Rootkit
Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse zu verstecken und Daten mitzuschneiden.
Der Name Rootkit entstand aus der Tatsache, dass die ersten Sammlungen von Unix-Tools zu oben genannten Zwecken aus modifizierten Versionen der Programme ps, netstat, passwd usw. bestanden, die dann jede Spur des Angreifers, die sie normalerweise zeigen würden, verbargen, und es dem Angreifer so ermöglichten, mit den Rechten des Systemadministrators root zu agieren, ohne dass der wirkliche Administrator dies bemerken konnte.
Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen. Dazu können Backdoors (wörtlich Hintertürchen) kommen, durch die es dem Angreifer zukünftig vereinfacht wird, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn auf einem bestimmten Netzwerkport eine Verbindung hereinkommt. Die Grenze vom Rootkit zum trojanischen Pferd ist oft fließend.
Es gibt zwei große Gruppen von Rootkits. Bei Application-Rootkits werden einfach legitime Programmdateien durch modifizierte Versionen ersetzt. Diese Rootkits sind jedoch relativ einfach durch den Vergleich der Prüfsummen der Programmdateien aufzuspüren. Hierbei ist zu beachten, dass Programme wie md5sum ebenfalls oft kompromittiert werden. Kernel-Rootkits ersetzen Teile des Betriebssystem-Kerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. loadable kernel module). Einige Kernel-Rootkits kommen durch die direkte Manipulation von Kernelspeicher auch ohne LKM aus.
Der Begriff ist heute nicht mehr allein auf Unix-basierte Betriebssysteme beschränkt, da es inzwischen Tools gibt, die ähnliche Funktionalität auch für Nicht-Unix-Systeme bieten, obwohl diese natürlich keinen root-Account haben.
Siehe auch: Skriptkiddie, Dropper, Malware
Weblinks
- C't-Artikel "Kostenloser Spürhund, RootkitRevealer spürt Hintertüren auf" zu Rootkits unter Windows XP (siehe auch [1])
- http://research.microsoft.com/rootkit/
- RootkitRevealer von Sysinternals.com Hilft verdächtige Hinweise auf Rootkits unter Windows XP zu finden (en)
- Rootkit Downloads Rootkit Downloads zur Funktionsanalyse. (de)
- chkrootkit Erkennt Rootkits unter Linux und anderen UNIX-Derivaten (en)
- Rootkit Hunter Erkennt Rootkits unter Linux und BSD (en)