mehrere Tools, die speziell zum Erkennen und Entfernen von Rootkits entwickelt wurden. Zu den beliebtesten gehören GMER, ein Tool zum Erkennen und Entfernen versteckter Prozesse, Dienste und Dateien, sowie Malwarebytes Anti-Rootkit, ein umfassendes Tool zum Erkennen und Entfernen von Rootkits.
  • Scannen beim Systemstart. Das Durchführen von Scans während des Systemstartvorgangs ist effektiv, da Rootkits während des normalen Betriebs häufig verborgen bleiben. Verwenden Sie Tools wie Windows Defender Offline oder bootfähige Antivirenlösungen, um diese Scans durchzuführen.
  • Sicherheitsmodus. Durch das Booten im abgesicherten Modus können Sie das Laden vieler Rootkits verhindern, sodass diese leichter erkannt und entfernt werden können. Führen Sie im abgesicherten Modus Ihre Antiviren- und Anti-Rootkit-Tools aus.
  • Systemwiederherstellung. Wenn Sie vermuten, dass Ihr System erst kürzlich mit einem Rootkit infiziert wurde, können Sie es in den Zustand vor der Infektion zurückversetzen. Seien Sie dabei jedoch vorsichtig, da einige Rootkits Wiederherstellungspunkte infizieren können.
  • Manuelle Entfernung. Die manuelle Entfernung ist riskant und sollte nur von erfahrenen Benutzern oder Fachleuten durchgeführt werden. Bei diesem Vorgang werden Rootkit-Dateien identifiziert und gelöscht sowie Registrierungseinträge bereinigt. Tools wie Process Explorer identifizieren verdächtige Prozesse.
  • Installieren Sie das Betriebssystem neu. In Fällen, in denen das Rootkit tief eingebettet ist und sich nicht entfernen lässt, ist eine Neuinstallation des Betriebssystems möglicherweise die effektivste Lösung. Stellen Sie sicher, dass Sie wichtige Daten sichern, bevor Sie fortfahren, und führen Sie eine Neuinstallation durch, um eine erneute Einführung des Rootkits zu vermeiden.
  • Firmware- und BIOS-Scans. Einige fortgeschrittene Rootkits können Firmware und BIOS infizieren. Verwenden Sie vom Hersteller bereitgestellte Tools zum Scannen und Aktualisieren des BIOS oder der Firmware, um diese Art von Rootkits zu entfernen.
  • Netzwerkisolation. Isolieren Sie das infizierte System vom Netzwerk, um zu verhindern, dass das Rootkit mit seinem Command-and-Control-System kommuniziert. server oder sich auf andere Systeme ausbreiten.
  • Professionelle Hilfe. Bei schweren Infektionen sollten Sie professionelle Hilfe in Anspruch nehmen bei Internet-Sicherheit Experten, die über die Werkzeuge und das Fachwissen verfügen, um Rootkits wirksam zu entfernen.
  • Aktionen nach der Entfernung. Führen Sie nach dem Entfernen eines Rootkits einen gründlichen Scan mit aktualisierten Sicherheitstools durch, um sicherzustellen, dass keine Überreste zurückbleiben. Ändern Sie alle Passwörter, aktualisieren Sie die Sicherheitsrichtlinien und überwachen Sie das System auf ungewöhnliche Aktivitäten, um eine erneute Infektion zu verhindern.

Anastazija
Spasojević
Anastazija ist eine erfahrene Content-Autorin mit Wissen und Leidenschaft für cloud Computer, Informationstechnologie und Online-Sicherheit. Bei phoenixNAP, konzentriert sie sich auf die Beantwortung brennender Fragen zur Gewährleistung der Datenrobustheit und -sicherheit für alle Teilnehmer der digitalen Landschaft.