Rootkits – Schadsoftware im System
Rootkits sind mit die schlimmsten Vertreter von Schadsoftware. Ihre
Aufgabe: Sich selbst möglichst tief im System verankern und danach
alles tun, um eine Entdeckung zu verhindern. Sie sind heutzutage nur noch
selten allein anzutreffen, meist sind sie Bestandteil eines umfangreicheren
Schädlings, zuständig für dessen Tarnung und Erhalt.
Rootkits – Unix als Namensgeber
Rootkits stammen ursprünglich aus dem Unix-Umfeld. Ihre
ursprüngliche Aufgabe bestand darin, die Aktionen eines erfolgreichen
Angreifers, der sich Administrator-Rechte (unter Unix eben die des
Benutzers root) beschaffen konnte, vor einer Entdeckung zu
verbergen.
Die
ersten Varianten
der Unix-Rootkits bestanden einfach aus einem präparierten Daemon wie
telnetd oder sshd zum Öffnen einer
Hintertür und einer Reihe modifizierter Tools wie ps zur
Anzeige laufender Prozesse oder ls zum Anzeigen von
Verzeichnislisten, die beim Aufruf die zum Rootkit gehörenden Prozesse
und Dateien nicht anzeigten. Außerdem wurden die Logfiles
manipuliert bzw. das Eintragen verdächtiger Vorgänge verhindert.
Nachdem ein Angreifer sich einen root-Zugang verschafft hatte, installierte
er das Rootkit, um seine weiteren Zugriff zu verschleiern und seine Spuren
zu verwischen.
Von Unix zu Windows und darüber hinaus
Inzwischen gibt es auch Rootkits für andere Systeme, insbesondere
Windows, Mac OS X und Smartphones, sowie für Kernel und User Mode bzw.
Userland. Während die Kernel-Rootkits sich direkt im
Betriebssystem-Kernel einnisten, klinken sich die vor allem unter Windows
verbreiteten Userland-Rootkits über verschiedene API-Methoden in alle
relevanten Prozesse ein.
Ein Spezialfall der Rootkits sind Bootkits, Kernel-Rootkits, die den
Bootloader durch eigene Code ersetzten und daher noch vor dem
Betriebssystem geladen werden. Dadurch können sie alle danach
geladenen Schutzfunktionen unterlaufen, wie z.B. eine
Festplattenverschlüsselung oder die Prüfung zu ladender
Kerneltreiber.
Bootkits – Rootkits im MBR
Wie so oft, begann alles mit der Theorie: Derek Soeder und Ryan Permeh vom
Sicherheitsunternehmen eEye
präsentierten
auf der Sicherheitskonferenz Black Hat USA 2005 das
eEye BootRootKit
als Proof of Concept für Schadsoftware, die aus dem Bootsektor heraus den
Windows-NT-Kernel manipuliert (Paper als
PDF).
Ende 2007 wurde ein darauf basierendes MBR Rootkit “in the wild”
entdeckt.
Das Rootkit
überschreibt
den Master Boot Record der Festplatte mit eigenem Code, der sich beim
Booten in den Kernel einhängt und damit die Kontrolle über das System
erlangt. Die ersten Versionen wurden im Rahmen von
Drive-by-Infektionen
über
kompromittierte
Websites
verbreitet.
Das vorerst namenlose MBR Rootkit
verbreitete
sich von Anfang an erstaunlich
schnell
– oder auch
nicht,
je nachdem, welcher Quelle und welchem Antiviren-Hersteller man weniger
misstraut.
Nun ist es ziemlich unpraktisch, ein MBR Rootkit als MBR Rootkit zu
bezeichnen (auch wenn manche Menschen ihren
Hund Hund
nennen), so dass es bald
“Mebroot”
genannt wurde.
Oder
auch
“Sinowal”
bzw.
“Sinowa”
nach dem installierenden Trojaner, oder
aber
auch
“StealthMBR”.
Vielleicht wäre “MBR Rootkit” ja doch kein so schlechter Name
gewesen… Spass beiseite (obwohl der jetzt eigentlich erst richtig
anfängt): Erst mal ist es ein altes und leidiges Problem, dass die
Antivirenhersteller unterschiedliche Namen für den gleichen
Schädling verwenden, was bei der Flut an neuen Schädlingen gar
nichts ausbleiben kann. Und dann tritt hier ein zweites Problem zu Tage:
Ist dieser Schädling denn nun ein Bootkit, der von einem Trojaner
installiert wird, oder ein Trojaner, der ein Bootkit installiert? Nicht zu
vergessen, dass es ja auch eine Drive-by-Infektion ist, die ohne Zutun des
Benutzers installiert wird, so dass es ja per definitionem kein Trojaner
sein kann. Da sich die Grenzen zwischen den verschiedenen
Schädlingsarten immer mehr verwischen, gibt es immer mehr
Möglichkeiten, einen Schädling einzuordnen und mit einem Namen zu
versehen. Betrachten wir nur mal eine Drive-by-Infektion: Die besteht aus
dem JavaScript-Code zum Aufruf der Exploits, den Exploits für die
verschiedenen Schwachstellen, dem eingeschleusten Schadcode und dem davon
nachgeladenen Schadcode. Ob und wie die zusammen gefasst oder einzeln
benannt werden, hängt ganz allein von den jeweiligen Entdeckern ab.
Und da ein Schädling meist von mehreren Antivirenherstellern parallel
entdeckt wird, wird eine Koordinierung kaum gelingen, so wünschenswert
sie auch ist.
Im Folgenden werde ich für diesen MBR Rootkit den Namen Mebroot
verwenden. Denn hier geht es ja um Rootkits und nicht um den Trojaner, der
es installiert.
Nur der Vollständigkeit halber: 2007 veröffentlichten Nitin und Vipin
Kumar von NVLabs einen weiteren Proof of Concept für ein Rootkit im MBR,
genannt
Vbootkit,
dass die aktuellste Version von Windows Vista infizieren konnte. Die erste
Version von Mebroot lief aber aufgrund mehrerer hardcodierter Adressen
nur unter Windows XP.
Spätere Versionen waren aber
flexibler.
Von Mebroot zu Alureon
Im Mai 2010 berichtete Symantec über
Verbindungen
zwischen Mebroot und dem
Trojaner
Tidserv, während Trend Micro eine
Verbindung
zum Trojaner TDSS meldete. Kein Wunder, denn beide sind identisch – und
haben noch einen weiteren Namen:
Alureon.
Alureon wiederum sorgte im Februar 2010 für Aufregung, weil die
Installation
der Updates zu Microsofts Security Bulletin
MS10-015
auf damit infizierten Rechnern zu einem
Blue Screen of Death
beim Neustart
führte.
Auslöser waren hartkodierte Adressen im Rootkit, die in den neu
installierten Treibern natürlich nicht mehr passten.
Um Alureon geht es auch in der
nächsten Folge,
in der auch das “Stoned Bootkit” vorgestellt wird.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer – Schadsoftware, die sich selbst verbreitet
- Trojaner – Der Feind im harmlosen Programm
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits
-
- Rootkits – Schadsoftware im System
- Rootkits gegen Festplattenverschlüsselung und für BSoD
- TDL4 – Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
- SubVirt und Blue Pill – Rootkits mit Virtualisierung
- Rootkits für Xen und SMM
- Rootkits (fast) in der Hardware
- Rootkits für Smartphones und Mac OS X
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Schadsoftware – Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: windows.developer Magazin 3.2014 – JavaScript in Angreiferhand
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wie vertrauenswürdig ist "Hardware" eigentlich?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Neues eBook: "JavaScript Security – Sicherheit im Webbrowser"
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Cross-Site Scripting im Überblick, Teil 5: Resident XSS
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt