Das ABC der Cybersicherheit – R wie Rootkit

Der Begriff Rootkit ist eine Zusammensetzung aus zwei Wörtern: Root ist der Benutzer mit den meisten Rechten in einem Unix-basierten Betriebssystem, und Kit bezeichnet die Softwaretools, aus denen das Rootkit besteht. Rootkits gab es schon in den frühen 90er Jahren, wobei diese seinerzeit hauptsächlich auf Sun- und Linux-Rechner abzielten. Das Aufkommen neuer Betriebssysteme führte dann freilich auch zur Entwicklung von Rootkits für Windows im Jahre 1999, entsprechende Exemplare für den Mac folgten 2009.

Was sind Rootkits und wie funktionieren sie?

Anders als herkömmliche Malware manipulieren Rootkits den von ihnen infizierten Computer auf einer elementaren Ebene. Sie haben es nicht darauf abgesehen, einzelne Dateien oder Ordner unbrauchbar zu machen, sondern sie ändern alles, was das Betriebssystem an den Benutzer zurückmeldet, im Sinne Ihres Urhebers.

Je nachdem, wie sie arbeiten, unterscheidet man zwei Hauptkategorien von Rootkits: User-Mode-Rootkits und Kernel-Mode-Rootkits. Wenn wir begreifen wollen, wie ein Rootkit sich im Betriebssystem einnistet, müssen wir zunächst die Funktionsweise eines Betriebssystems verstehen. Alle Anwendungen auf Ihrem Computer kommunizieren mithilfe von Funktionsaufrufen, die über die API (Application Programming Interface, also Anwendungsprogrammierschnittstelle) des Betriebssystems geleitet werden. Ein User-Mode-Rootkit klinkt sich in die IAT (Import Address Table) ein - eine Liste mit den Adressen aller APIs oder Systemfunktionen, die vom Kernel des Betriebssystems ausgeführt werden müssen, damit das Programm funktioniert.

Bei Kernel-Mode-Rootkits werden Systemtreiber verwendet, die sich in den Kernel einhängen, um API-Aufrufe zwischen den Benutzeranwendungen und dem Betriebssystem zu vermitteln. Sobald das Rootkit installiert ist, leitet der Rootkit-Treiber Systemfunktionsaufrufe um, sodass der Code des Rootkits anstelle des Kernel-Codes ausgeführt wird. Wenn Sie zum Beispiel einen Ordner öffnen, um seinen Inhalt anzusehen, fragen Sie normalerweise beim Kernel die Anzahl der Dateien ab, die sich in dem jeweiligen Ordner befinden. Ein Rootkit könnte Ihre Anfrage allerdings abfangen und anstelle des Kernels die Dateien im Ordner melden - und dabei einige weglassen, die Schadinhalt aufweisen. Auf diese Weise bleibt es Ihnen, dem Betriebssystem oder der Anti-Malware-Software verborgen, dass in dem betreffenden Ordner auch solche Dateien enthalten sind.

über das Rootkit erlangt ein Cyberkrimineller vollständige Administratorrechte auf Ihrem Computer und auf die Software und kann problemlos Protokolle einsehen, Ihre Aktivitäten überwachen, vertrauliche Informationen oder Dateien auslesen und die Konfiguration nach Belieben manipulieren. Somit bekommen Sie es noch nicht einmal mit, dass Ihre Passwörter und Daten dem Angreifer frei zur Verfügung stehen.

Rootkits gehören zur Zeit zwar zu den gefährlichsten Bedrohungen, aber sie funktionieren nicht von allein. Für ihre Ausbreitung und Installation ist immer ein Infektionsvektor notwendig. Hacker müssen in der Regel auf Trojaner zurückgreifen oder bekannte Sicherheitslücken des Betriebssystems ausnutzen, um Rootkits einzuschleusen. Aber sobald sich die Rootkits einmal eingenistet haben, öffnen sie Spyware, Würmern, Key-Loggern oder Computerviren Tür und Tor. Ihr Rechner verwandelt sich dann in einen für Sie nutzlosen, vom Hacker ferngesteuerten Zombie, der für DoS-Attacken oder Spam- und Phishing-Angriffe auf Dritte - oft Ihre eigenen Kontakte - eingesetzt werden kann. Da Rootkits umfassende Rechte beim Zugriff auf Ihr Betriebssystem haben, wird Ihr Computer vollständig von den Hackern gekapert, sodass die Rootkits selbst für Malware-Experten kaum auf Anhieb zu entdecken sind.

Rootkits sind allerdings nicht immer Schadsoftware im üblichen Sinne: In einigen Fällen wurden sie schon für andere Arten von Betrügereien genutzt, beispielsweise um ein Copyright oder einen Diebstahlschutz zu umgehen. Andererseits ist bekannt, dass Firmen wie Sony und Lenovo heimlich Rootkits auf den Geräten der Anwender installiert haben, um vom Benutzer nicht gewünschte Software automatisch erneut zu installieren oder um die Nutzung und Verbreitung digitaler Medien zu kontrollieren. Obwohl die Rootkits in diesen Fällen nicht in verbrecherischer Absicht eingeschleust wurden, ergeben sich dadurch Sicherheitslücken, die nach ihrem Bekanntwerden von Hackern später auf einfache Weise ausgenutzt werden können.

Wie kann man Rootkits erkennen und auch wieder loswerden?

Die Suche nach Rootkits ist sehr aufwändig und unter Umständen sogar unmöglich, weil sie vollständig die Kontrolle über Ihren Computer übernehmen - einschließlich der Software, die Sie zur Entfernung der Rootkits einsetzen möchten. Wenn Sie betroffen sind, aber über entsprechende technische Kenntnisse verfügen, können Sie die eine oder andere Maßnahme ausprobieren. Hierzu gehören Signatur-Scans oder die Analyse eines Speicherauszugs. Wenn das Rootkit allerdings den Kernel-Speicher (also das Gehirn Ihres Betriebssystems) übernommen hat, dann müssen Sie sich geschlagen geben: Formatieren Sie die Festplatte, und installieren Sie Ihr Betriebssystem neu.

Wie Sie inzwischen gele haben, sind Rootkits so ausgefuchst, dass Sie diese ohne ein komplettes Neuaufsetzen Ihres Computers nicht wieder loswerden. Wahrscheinlich entdecken Sie ein Rootkit auch erst, wenn es zu spät ist oder wenn Sie versuchen, einen Scan durchzuführen, und das Rootkit den Start Ihres Antivirenprogramms blockiert. Damit Sie nicht ihre gesamten Daten verlieren, sollten Sie sich beim Surfen im Internet einige Verhaltensweisen zu eigen machen:

Verschlüsseln Sie private Daten, und speichern Sie diese vorsichtshalber an mehreren Orten. Da Hacker ein Netzwerk meist über Trojaner angreifen, sollten Sie niemals Anhänge von E-Mails öffnen, deren Absender Ihnen unbekannt sind. Wenn Sie sich ein Video ansehen oder eine Datei öffnen möchten und dabei aufgefordert werden, ein Plugin herunterzuladen, halt! Sorgen Sie dafür, dass Ihre Firewall und Ihre Sicherheitslösung immer auf dem neuesten Stand sind, und führen Sie in regelmäßigen Abständen vollständige Systemprüfungen auf Ihrem Computer durch.

Der Oktober ist der Monat der Cybersicherheit. Hier finden Sie unsere 12 Artikel zum ABC der Cybersicherheit sowie 5 Bonusartikel zu Android-Bedrohungen.