Skip to main content

Rootkit

Was ist ein Rootkit?

Beim Rootkit handelt es sich um eine spezielle Klasse von Schadsoftware. Mit ihrer Hilfe lässt sich die Anwesenheit von Trojanern, Viren oder Spyware verdecken. Gleichzeitig erhält der Angreifer bis zu einem gewissen Punkt die Kontrolle über das System. Der Zugriff erfolgt mittels Sicherheitslücken und Bugs. Es handelt sich im Prinzip um eine Tarnung, damit der Angriff nicht entdeckt wird.

Wie funktionieren Rootkits?

Ein Rootkit setzt sich in der Regel aus mehreren Komponenten zusammen, wobei jeder eine bestimmte Aufgabe zukommt. Vor dem Angriff werden diese an das jeweilige Betriebssystem angepasst.

Zunächst verschafft sich beispielsweise eine Trojaner Software Zugang zum System, mit dem Ziel, das Rootkit dort zu installieren. Ist dies gelungen, folgt im zweiten Schritt die Sicherung der Adminrechte. Rootkits können beispielsweise über den Anhang einer E-Mail, Installieren von Software oder auch den Besuch auf einer Webseite eingeschleust werden.

Über einen sogenannten Sniffer wird nun der Netzwerkverkehr abgehört und gleichzeitig die vorhandenen Zugangsdaten selektiert. Mit einem entsprechenden Tool lassen sich Mausbewegungen oder Tastaturanschläge schon im Vorfeld erfassen, ehe die Eingabe eines Kennworts durch das System verschlüsselt wird.

Mit den so gewonnen Zugangsdaten können Hacker anschließend ein Backdoor generieren und die Systemdateien verändern. Der Angriff wird nicht entdeckt und es besteht ein direkter Zugriff auf das Betriebssystem. In vielen Fällen werden dabei auch API-Aufrufe und Betriebssystemfunktionen zu Zwecken der Tarnung umgewandelt und umgekehrt. Je nachdem welches Ziel der Angreifer verfolgt, steht der Rechner nun für die Speicherung von sensiblen Daten oder dem Versand von Spam-Mails zur Verfügung.

Verschiedene Arten von Rootkits

In der Praxis werden Rootkits danach unterschieden, auf welchen Bereich eines Systems sie zugreifen und wie gut sie sich tarnen können. Zu den verbreitetsten Rootkits gehören:

  • Cache-Rootkits: Diese Variante wirkt lediglich im Arbeitsspeicher des Rechners. Nach einem Neustart wird mit dem Arbeitsspeicher auch das Rootkit gelöscht.
  • Application-Rootkits: Durch eine Änderung der Programmdateien besteht ein Zugriff auf die Systemprogramme. Aufgrund der relativ leichten Identifizierung findet diese Form heutzutage kaum noch Verwendung.
  • Kernel-Mode-Rootkits: Mit einem solchen Rootkit werden Codebestandteile durch manipulierte Dateien ersetzt. Der Kernel befindet sich im Inneren des Betriebssystems und ermöglicht einen Zugriff auf die angeschlossene Hardware.
  • User-Mode-Rootkits: Hier ist kein Zugriff auf das System erforderlich. Stattdessen führen die Rootkits eine DLL-Datei aus. Diese manipuliert mit dem Aufruf von API-Funktionen den Datenverkehr des Systems.

Schutz gegen Rootkits

In der Praxis lassen sich Rootkits nur sehr schwierig erkennen. Durch eine Firewall oder Antiviren-Software wird Schadsoftware zwar identifiziert, das Rootkit selbst bleibt jedoch zumeist unentdeckt. Mittlerweile bieten einige Hersteller spezielle Rootkit-Detection-Tools an. Solche Programme sind allerdings zumeist nicht in der Lage ein befallenes System zu säubern. Beim Öffnen von Mail-Anhängen oder dem Betreten nicht seriös wirkender Webseiten, ist deshalb immer Vorsicht geboten. Wichtig ist, dass sich Schutz- und Betriebsprogramme immer auf dem neuesten Stand befinden.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG