Community Forum

Backdoor-Funktionalitäten

Ein Rootkit versteckt normalerweise Logins, Prozesse und Logs und enthält oft Software, um Daten von Terminals, Netzwerkverbindungen und der Tastatur abzugreifen. Hinzu können Backdoors (Hintertüren) kommen, die es dem Angreifer zukünftig vereinfachen, auf das kompromittierte System zuzugreifen, indem beispielsweise eine Shell gestartet wird, wenn an einen bestimmten Netzwerkport eine Verbindungsanfrage gestellt wurde. Die Grenze zwischen Rootkits und Trojanischen Pferden ist fließend.

Technische Umsetzung

Das Merkmal eines Rootkits ist es, dass es sich ohne Wissen des Administrators installiert und dem Angreifer die Basis zum Installieren von z. B. Viren oder die Möglichkeit zu DDoS („Distributed Denial of Service“, engl. svw. verteilte Diensteblockade) bietet. Rootkits können neue Hintertüren („backdoors“) öffnen. Zudem versuchen Rootkits den Weg ihres Einschleusens zu verschleiern, damit sie nicht von anderen entfernt werden.

Application-Rootkits

bestehen lediglich aus modifizierten Systemprogrammen. Aufgrund der trivialen Möglichkeiten zur Erkennung dieser Art von Rootkits finden sie heute kaum noch Verwendung.

Heutzutage finden sich fast ausschließlich Rootkits der folgenden drei Typen:

Kernel-Rootkits

ersetzen Teile des Betriebssystemkerns durch eigenen Code, um sich selbst zu tarnen („stealth“) und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen („remote access“), die nur im Kontext des Kernels („ring-0“) ausgeführt werden können. Dies geschieht am häufigsten durch Nachladen von Kernelmodulen. Man nennt diese Klasse von Rootkits daher auch LKM-Rootkits (LKM steht für engl. „loadable kernel module“). Einige Kernel-Rootkits kommen auch ohne LKM aus, da sie den Kernelspeicher direkt manipulieren. Unter Windows werden Kernel-Rootkits häufig durch die Einbindung neuer .sys-Treiber realisiert.

Userland-Rootkits

sind vor allem unter Windows populär, da sie keinen Zugriff auf der Kernel-Ebene benötigen. Sie stellen jeweils eine DLL bereit, die sich anhand verschiedener API-Methoden (SetWindowsHookEx, ForceLibrary) direkt in alle Prozesse einklinkt. Ist diese DLL einmal im System geladen, modifiziert sie ausgewählte API-Funktionen und leitet deren Ausführung auf sich selbst um („redirect“). Dadurch gelangt das Rootkit gezielt an Informationen, welche dann gefiltert oder modifiziert werden können.

Speicher-Rootkits

existieren nur im Arbeitsspeicher des laufenden Systems. Nach dem Neustart („booten“) des Systems sind diese Rootkits nicht mehr vorhanden.

Prominente Rootkits der letzten Jahre

• Die Firma Sony BMG kam in die Schlagzeilen und musste diverse Musik-CDs zurückrufen, nachdem bekannt wurde, dass sich der von Sony eingesetzte Kopierschutz XCP („Extended Copy Protection“) für Musik-CDs mit Methoden eines Rootkits in Windows-Systemen einnistete. Obwohl selbst kein Virus bzw. Trojaner, eröffnet allein dessen Existenz weiterer „Malware“ Tür und Tor.^[1]
• Zwischenzeitlich gab es auch einen USB-Stick mit Fingerabdruckleser^[2] von Sony, dessen Software zur vollen Funktionsfähigkeit ein Rootkit im Windows-Verzeichnis versteckte. Allerdings wurde einer Pressemitteilung von Sony zufolge die Produktion und der Vertrieb dieses USB-Sticks Ende August 2007 wieder eingestellt^[3]
• Die Firma Kinowelt verkauft derzeit in Deutschland DVDs mit einem von Settec entwickelten Kopierschutz, der unter Windows ebenfalls ein Userland-Rootkit zum Verstecken von Prozessen installiert
• Forscher der University of Michigan haben eine Variante entwickelt, virtuelle Maschinen als Rootkits („Virtual Machine Based Rootkits“) zu verwenden. Die Arbeit an diesem Projekt mit Namen SubVirt wurde unter anderem von Microsoft und Intel unterstützt. Das Rootkit, das mittlerweile von Wissenschaftlern und Microsoft-Mitarbeitern entwickelt wurde, sollte auf dem „IEEE Symposium on Security and Privacy“ im Mai 2006 präsentiert werden
• Auf der Konferenz Black Hat im Januar 2006 wurde ein möglicher Rootkit-Typ vorgestellt, der selbst eine Reinstallation des Betriebssystems oder ein Neuformatieren der Festplatte überlebt, indem er das ACPI („Advanced Configuration and Power Interface“) manipuliert oder sich im PC-BIOS festsetzt

 

Howtos, Tests

• Jörgs Bastelstunde: Wir bauen uns einen privaten Rootkit-Detektor. Braucht jeder.
  
• Einführung in IceSword. Muss mal die restlichen Artikel schreiben.
  
• Vergleich Anti-Rootkit Programme. Ist schon wieder veraltet, muss ich mal neu machen.
  

Rootkits (Beschreibung)

• Neues Demo-Rootkit Unreal erschienen. Und wir dachten, wir haben schon alles gesehen.
  
• Goldun / CsdDriver.sys / MemMan.dll entfernen. Kein sehr cleveres, aber böses Rootkit.
  
• Neues Demo-Rootkit phide_ex. Mal was neues.
  
• Zcodec-Ruins Rootkit Analyse, entfernen. Malware Rootkit von zcodec.com.
  
• Neues Demo-Rootkit "RkUnhooker Test Rootkit". Fieses Demo-Rootkit der RootKit UnHooker-Macher.
  
• BlackLight = Blindfisch. BlackLight vs fhide.sys alias BackDoor.Generic3.ALN alias Rootkit.Win32.Agent.cb. Oh oh oh.
• Alpha-DVD entfernen. Kopierschutzrootkit von Mr. & Mrs. Smith.

Anti-Rootkit Software

• Test Avira AntiRootkit Tool 1.0.1.10 (Beta). Mit schmutzigen Tricks.
  
• Was Sie schon immer über IceSword wissen wollten.
  
• IceSword findet Unreal-Rootkit (teilweise). Besser als nichts.
  
• Obskure Rootkit-Detektoren (Teil 1). Hook Explorer, HiddenFinder, Process Master, ProcessGuard, RootKit Hook Analyzer und RootkitShark.
  
• Rootkit Unhooker 3.01 erschienen. Schon fertig.
  
• Test Avira AntiRootkit Tool 1.0.1.5 (Beta 3). Made in Germany.
  
• IceSword 1.20 für Vista erschienen. Jetzt brauche ich nur noch Vista.
  
• Test Trend Micro RootkitBuster. Geht so.
  
• Rootkit Unhooker 3.0 RC 4 erschienen. Nähert sich der Vollendung.
• Test GMER Anti-Rootkit 1.0.1.2. Wie kein anderer.
• Rootkit Unhooker 3.0 RC 1 erschienen. Schwere Zeiten brechen an für Rootkit-Authoren.
  
• Neue Version 1.20 von IceSword. Der Klassiker. Mit kleinen Schwächen.
  
• Rootkit Unhooker 3.0 Beta 1 erschienen. Wird immer besser.
• Sophos Anti-Rootkit. Netter Versuch.
• BitDefender Rootkit Uncover taugt nichts. Kein Kommentar.
• RAIDE - Rootkit Analysis Identification Elimination. Netter Versuch.
  
• MSRT vs. Rootkits - 0:1. Microsoft greift ins Klo.
  
• Rootkit Uncover BETA. Eher lahme Anti-Rootkit Software.
  
• IceSword nicht perfekt. Oh oh.
  
• DarkSpy 1.0.5 erschienen. Exzellente Anti-Rootkit-Software.
  

Allgemein

• lzx32.sys erzeugt Bluescreen? Was man mit Data-Mining so alles rausfindet.
  
• Wie gefährlich sind Treiber?
  
• McAfee: Open-Source und Blogs schuld an Rootkits

Weitere Informationen (Links)

• Uninformed. Trotz des lustigen Namens sind die Autoren für gewöhnlich bestens informiert.
• Rootkit.com. Was sonst.

So funktionieren Rootkits
In der Windows-Welt bezeichnet der Begriff Rootkit ein Programm, das Dateien auf einem Rechner so versteckt, dass der Anwender diese nicht mehr entdecken kann. Bei den Dateien handelt es sich meist um schädlichen Code – etwa Spyware, Trojaner oder einen heimlich installierten Kopierschutz. Das Rootkit manipuliert die Kommunikation zwischen Anwendungen und dem Betriebssystem. Es filtert dabei Informationen, die eine Anwendung vom System angefordert hat.
Zwei Arten: Rootkits lassen sich in zwei Gruppen einteilen – je nachdem, wie sie vorgehen. Die erste Gruppe bilden Rootkits, die sich tief in das System eingraben. Sie installieren sich zwischen zwei Schichten der Systemfunktionen und filtern dann Informationen. Da sich diese Rootkits dabei im Kern des Betriebssystems (englisch: Kernel) verankern, werden sie auch als Kernel-Rootkits bezeichnet.
Ein Beispiel: Das Rootkit kopiert die Dateien Schädling.EXE und Spionage.DLL sowie Teile von sich selbst in ein Verzeichnis. Dann manipuliert es den Kernel so, dass diese Dateien nicht mehr angezeigt werden – weder mit dem Windows-Explorer noch mit irgendeinem anderen Dateimanager. Sie sind unsichtbar und können aus der Tarnung heraus beliebigen Schaden anrichten.
Die zweite Gruppe agiert auf der Ebene der Anwendungen. Diese Rootkits manipulieren laufende Prozesse im Speicher und enthalten auf diese Weise den Anwendungen einen Teil der angeforderten Informationen vor. Ein Beispiel sind FU-Rootkits, die dafür sorgen, dass der laufende Prozess eines Schädlings versteckt wird – unter anderem ist er auch in der Prozessliste des Taskmanagers nicht mehr zu sehen.

So funktioniert ein Rootkit

So schleichen sich Rootkits ein
Die Technik der Rootkits beschränkt sich darauf, Schad-Software zu verstecken. Sie bietet keinen speziellen Code, um sich selbst zu verbreiten. Tatsächlich streuen die Gauner Schädlinge mit Rootkit-Technik wie gewöhnliche Trojaner – also über Sicherheitslücken in Windows und Anwenderprogrammen. Beliebt ist nach wie vor auch der alte Trick mit dem Mailanhang, der eine Rechnung, Mahnung oder Ähnliches sein soll, in Wirklichkeit aber der Schädling ist.

Einige Rootkits gibt es als Source Code frei im Internet, andere wurden verkauft. Vor allem die Verbreiter von Spyware haben sich darauf gestürzt. Ihnen kommt die Rootkit-Technik gerade recht, weil ihre Spionageprogramme auf diese Weise unentdeckt auf den PCs der Anwender arbeiten. Schließlich lässt sich mit dem Sammeln von Daten ein Haufen Geld verdienen.
Per Rootkit-Technik werden auch viele Trojaner verbreitet. Sie machen einen Rechner fernsteuerbar, so dass der Programmierer des Schadcodes ihn etwa als Spam-Versender missbrauchen kann. Und das ist wiederum ein sehr lukratives Geschäft.

Für technisch interessierte Anwender
Rootkits können sich an vielen Stellen in Windows einklinken. Für technisch Interessierte stellen wir hier eine Methode vor.
Subsystem: Die Sicherheitsarchitektur von Windows NT 4, 2000 und XP sieht vor, dass der Kern des Betriebssystems geschützt wird. Er selbst und einige Treiber laufen im Kernel-Modus und haben Zugriff auf alle Funktionen des Systems ebenso wie auf die Hardware. Anwendungen dagegen arbeiten im User-Modus, der nur minimale Zugriffsrechte besitzt.
Trotzdem brauchen Anwendungen Informationen über das System. Beispielsweise muss ein Dateimanager natürlich wissen, welche Dateien auf der Festplatte gespeichert sind. Darum arbeitet Windows mit einem Subsystem, über das eine Anwendung Infos vom Systemkern anfordern kann – die API (Application Programming Interface). Dieses Subsystem bietet Dynamic Link Libraries (DLLs), etwa die Kernel32.DLL, User32.DLL, Gdi32. DLL und Advapi32. DLL.
Die IAT-Manipulation: Startet man ein Programm, wird es in den Arbeitsspeicher geladen. Der Loader des Subsystems wertet dabei auch die Import Address Table (IAT) der Programmdatei aus. Darin stehen unter anderem die benötigten DLLs und ihre Funktionen. Ein Beispiel ist „FindFirstFile“ aus der Kernel32.DLL, die letztlich auch die Funktion „FindNextFile“ zurückgibt. Zusammen mit dem Aufruf der Funktion „NtQueryDirectoryFile“ aus dem EAX-Register lassen sich so alle Dateien eines Verzeichnisses lesen.
Ein Rootkit kann sich nun zwischen eine Anwendung und das System schieben, in dem es Funktionen in der IAT der Anwendung auf sich selbst umleitet und damit zwischen der Anwendung und der Kernel32.DLL steht.

Abwehr & Tests
So schützen Sie sich
Eine gute Nachricht gibt’s bei den Schutzmaßnahmen. Denn alle bekannten Kernel-Rootkits können sich nur ins System einklinken, wenn sich der Anwender mit Admin-Rechten angemeldet hat. Arbeiten Sie aber mit Benutzerrechten, dann haben die Rootkits keine Chance. Ein entsprechendes Konto erstellen Sie unter Windows XP und Vista über „Systemsteuerung, Benutzerkonten“. Achtung: Sie müssen immer auch ein Konto mit Administratorrechten behalten, damit Sie etwa noch neue Programme unter Windows installieren können.
Als zweite Schutzmaßnahme setzen Sie eine gute Sicherheits-Software ein. Unser Test hat gezeigt, dass leistungsfähige Antiviren-Tools Rootkit-Schädlinge schon vor der Installation stoppen können.

Test: Die besten Rootkit-Finder
Wir wollten wissen, welche Tools Sie am besten gegen Rootkits schützen. Darum haben wir 12 Programme nach Rootkits suchen lassen. Die Tools stammen zum einen aus der Gruppe der klassischen Antiviren-Programme, zum andern sind es spezielle Antirootkit-Finder. Im Test sind auch zwei Sicherheits-Utilities von Microsoft, der Windows Defender und das Windows Tool zum Entfernen bösartiger Software, die ein Zwischending zwischen klassischem Antiviren-Programm und Spezial-Tool sind.
Das Ergebnis: Antiviren-Programme, die sich in der Vergangenheit einen guten Ruf bei der Suche nach Viren erworben haben, schneiden mittlerweile auch bei der Jagd auf Rootkits gut ab. So teilen sich gleich zwei klassische Antiviren-Tools den ersten Platz: Norton Antivirus und Kaspersky Anti-Virus zeigen eine beinahe identisch gute Leistung und erringen beide 29 von 31 Punkten. Mit deutlichem Abstand, aber mit noch guten Ergebnissen kommt das kostenlose Antivir PE Classic auf den dritten Rang, gefolgt vom Antiviren-Kit.
Auf Platz 5 landet das erste speziell auf Rootkits optimierte Programm: Blacklight bietet keinen klassischen Dateiscanner oder Wächter, denn es ist nur für die Suche nach bereits aktiven Rootkits ausgelegt. Entsprechend kann es keine Installationsdateien finden und deshalb diese Punkte nicht für sich verbuchen. Die weiteren Tests absolvierte das Tool dagegen mit Bravour und erlaubte sich keinen einzigen Fehler. Fast ebenso gut schneidet das Spezial-Tool Rootkit Unhooker ab.
Die übrigen Testkandidaten empfehlen sich nicht für den Einsatz gegen Rootkits beziehungsweise sollten sie nur in Betracht kommen, wenn die anderen Tools doch mal versagt haben.
Übrigens: Das Microsoft-Tool Windows Defender meldete die Installationsversuche der Rootkits mit der allgemeinen Warnung, dass ein Programm versuche, Änderungen am System vorzunehmen. Wachsamen, fortgeschrittenen Anwendern genügt diese Information, um ihren PC vor Rootkits abzuschotten.

Testergebnisse
Wie wir testen: Die Spezialisten Andreas Marx und Guido Habicht vom Sicherheitslabor AV-Test haben die 12 Programme auf die Suche nach Rootkits geschickt. Die Tools mussten zeigen, ob sie die Installationsdateien finden, aktive Rootkits aufspüren und diese entfernen können. Für jede erfolgreiche Aktion gibt’s einen Punkt. Insgesamt konnte ein Tool 31 Punkte sammeln. Tools, die keinen klassischen Dateiscanner bieten und somit auch keine Installationsdateien finden können, können diese Punkte von Haus aus nicht einheimsen.

So setzen Sie die Schutz-Tools ein
Damit sich erst gar kein Rootkit auf Ihren PC einschleichen kann, arbeiten Sie nur mit Benutzerrechten und setzen ein Antiviren-Programm ein. Empfehlenswert sind die ersten vier Tools aus der Tabelle. Denn jedes Programm spürte bereits die Installationsdateien der Rootkits auf. Die Wächter blocken somit die Schädlinge ab, noch bevor sie das System verändern.

Wichtig ist: Um wirksam vor Rootkits schützen zu können, muss die Antiviren-Software auf einem aktuellen Stand sein. Regelmäßige Updates der Virensignaturen sind also ein Muss.
Der Schutz lässt sich optimieren, indem Sie ab und an zusätzlich das kostenlose Blacklight von F-Secure einsetzen. Es fand im Test auch die Schädlinge, die Prozesse verstecken, und ergänzt somit die anderen Tools optimal. Blacklight läuft immer nur ein paar Wochen und muss dann in einer neuen Version von der Hersteller-Site heruntergeladen werden. Das spielt aber keine Rolle, denn der Download ist weniger als 1 MB groß.

Gratis-Schutz: Wer als Antiviren-Programm das beliebte Antivir PE Classic einsetzt und mit Blacklight ergänzt, macht seinen PC sicher – und zwar kostenlos. Allerdings sollten Sie dann häufiger mit Blacklight prüfen, ob sich nicht doch ein Rootkit eingeschlichen hat. Denn Antivir fand nicht so zuverlässig wie die beiden Testsieger auch bereits versteckte Rootkits.
Gestoppt: Ihr Antiviren-Programm meldet, dass sich gerade ein Rootkit auf Ihrem Rechner installieren will? In diesem Fall hat es die Installation bereits verhindert, und Sie müssen nur noch das Löschen der gefährlichen EXE-Datei bestätigen. Ihrem System ist nichts passiert.
Neu-Installation: Anders sieht es aus, wenn bei einem Scan das Antiviren-Programm meldet, dass auf dem PC bereits ein Rootkit aktiv ist. Zwar waren im Test die guten Tools in der Lage, den Code zu entfernen. Doch es tauchen immer wieder Schädlinge auf, die automatisch neuen Code aus dem Internet nachladen. Ob das Antiviren-Programm auch diesen erkennt, ist nicht garantiert. Somit sollten Sie Ihr System neu aufsetzen, wenn auf Ihrem PC ein aktives Rootkit gefunden wurde.