Rootkits sind eine Sammlung von versteckter Software, die privilegierten Zugriff auf ein Betriebssystem bietet und gleichzeitig deren Anwesenheit verbirgt. Als harmlose Programme verstecken sie Malware, Keylogger, Kennwort- und Berechtigungsnachweisdiebstahler sowie Bots, die einen Computer oder ein Netzwerk infiltrieren sollen, sodass Cyberkriminelle auf geschützte Daten zugreifen und das System unentdeckt übernehmen können.
Rootkits können über USB installiert oder über Social-Engineering-Taktiken wie Phishing auf einen Computer heruntergeladen werden. Nach der Installation sind Rootkits nicht erkennbar und können Sicherheitstools wie Antivirus oder Anti-Malware blockieren. Ein Rootkit verbirgt nicht nur seine Anwesenheit, sondern auch Malware, Viren und andere Software-Nutzdaten, um heimlich zu arbeiten. Sie infizieren das System, erstellen einen Backdoor-Eintrag und gewähren Hackern Administratorrechte, um ohne Wissen oder Zustimmung des Eigentümers remote auf einen Computer oder ein Netzwerk zuzugreifen.
Verwendung von Rootkits
Rootkits können eine treibende Kraft sein, z. B. die Bekämpfung von Piraterie, die Durchsetzung des Digital Rights Management (DRM), das Aufdecken und Verhindern von Betrug in Online-Spielen und das Erkennen von Angriffen in einem Honeypot. Im Allgemeinen sind Rootkits jedoch eine Plattform für Hacker, um unbefugten Zugriff zu ermöglichen, schädliche Softwareprogramme zu verbergen und das gefährdete Betriebssystem in einen Host zu verwandeln, um andere Computer im Netzwerk anzugreifen.
Arten von Rootkits
Sobald Rootkits in das System eintreten, verhalten sie sich mit eskalierenden Berechtigungen und können sich wie ein Trojanisches Pferd verhalten, das ihre Existenz verdeckt, indem es die Sicherheitstools untergräbt und die Treiber und Kernelmodule eines Betriebssystems ändert. Sie kommen in fünf Varianten:
- Benutzermodus Läuft zusammen mit anderen Anwendungen als Benutzer und arbeitet auf Ring 3-Ebene mit eingeschränktem Zugriff auf den Computer. Es kann jedoch die Prozesse abfangen, ändern, ändern und den Speicher anderer Anwendungen überschreiben.
- Kernel-Modus ist am schwierigsten zu erkennen und zu entfernen, da es sich bei Ring 0 verhält und ausgeführt wird und dieselben Berechtigungen mit dem Administrator eines Betriebssystems teilt.
- Bootkits sind eine Art Kernelmodus-Rootkit, das den Startcode oder den Bootsektor eines Computers infiziert, um die Festplattenverschlüsselung anzugreifen.
- Hypervisor nutzt die Virtualisierungsfunktionen der Hardware und fängt die Kommunikation zwischen Betriebssystem und Hardware ab. Es verhält sich wie eine virtuelle Maschine, die das Betriebssystem hostet.
- Firmware Rootkits sind im System-BIOS einer Geräte- oder Plattform-Firmware wie Festplatte, RAM, Netzwerkkarte, Router und Kartenleser versteckt.
Erkennung und Entfernung
Das Erkennen von Rootkits kann schwierig sein, insbesondere wenn das Betriebssystem bereits durch ein Kernelmodus-Rootkit infiziert, untergraben und gefährdet ist. Es gibt jedoch Möglichkeiten, Rootkits zu erkennen, z. B. die Verwendung von Antivirensoftware, die Überprüfung der Systemintegrität, die Verfolgung der CPU-Auslastung und des Netzwerkverkehrs, das Scannen von Signaturen und die differenzbasierte Erkennung.
Ebenso wie es schwierig sein kann, Rootkits zu entlarven, können sie auch nicht manuell entfernt werden. Einige Rootkits können jedoch von Antivirus oder Antimalware erkannt und entfernt werden. Der einfachste Weg, Rootkits loszuwerden, besteht darin, das Betriebssystem und seine Anwendungen neu zu installieren.