elite-rapper
15.03.2008, 22:05
Rootkits suchen und identifizierbar machen
Rootkits waren in der Windows Welt bis vor einiger Zeit noch relativ unbekannt, weil sie zwar vermutlich schon längere Zeit existieren, niemand aber ihre Existenz entdeckte. Innerhalb kürzester Zeit haben sie sich aber zu einem weiteren Plagegeist neben Viren, Würmern, Trojanern und anderen Schädlingen entwickelt. Sie zu identifizieren oder gar zu entfernen, kostet Zeit, Arbeit und reichlich Wissen.
Was sind Rootkits?
Der Begriff Rootkit ist alt und stammt aus der Zeit, als UNIX-Systeme populär waren. Rootkits wurden typischerweise für UNIX-Betriebssysteme genutzt, um die User-Rechte auf den Root-Level auszudehnen (=Administrator). Rootkits für Windows arbeiten allerdings vollkommen anders und dienen normalerweise dazu, schädlichen Code zum Beispiel vor einem Virenscanner zu verbergen.
Momentan gibt es zunehmend verschiedene Schädlinge, die mit Hilfe von Rootkits ihre Existenz verbergen. Daneben gibt es einige bekannte Fälle (darunter der Diebstahl des Half-Life 2 Quell-Codes), in denen Hacker über Rootkits in Systeme eingedrungen sind. Ein deutlicher Beweis dafür, dass die Rootkit-Technik in der Praxis funktioniert. Im Vergleich zum Potenzial ist die aktuelle Bedrohung allerdings noch gering. Doch Rootkits für Windows werden unter Sicherheitsexperten seit Anfang 2005 als eines der wichtigsten Sicherheitsthemen des Jahres gehandelt. Zum Beispiel hat Microsoft jüngst auf der RSA Konferenz vor gefährlichen Rootkits gewarnt.
Wie gefährlich sind Rootkits?
Ein Rootkit an sich verursacht typischerweise keinen Schaden. Nutzt ein Virus, Wurm oder ein Backdoor-Trojaner ein Rootkit, kann der Schädling lange Zeit unentdeckt im System bleiben - selbst dann, wenn der PC mit einem handelsüblichen Virenschutz ausgestattet ist. Wird ein Rootkit von einem Hacker oder Virenschreiber eingesetzt, gestaltet sich häufig auch die Säuberung des Rechners als schwierig.
Ein "Hidden from Windows API" ist immer ein deutliches Zeichen für Rootkit Aktivitäten, da Dateien, Verzeichnisse, Prozesse und andere Vorgänge nicht versteckt werden. Hier genau setzen Rootkits aber an, indem sie die Schnittstelle besetzen, die für sämtliche Vorgänge verantwortlich ist.
Während Trojaner, Würmer und andere Schädlinge dieser Art auf "User" Ebene des Betriebssystems arbeiten und daher noch leichter zu erkennen sind, arbeiten Rootkits im "Kernel" Modus des Systems auf API Ebene (Application Program Interface) und können hier auf sämtliche System Calls zugreifen und manipulieren. Mit System Calls sind in der Tat Basisfunktionen des Betriebssystems gemeint, mit denen das gesamte System kontrolliert und beliebig manipuliert werden kann. So können beispielsweise Ordner versteckt und unbemerkt benutzt oder Ports geöffnet werden, ohne eine Chance für den Anwender, dies zu bemerken. Rootkits sind daher auch als eine Art "Man in the middle" zwischen Betriebssystem und Anwendungen, zwischen Kernel und User-Ebene (Betriebssysteme arbeiten generell auf zwei verschiedenen Ebenen, wobei der Anwender lediglich die obere, die Benutzer-Ebene sieht und direkt benutzen kann).
Auch die sogenannten "Alternate Data Streams" sind ein prima Versteck für Schädlinge. Data Streams sind eine Erweiterung des Dateisystems NTFS, dass seit Windows NT 3.51 zur Verfügung steht und in dem zusätzliche Dateiinformationen eingetragen und enthalten sind. Dumm daran ist nur, weder über den DOS Befehl DIR noch über den Windows Datei-Explorer können ADS sichtbar gemacht werden. Hierfür stehen wieder andere Tools zur Verfügung, die am Ende des Artikels aufgeführt sind.
Welche Malware nutzt Rootkit-Techniken?
In erster Linie "echte" Rootkits wie Hacker Defender und FU, aber auch Spyware-Programme wie EliteToolbar, ProAgent und Probot SE, einige Trojaner darunter Berbew/Padodor und Feutel/Hupigon sowie Würmer (zum Beispiel Myfip.h und Maslan-Würmer).
Ein weiteres Rootkit ist Hacker_Defender. Hacker_Defender ist so ein Rootkit, mit dem Angreifer und insbesondere kriminelle Banden Rechner ohne Wissen des Anwenders kapern und für ihre eigenen Zwecke missbrauchen. Er kann ganze Verzeichnisse verstecken, in denen er dann Dateien, Passwortlisten, illegale Software oder Pornographie speichert. Zudem öffnet Hacker_Defender unbemerkt und unidentifizierbar Ports, versteckt seine Prozesse vor neugierigen Augen oder verbirgt sich hinter anderen laufenden Prozessen. Ziel solcher Rootkits ist Spionagetätigkeit, um Passwörter oder Kontodaten zu erhalten, die meist ganze Banden weltweit für Kontoplünderungen benutzen.
Verschiedene Unternehmen wie Microsoft als Betriebssystemhersteller, Sysinternals als Hersteller von systemnahen Tools und Schutzprogrammen sowie zahlreiche Fachforen wie beispielsweise Wilders Security diskutieren und entwickeln Lösungen, Scanner und Schutzvorrichtungen, die bereits kurze Zeit später von Rootkit Entwicklern analysiert werden, um die gerade erstellten Schutzlösungen wieder auszuhebeln.
So stellt Sysinternals zum Beispiel RootkitRevealer vor, mit dem Rootkits zumindest weitgehend aufgespürt werden können. Das kostenlose Tool arbeitet auf Basis aller bislang bekannten Windows Rootkits. Dabei vergleicht es zwei Suchergebnisse miteinander: Einerseits den Scan auf Windows API Ebene und andererseits den Scan der Rohdaten auf der Festplatte und in der Registrierungsdatenbank. Findet das Tool Diskrepanzen, ist der Rechner mit großer Wahrscheinlichkeit mit einem Rootkit infiziert.
Hilfreiche Software oder Funktionen wie die Windows Systemwiederherstellung greifen in dem Fall nicht, da Rootkits System Calls abfangen, die Wiederherstellung bemerken und sich entsprechend in gesperrten, unüberschreibbaren Bereichen selbst schützen.
Einen weiteren Weg geht das Unternehmen Microsoft mit dem Strider GhostBuster. Dieses Rootkit Suchsystem arbeitet nicht wie RootkitRvealer mit Signaturen bekannter Rootkits, sondern vergleicht einerseits den Scan auf API Ebene des Systems, bootet dann von einer sauberen CD und führt erneut einen Scan durch. Ergeben sich hier Unterschiede, ist ebenso wahrscheinlich von einem Befall mit einem Rootkit auszugehen. Security-Papst Bruce Schneiers Kommentar dazu: Simpel, clever, elegant.
Entfernen oder stoppen lassen sich Rootkits damit ebenso wenig wie mit Virenscanner oder Firewallsystem, weil Rootkits auf anderer und sehr viel tieferer Ebene arbeiten. Liegt der Verdacht auf Infizierung mit einem Rootkit nahe, ist eine komplette Formatierung der Festplatte sowie Neuinstallation von System und Anwendungen unabwendbar.
Welche Programme und Tools sind verfügbar, die entweder gezielt nach Rootkit Spuren suchen oder zumindest dabei helfen, mögliche Rootkits näher einzukreisen:
Gezielte Rootkit Suche
Sysinternals RootkitRevealer ist kostenlos verfügbar unter: RootkitRevealer
Suche nach Auffälligkeiten:
Sicherheits- und Datei-Einschränkungen einsehen mit: AccessEnum
pw der Files: hackressort.dl.am
Rootkits waren in der Windows Welt bis vor einiger Zeit noch relativ unbekannt, weil sie zwar vermutlich schon längere Zeit existieren, niemand aber ihre Existenz entdeckte. Innerhalb kürzester Zeit haben sie sich aber zu einem weiteren Plagegeist neben Viren, Würmern, Trojanern und anderen Schädlingen entwickelt. Sie zu identifizieren oder gar zu entfernen, kostet Zeit, Arbeit und reichlich Wissen.
Was sind Rootkits?
Der Begriff Rootkit ist alt und stammt aus der Zeit, als UNIX-Systeme populär waren. Rootkits wurden typischerweise für UNIX-Betriebssysteme genutzt, um die User-Rechte auf den Root-Level auszudehnen (=Administrator). Rootkits für Windows arbeiten allerdings vollkommen anders und dienen normalerweise dazu, schädlichen Code zum Beispiel vor einem Virenscanner zu verbergen.
Momentan gibt es zunehmend verschiedene Schädlinge, die mit Hilfe von Rootkits ihre Existenz verbergen. Daneben gibt es einige bekannte Fälle (darunter der Diebstahl des Half-Life 2 Quell-Codes), in denen Hacker über Rootkits in Systeme eingedrungen sind. Ein deutlicher Beweis dafür, dass die Rootkit-Technik in der Praxis funktioniert. Im Vergleich zum Potenzial ist die aktuelle Bedrohung allerdings noch gering. Doch Rootkits für Windows werden unter Sicherheitsexperten seit Anfang 2005 als eines der wichtigsten Sicherheitsthemen des Jahres gehandelt. Zum Beispiel hat Microsoft jüngst auf der RSA Konferenz vor gefährlichen Rootkits gewarnt.
Wie gefährlich sind Rootkits?
Ein Rootkit an sich verursacht typischerweise keinen Schaden. Nutzt ein Virus, Wurm oder ein Backdoor-Trojaner ein Rootkit, kann der Schädling lange Zeit unentdeckt im System bleiben - selbst dann, wenn der PC mit einem handelsüblichen Virenschutz ausgestattet ist. Wird ein Rootkit von einem Hacker oder Virenschreiber eingesetzt, gestaltet sich häufig auch die Säuberung des Rechners als schwierig.
Ein "Hidden from Windows API" ist immer ein deutliches Zeichen für Rootkit Aktivitäten, da Dateien, Verzeichnisse, Prozesse und andere Vorgänge nicht versteckt werden. Hier genau setzen Rootkits aber an, indem sie die Schnittstelle besetzen, die für sämtliche Vorgänge verantwortlich ist.
Während Trojaner, Würmer und andere Schädlinge dieser Art auf "User" Ebene des Betriebssystems arbeiten und daher noch leichter zu erkennen sind, arbeiten Rootkits im "Kernel" Modus des Systems auf API Ebene (Application Program Interface) und können hier auf sämtliche System Calls zugreifen und manipulieren. Mit System Calls sind in der Tat Basisfunktionen des Betriebssystems gemeint, mit denen das gesamte System kontrolliert und beliebig manipuliert werden kann. So können beispielsweise Ordner versteckt und unbemerkt benutzt oder Ports geöffnet werden, ohne eine Chance für den Anwender, dies zu bemerken. Rootkits sind daher auch als eine Art "Man in the middle" zwischen Betriebssystem und Anwendungen, zwischen Kernel und User-Ebene (Betriebssysteme arbeiten generell auf zwei verschiedenen Ebenen, wobei der Anwender lediglich die obere, die Benutzer-Ebene sieht und direkt benutzen kann).
Auch die sogenannten "Alternate Data Streams" sind ein prima Versteck für Schädlinge. Data Streams sind eine Erweiterung des Dateisystems NTFS, dass seit Windows NT 3.51 zur Verfügung steht und in dem zusätzliche Dateiinformationen eingetragen und enthalten sind. Dumm daran ist nur, weder über den DOS Befehl DIR noch über den Windows Datei-Explorer können ADS sichtbar gemacht werden. Hierfür stehen wieder andere Tools zur Verfügung, die am Ende des Artikels aufgeführt sind.
Welche Malware nutzt Rootkit-Techniken?
In erster Linie "echte" Rootkits wie Hacker Defender und FU, aber auch Spyware-Programme wie EliteToolbar, ProAgent und Probot SE, einige Trojaner darunter Berbew/Padodor und Feutel/Hupigon sowie Würmer (zum Beispiel Myfip.h und Maslan-Würmer).
Ein weiteres Rootkit ist Hacker_Defender. Hacker_Defender ist so ein Rootkit, mit dem Angreifer und insbesondere kriminelle Banden Rechner ohne Wissen des Anwenders kapern und für ihre eigenen Zwecke missbrauchen. Er kann ganze Verzeichnisse verstecken, in denen er dann Dateien, Passwortlisten, illegale Software oder Pornographie speichert. Zudem öffnet Hacker_Defender unbemerkt und unidentifizierbar Ports, versteckt seine Prozesse vor neugierigen Augen oder verbirgt sich hinter anderen laufenden Prozessen. Ziel solcher Rootkits ist Spionagetätigkeit, um Passwörter oder Kontodaten zu erhalten, die meist ganze Banden weltweit für Kontoplünderungen benutzen.
Verschiedene Unternehmen wie Microsoft als Betriebssystemhersteller, Sysinternals als Hersteller von systemnahen Tools und Schutzprogrammen sowie zahlreiche Fachforen wie beispielsweise Wilders Security diskutieren und entwickeln Lösungen, Scanner und Schutzvorrichtungen, die bereits kurze Zeit später von Rootkit Entwicklern analysiert werden, um die gerade erstellten Schutzlösungen wieder auszuhebeln.
So stellt Sysinternals zum Beispiel RootkitRevealer vor, mit dem Rootkits zumindest weitgehend aufgespürt werden können. Das kostenlose Tool arbeitet auf Basis aller bislang bekannten Windows Rootkits. Dabei vergleicht es zwei Suchergebnisse miteinander: Einerseits den Scan auf Windows API Ebene und andererseits den Scan der Rohdaten auf der Festplatte und in der Registrierungsdatenbank. Findet das Tool Diskrepanzen, ist der Rechner mit großer Wahrscheinlichkeit mit einem Rootkit infiziert.
Hilfreiche Software oder Funktionen wie die Windows Systemwiederherstellung greifen in dem Fall nicht, da Rootkits System Calls abfangen, die Wiederherstellung bemerken und sich entsprechend in gesperrten, unüberschreibbaren Bereichen selbst schützen.
Einen weiteren Weg geht das Unternehmen Microsoft mit dem Strider GhostBuster. Dieses Rootkit Suchsystem arbeitet nicht wie RootkitRvealer mit Signaturen bekannter Rootkits, sondern vergleicht einerseits den Scan auf API Ebene des Systems, bootet dann von einer sauberen CD und führt erneut einen Scan durch. Ergeben sich hier Unterschiede, ist ebenso wahrscheinlich von einem Befall mit einem Rootkit auszugehen. Security-Papst Bruce Schneiers Kommentar dazu: Simpel, clever, elegant.
Entfernen oder stoppen lassen sich Rootkits damit ebenso wenig wie mit Virenscanner oder Firewallsystem, weil Rootkits auf anderer und sehr viel tieferer Ebene arbeiten. Liegt der Verdacht auf Infizierung mit einem Rootkit nahe, ist eine komplette Formatierung der Festplatte sowie Neuinstallation von System und Anwendungen unabwendbar.
Welche Programme und Tools sind verfügbar, die entweder gezielt nach Rootkit Spuren suchen oder zumindest dabei helfen, mögliche Rootkits näher einzukreisen:
Gezielte Rootkit Suche
Sysinternals RootkitRevealer ist kostenlos verfügbar unter: RootkitRevealer
Suche nach Auffälligkeiten:
Sicherheits- und Datei-Einschränkungen einsehen mit: AccessEnum
pw der Files: hackressort.dl.am