Was Sie über Rootkits wissen müssen

Ein unangenehmer Gedanke: Just in diesem Moment könnte Ihr Computer voller Viren und Malware sein – oder sogar Teil eines Bot-Netzes, das im großen Stil Klickbetrug oder Cyberattacken durchführt. Wenn dies tatsächlich der Fall ist, kriegen Sie davon wahrscheinlich gar nichts mit. Denn in den meisten Fällen gaukelt ein sogenanntes Rootkit dem Nutzer vor, alles wäre in bester Ordnung: Es wirkt praktisch wie eine Tarnkappe, unter deren Schutz im Geheimen kriminelle Hacker-Aktivitäten stattfinden. Aber wenn Sie das Risiko und die Wirkmechanismen von Rootkits kennen, können Sie sich besser dagegen schützen. Erfahren Sie daher im Folgenden das Wichtigste, was es über Rootkits zu wissen gibt.

Was ist ein Rootkit?

Bei einem Rootkit handelt es sich nicht um eine einzelne Malware – stattdessen ist es eine ganze Sammlung verschiedener Schadprogramme, die sich über eine Sicherheitslücke in einen Computer einnistet und Angreifern den dauerhaften ferngesteuerten Zugriff (Remote-Access) auf diesen erlaubt. Wesentliches Merkmal von Rootkits ist, dass sie sich selbst und auch andere Schädlinge vor Virenscannern und Sicherheitslösungen verstecken können, sodass der Benutzer nichts von ihrer Existenz mitbekommt.

Je nachdem, auf welcher Berechtigungsebene sich das Rootkit ausgebreitet hat, kann es dem Hacker sogar umfassende Administrationsrechte verschaffen (in diesem Fall spricht man von einem Kernel-Mode-Rootkit), wodurch er die uneingeschränkte Kontrolle über den Rechner erhält.

Definition Rootkit

Ein Rootkit ist eine Sammlung mehrerer Schadprogramme, die sich auf verschiedenen Berechtigungsebenen eines Rechners einnisten kann, die Aktivitäten von Viren und Malware verschleiert und Angreifern somit den künftigen Zugriff auf das System erleichtert.

Die ersten Rootkits tauchten in den frühen 90er-Jahren auf und zielten noch ausschließlich auf Unix-ähnliche Betriebssysteme wie Linux ab. Sie bestanden zumeist aus modifizierten Versionen standardmäßiger Programme wie „ps“ (ein Unix-Kommando, das eine Liste aller laufenden Prozesse aufruft) und „passwd“ (zum Ändern des Benutzerpassworts). Aus dieser Zeit stammt auch ihre Bezeichnung: Mit „Root“ wird bei Unix nämlich der Administrator bezeichnet, der Wortteil „kit“ bedeutet wiederum so viel wie „Ausrüstung“ oder „Werkzeugkasten“. Der zusammengesetzte Begriff Rootkit umschreibt somit ein Set von Software-Werkzeugen, das einen Hacker dazu ermächtigt, Root-Rechte über einen Computer zu erlangen (explizit gemeint sind Kernel-Mode-Rootkits).

Inzwischen existieren allerdings für eine Vielzahl von Betriebssystemen Rootkits. Aber auch für Windows- und andere Betriebssysteme ergibt die Bezeichnung „Rootkit“ durchaus Sinn: Denn einige Rootkits dringen bis in den Kernel – also den innersten Kern und damit die „Wurzel“ (Englisch: „root“) – des Systems vor und werden von dort aus aktiv.

Wie funktionieren Rootkits?

Obgleich die verschiedensten Arten von Rootkits existieren, ist ihre generelle Funktionsweise doch immer dieselbe. Auch das Vorgehen zur Infiltration eines Systems folgt immer demselben Muster.

Schritt 1: Infektion des Systems

Einer Rootkit-Infektion geht in den meisten Fällen eine gewisse Form von Social Engineering voraus: Cyberkriminelle nutzen dabei die in der Regel schwächste Stelle eines jeden Sicherheitssystems aus – die menschliche Komponente. Durch Beeinflussung oder bewusste Täuschung von Personen gelangen Hacker oft an Zugangsdaten und Passwörter. Mit diesen loggen sie sich dann auf einem Rechner ein und installieren das Rootkit.

Es ist aber auch möglich, sich auf andere Weise mit einem Rootkit zu infizieren – beispielsweise durch Drive-by-Downloads auf einer infizierten Website, beim Herunterladen einer Software aus einer unsicheren Quelle oder per Klick auf einen Link oder Anhang in einer Phishing-E-Mail.

Eine weitere Methode besteht darin, dass ein Cyberkrimineller einen USB-Stick mit einem Rootkit in der Öffentlichkeit liegenlässt. Ein unbedachter Finder nimmt den Datenträger womöglich mit zu sich nach Hause, verbindet ihn aus Neugier mit seinem Rechner – und die Infiltration ist gelungen. Ähnlich funktionieren die sogenannten „Evil Maid Attacks“ (Deutsch: „Böses-Dienstmädchen-Angriff“), bei denen der Hacker das Rootkit eigenhändig auf einem unbewachten Computer installiert. Den Namen verdankt diese Methode dem möglichen Szenario, dass ein Zimmermädchen auf diese Weise die Laptops zahlreicher Hotelgäste infizieren könnte.

Schritt 2: Tarnung (Stealth)

Einmal im System, verschleiert das Rootkit seine Existenz. Dafür beginnt es, jene Prozesse zu manipulieren, über die Programme und Systemfunktionen Daten untereinander austauschen. Auf diese Weise erhält ein Virenprogramm bei einem Scan lediglich gefälschte Informationen, aus denen sämtliche Hinweise auf das Rootkit herausgefiltert wurden. Aus diesem Grund ist es selbst professioneller Antivirus-Software oft unmöglich, die Schädlinge anhand ihrer Signaturen oder einer Verhaltensanalyse (Heuristik) ausfindig zu machen.

Schritt 3: Einrichtung einer Hintertür (Backdoor)

Im Folgenden richtet das Rootkit eine sogenannte „Backdoor“ ein – eine Hintertür im System, die der Hacker mittels eines ausgespähten Passworts oder einer Shell nutzen kann, um in Zukunft via Remote-Access auf den Rechner zuzugreifen. Dem Rootkit kommt dabei die Aufgabe zu, jeden Anmeldevorgang und jede verdächtige Aktivität zu verbergen.

Dies erlaubt es dem Angreifer, weitere Software wie etwa Keylogger zu installieren, mittels Spyware Tastatureingaben auszuspionieren, Daten zu stehlen oder (je nach Berechtigungsgrad) Systemeinstellungen zu ändern. Häufig werden mit einem Rootkit infizierte Rechner auch zu Bot-Netzen zusammengeschlossen und für Phishing oder DDoS-Attacken mobilisiert.

Was unterscheidet Rootkits von anderen Schädlingen?

Rootkits werden aus offensichtlichen Gründen auch „Tarnviren“ genannt, obgleich sie per Definition nicht als Viren klassifizierbar sind. Aber was genau unterscheidet Rootkits von anderen Schädlingstypen?

  • Virus: Ein Virus hängt sich an eine ausführbare Datei oder ein Programm (entscheidend ist das .exe-Format). Zwar repliziert er sich selbstständig, kann sich aber nicht eigenständig weiterverbreiten, sondern normalerweise nur durch entsprechende Hilfe durch Menschen oder andere Programme.
  • Wurm: Dieser Begriff bezeichnet eine spezielle Unterklasse des Computervirus, die sich eigenständig über die Datenübertragungsfunktionen eines Systems weiterverbreiten kann.
  • Trojaner: Er ist kein Virus, sondern eine Malware, also ein Schadprogramm, das sich als nützliche Anwendung tarnt. Hacker nutzen solche trojanischen Pferde, um eine Hintertür im System zu öffnen.
  • Rootkit: Das Rootkit wird auch als Unterart des Trojaners beschrieben. Viele Trojaner weisen Rootkit-Eigenschaften auf. Der hauptsächliche Unterschied besteht darin, dass sich Rootkits aktiv im System verstecken und dem Angreifer meist auch zu Administratorrechten verhelfen.

Was für Rootkits gibt es?

Rootkits unterscheiden sich vor allem in ihrer Methodik, mit der sie Malware-Prozesse und Hacker-Aktivitäten tarnen. Am häufigsten kommen Kernel- und User-Mode-Rootkits zum Einsatz. Die gefährlichen Software-Werkzeugkästen werden von Cyberkriminellen beständig weiterentwickelt, sodass es immer schwieriger wird, gegen sie vorzugehen.

Kernel-Mode-Rootkits

Wird von Rootkits gesprochen, ist damit meist diese Art gemeint. Kernel-Mode-Rootkits nisten sich im Kernel eines Betriebssystems ein. Dieser auch als „Ring-0“ bezeichnete Bereich verfügt über die höchste Berechtigungsstufe des Computers und ermöglicht somit den Tiefenzugriff auf sämtliche Hardware-Komponenten und erlaubt beliebige Veränderungen von Systemeinstellungen. Das bedeutet: Konnte ein Angreifer dort ein Rootkit platzieren, erhält er die volle Kontrolle über das gesamte System.

Solche Rootkits ersetzen Teile des Kernels durch einen eigenen Code. Bei Unix-ähnlichen Betriebssystemen passiert das meist mithilfe nachladbarer Kernel-Module, weshalb man hier auch von „LKM-Rootkits“ (kurz für: loadable kernel modules) spricht. Bei Windows-Systemen wird der Kernel hingegen meist direkt manipuliert, indem einfach neue Systemtreiber eingebunden werden. Unabhängig vom Vorgehen: Das Kernel-Mode-Rootkit kann diese überlegene Ausgangsposition nutzen, um dem Virenschutz des Rechners von Grund auf gefälschte Informationen zukommen zu lassen. Rootkits dieser Art sind deshalb besonders schwer zu entdecken und zu entfernen. Aufgrund ihrer Komplexität sind sie aber auch vergleichsweise selten.

Tipp

Ihre Komplexität macht Kernel-Mode-Rootkits recht anfällig für Programmierfehler, die ein infiziertes System unter Umständen destabilisieren können. Dass Schadsoftware auf dem Rechner installiert ist, merkt der Nutzer dann manchmal anhand ungewohnt häufiger Bluescreens oder System-Abstürze.

User-Mode-Rootkit

Im Gegensatz zu Kernel-Mode-Rootkits agiert diese Art lediglich auf der Benutzerebene eines Computers, auf der sich auch sämtliche ausführbaren Programme befinden. Da dieser Bereich die niedrigste Berechtigungsstufe der CPU (Ring-3) aufweist, können User-Mode-Rootkits dem Angreifer nur einen begrenzten Zugriff auf den Computer ermöglichen. Dadurch sind sie aber auch weniger komplex und kommen häufiger als Kernel-Mode-Rootkits zum Einsatz, insbesondere auf Windows-Systemen.

User-Mode-Rootkits tarnen sich, indem sie den Datenverkehr zwischen dem Betriebssystem und den installierten Viren- und Sicherheitsprogrammen abfangen und manipulieren. Dafür nutzen sie die Methoden DLL-Injection und API-Hooking: Eine eigens bereitgestellte Code-Bibliothek (Dynamic Link Library, kurz: DLL) klinkt sich in den Datenaustausch ein und leitet die Funktionen bestimmter Programmschnittstellen (Application Programming Interfaces, kurz: API) auf das Rootkit um. Auf diese Weise kann es seine Spuren aus Prozesslisten wie dem Windows Task-Manager löschen.

Sonstige Rootkits

Neben diesen beiden unterscheidet man noch zwei weitere Arten von Rootkits, die aber als verhältnismäßig ungefährlich gelten:

  • Application-Rootkit: Die ursprüngliche und zugleich primitivste Variante des Rootkits. Sie ersetzt Systemprogramme durch eigene, modifizierte Varianten und ist daher recht einfach zu erkennen. Aus diesem Grund wird sie von Hackern allerdings auch kaum noch eingesetzt.
  • Speicher-Rootkit: Solche Rootkits können nur im Arbeitsspeicher existieren und verschwinden demnach vom System, sobald es neu gestartet wird.

Rootkit-Innovationen

Wie auch viele andere Arten von Schadsoftware werden Rootkits ständig weiterentwickelt. Auf diese Weise entstanden beispielsweise die sogenannten „Bootkits“– eine Form von Kernel-Mode-Rootkit, die darauf spezialisiert ist, den Bootloader eines Computers zu ersetzen, um Sicherheitsmechanismen des Betriebssystems zu deaktivieren. Immer häufiger werden auch Smartphones (insbesondere mit Android-Betriebssystemen) infiziert – meist durch den Download einer unsicheren App. In diesem Fall spricht man von einem „Mobile Rootkit“.

Im Jahr 2006 machte außerdem eine Forschergruppe von der University of Michigan von sich reden, als sie ihr Projekt SubVirt vorstellte: ein Rootkit, das auf einer virtuellen Maschine basierte und deshalb VMBR (Virtual Machine Based Rootkit) getauft wurde. Solcherlei Maschinen werden normalerweise genutzt, um mehrere verschiedene Betriebssysteme (zum Beispiel Linux und Windows) auf ein und demselben Rechner ausführen zu können. Das VMBR sollte mithilfe dieser Technologie in der Lage sein, ein Betriebssystem in eine virtuelle Umgebung zu verschieben und somit versteckt zu agieren. Nur ein Jahr später behaupteten Forscher der Stanford University aber bereits, solche VMBRs problemlos aufspüren zu können.

Seitdem scheint es bislang zu keinen weiteren bahnbrechenden Rootkit-Innovationen gekommen zu sein – was aber keineswegs bedeutet, dass die Risiken in irgendeiner Weise abgenommen hätten. So hat beispielsweise das Exploit-Kit RIG im Jahr 2018 Zuwachs in Form eines zusätzlichen Rootkits namens CEIDPageLock erhalten. Dieses schleicht sich über Systemtreiber auf Windows-Betriebssystemen ein und übernimmt die Kontrolle über den Internetbrowser. Selbiger leitet den Nutzer daraufhin auf gefälschte Websites um, auf denen Datendiebstahl für vielfältige kriminelle Zwecke stattfindet. Zwar sind aktuell überwiegend Rechner in China betroffen (Stand: August 2018). Experten gehen aber davon aus, dass sich die Schadsoftware künftig über die Landesgrenzen hinaus verbreiten wird.

Fakt

Exploit-Kits (vom englischen Wort für „ausnutzen“) sind Tool-Sammlungen, die auf Sicherheitslücken in populärer Software wie Adobe Flash, Java und Microsoft Silverlight abzielen. RIG gilt mit bis zu 27.000 Infektionen pro Tag als das derzeit aktivste Exploit-Kit.

Beispiele bekannter Rootkits

Inzwischen gibt es Rootkits für die verschiedensten Betriebssysteme. Im Folgenden zwei Beispiele für Rootkits, die Windows-Systeme gefährden:

  • TDSS aka Alureon (entdeckt: 2007): wird auch als Trojaner klassifiziert, was verdeutlicht, wie fließend die Übergänge zwischen diesen beiden Schädlingstypen sind. Das Rootkit manipuliert die Windows-Registry, um beispielsweise den Task-Manager, die Update-Funktion sowie eventuell vorhandene Virenprogramme zu deaktivieren und nachfolgend ein Bot-Netz aufzubauen.
     
  • ZeroAccess (entdeckt: 2011): ein weiterer Trojaner mit Rootkit-Attributen. Dieser infiziert den Master Boot Record (MBR) sowie einen zufälligen Systemtreiber und schaltet daraufhin das Windows Security Center, den Windows Defender und die Firewall ab. Ist dies geschehen, wird der Rechner für ein Bot-Netz genutzt, das für Bitcoin-Mining und Klickbetrug eingesetzt wird.

Aber nicht immer stecken hinter Rootkits solch hochkriminellen Absichten. So nutzen zum Beispiel auch CD-Emulatoren die Technik, um Kopierschutzmaßnahmen zu überlisten. Ob dies noch legal ist oder strafrechtlich relevant, hängt dabei oft von Zweck und Umfang der Verwendung ab.

Was den Kopierschutz betrifft, überschreiten aber nicht nur die Konsumenten mit Rotkits die Grenze der Legalität: Der japanische Elektronikkonzern Sony sorgte im Oktober 2005 für einen ausgewachsenen Skandal, als sich herausstellte, dass der Kopierschutz XCP (Extended Copy Protection) auf diversen Musik-CDs des Herstellers mit einem Rootkit getarnt worden ist. So hatte der Konzern verhindern wollen, dass illegale Kopien der Discs angefertigt würden. Gleichzeitig übermittelte die Malware aber auch Informationen über die privaten Hörgewohnheiten seiner Kunden und verletzte somit gängige Datenschutzgesetze. Besonders heftige Kritik erntete Sony aber insbesondere deswegen, weil sich dies Rootkit auch vor Antivirenprogrammen versteckte und somit Hackern Tür und Tor öffnete, es für eigene Zwecke zu missbrauchen.

Ähnliche Fälle – zum Beispiel der der Firma Kinowelt im Jahr 2006 oder beim EA-Computerspiel „Spore“ von 2008 – wecken bei IT-Experten die Befürchtung, dass künftig nicht nur Hacker, sondern auch zunehmend große Konzerne Rootkits verwenden werden.

Wie kann man sich gegen Rootkits schützen?

Da Tarnung das Spezialgebiet eines Rootkits ist, ist es in der Regel schwierig bis nahezu unmöglich, es ausfindig zu machen und zu entfernen. Dennoch gibt es einige Maßnahmen, die Sie zu Ihrem Schutz ergreifen können:

Einer Infektion vorbeugen

Die Sicherheitsmaßnahmen gegenüber Rootkits sind grundsätzlich dieselben, die auch für andere häufig vorkommende Schädlingstypen gelten:

  • Verwenden Sie Sicherheitsprogramme auf Ihrem Rechner.
  • Pflegen Sie Ihr System mit regelmäßigen Updates.
  • Entwickeln Sie ein Bewusstsein für populäre Betrugsmaschen im Internet, zum Beispiel Phishing.
  • Nutzen Sie eine hohen Passwortschutz.

Darüber hinaus gibt es noch einige spezifischere Ratschläge, wie man Rootkit-Infektionen vorbeugen kann:

  • Ratschlag für IT-Laien: Nutzen Sie Ihren Administrator-Account möglichst selten – vor allem dann nicht, wenn Sie im Internet unterwegs sind. Dieser hat nämlich deutlich weniger Schutzmechanismen als der herkömmliche Benutzer-Account. Da der Benutzer-Account außerdem nur über beschränkte Rechte verfügt, ist der Schaden im Falle einer Rootkit-Infektion weniger groß.
  • Ratschlag für Profis: Um zu verhindern, dass ein Rootkit Ihr BIOS infiziert und damit quasi unlöschbar wird, können Sie einen physischen Schreibschutz wie etwa eine Steckbrücke (Jumper) auf der Hauptplatine einsetzen.

Ein Rootkit erkennen

Die meisten Virenprogramme suchen anhand von Signaturen nach bereits bekannten Rootkits oder werten ungewöhnliche Vorkommnisse wie die Löschung von Dateien aus, um noch unbekannte Schädlinge zu identifizieren. Das Problem: Wenn nicht gerade ein schlecht programmiertes Kernel-Mode-Rootkit mit ständigen Bluescreens auf sich aufmerksam macht, liefern Rootkits meist nicht den geringsten Anhaltspunkt für eine Infiltration des Systems.

Da außerdem immer fortschrittlichere Rootkits programmiert werden, wird es auch immer schwieriger, sie zu entdecken. Inzwischen gibt es jedoch speziell auf Rootkits ausgerichtete technische Hilfsmittel, beispielsweise den sogenannten Rootkit-Scan: Eine Funktion, die in manchen Security-Softwares bereits enthalten ist, für die es aber auch dedizierte Programme gibt. Dazu gehören unter anderem Sophos Anti Rootkit sowie der Rootkit Remover von Bitdefender, die beide kostenlos erhältlich sind.

Ein solcher Rootkit-Scan lässt sich auch mithilfe einer Boot-CD ausführen. Diese startet den Rechner abseits des installierten Betriebssystems, sodass das Rootkit in einem inaktiven Zustand verbleibt und mit etwas Glück von einem Virenscanner auf der CD aufgespürt werden kann.

Ein Rootkit entfernen

Leider existiert bislang keine hundertprozentig sichere Möglichkeit, ein Rootkit von einem Rechner zu entfernen. Selbst die Trefferquote professioneller Scan-Softwares wie von AntiVir, Kaspersky und Microsoft lässt zahlreichen Testberichten zufolge zu wünschen übrig. Aus diesem Grund empfiehlt beispielsweise das Magazin Computerbild, mindestens drei solcher Programme in Kombination zu verwenden.

Da sich einige Rootkits jedoch tief im BIOS verstecken können, bietet selbst diese Methode keine absolute Sicherheit. Somit bleiben oftmals nur die Bereinigung des Datenträgers und die vollständige Neuinstallation des Betriebssystems, um den hartnäckigen Schädling endgültig loszuwerden.

Fazit: Die Gefahr bleibt

Rootkits sind eine ganz besonders hartnäckige Bedrohung und können Kriminellen das volle Kommando über Ihren Computer verschaffen. Die Gefahr zu kennen ist aber ein erster Schritt in die richtige Richtung. Die wichtigste Schutzmaßnahme ist wie so oft, einer Infiltration des Systems vorzubeugen, denn die Rotkits lassen sich nur schwer aufspüren und noch schwerer wieder entfernen. Da hilft dann oft nur noch, das System neu aufzusetzen.

Auf der Konferenz „Black Hat“ im Januar 2006 wurde allerdings auf Rootkits hingewiesen, die selbst eine Neuformatierung der Festplatte unbeschadet überstehen können – etwa indem sie das ACPI (Advanced Configuration and Power Interface), das für die Energieverwaltung eines Computers verantwortlich ist, manipulieren oder sich im BIOS festsetzen. Solange also keine verlässliche Lösung des Problems gefunden wird, werden Rootkits wahrscheinlich als hochkomplexe Werkzeuge von Cyberkriminellen weiterhin eine Gefahr bleiben.