Rootkits – Der neue Malware Trend
Seit relativ kurzer Zeit geistert mal wieder ein neuer Begriff durch die weite Medienwelt: Rootkits. Was für einen wörterbuchbewaffneten Laien wie eine Mischung aus „Wurzel“ und „Versiegelungsmaterial“ klingt hat in Wirklichkeit damit sehr wenig zu tun. Vielmehr entstammt der Begriff ursprünglich dem Unixwortschatz, wo der „root“ der User mit den höchsten Zugriffsrechten ist, ähnlich dem Administrator bei Windows. Rootkits gibt es für Unix respektive Linux schon etwas länger, inzwischen hat der Trend jedoch auch die ohnehin schon geplagten Windows Anwender erreicht. Doch fangen wir im wahrsten Sinne des Wortes bei den Wurzeln an.
Benutzer mit den Rechten eines „root“ bzw. Administrators haben wie gesagt vollen Zugriff auf das Betriebssystem. Umso interessanter ist es für Angreifer und Schadprogramme an genau diese Rechte zu kommen und diese natürlich auch zu behalten. Nun ist es aber so, dass eigentlich jede Veränderung und jeder Zugriff in irgendeiner Weise bemerkbar ist, sei es anhand der Datumsänderung einer Datei, Logfile Einträgen oder aufgrund eines neu laufenden Prozesses, die Möglichkeiten sind nahezu unbegrenzt. Als kluger Angreifer möchte ich aber natürlich nicht erkannt werden und meinen Zugriff auf das Opfer behalten. Also was tue ich? – Ich erfinde das Rootkit.
Ein Rootkit soll also die Zugriffsmöglichkeit eines Angreifers erhalten. Dies geschieht durch das Verschleiern der verursachten Spuren, so dass der eigentliche Administrator den Eindringling nicht bemerken kann. Grundsätzlich unterscheidet man zwei verschiedene Arten von Rootkits. Während „Kernel Rootkits“ meistens Teile des Betriebssystemkerns (eben den „Kernel“) um einen eigenen Code ergänzen (teilweise allerdings auch nur Datenstrukturen), so kommen besonders bei Windows so genannte „Usermode Rootkits“ zum Einsatz.
„Usermode Rootkits“ werden entweder regulär per Programmstart während dem Systemstart geladen oder danach durch einen so genannten „Dropper“ injiziert. Die genauen Ausführungsmöglichkeiten sind relativ vielseitig und hängen stark vom eingesetzten Betriebssystem ab – während Rootkits unter Windows besonders bestimmte Grundfunktionen der Windows DLL Dateien manipulieren, wird bei Unix oftmals gleich eine komplette Anwendung ersetzt.
Einmal gestartet geht das Rootkit nun seiner Bestimmung nach – dem Verwischen von Spuren. Auch hier sind die Variationen so vielseitig wie die Möglichkeiten, einen Eindringling aufzuspüren. Um mal ein sehr simples Beispiel aufzuführen: Es gibt eine eigene Funktion innerhalb von Windows, die für das Auflisten von Ordnerinhalten zuständig ist. Das Rootkit kann nun jene Grundfunktion („API“) so verändern, dass der eigene Dateiname nicht mehr angezeigt wird – und schwups, die Datei ist für den normalen Anwender unsichtbar. Durch die Manipulation anderer Windows-APIs können nicht nur Dateien und Ordner versteckt werden, sondern auch aktive Programme, verwendete offene Ports zur Netzwerk-Kommunikation oder Registry Schlüssel. Natürlich sind dies nur einige von etlichen verschleiernden Maßnahmen die Rootkits verwenden.
Kommen wir nun zu einem Faktum, welches zunächst ein wenig paradox klingen mag: Rootkits an sich sind ungefährlich. Ihre einzige Bestimmung ist das Verstecken von Software und deren Spuren. Ob es sich dabei um reguläre Software oder schadhafte Programme wie Backdoors handelt, ist irrelevant.
Ein sehr schönes Beispiel dafür ist ein Ende 2005 genauer analysierte CD Kopierschutz der Firma Sony BMG. Der Windows-Spezialist Mark Russinovich deckte auf, dass bei Nutzung einer entsprechend geschützten CD automatisch und ohne Einwilligung des Benutzers eine Software installiert wird, die nicht in der Prozessliste auftaucht und auch nicht deinstalliert werden kann; sprich sie verbirgt sich vor dem Anwender. Diese Kopierschutz-Software sollte ursprünglich verhindern, dass Käufer einer Musik CD die Audiodaten in irgendeiner Weise auslesen und möglicherweise unberechtigt weiter verbreiten können.
Spätestens seit diesem Fauxpas von Sony BMG haben Rootkits stark an Popularität dazu gewonnen. In jenem Fall stellt sogar das Rootkit selber ganz im Gegensatz zu der versteckten Software des Kopierschutzes eine indirekte Gefahr dar: Denn findige Programmierer können die Grundfunktion des auf einem Rechner installierten Sony BMG Rootkit dazu verwenden, eigene (Schad-) Software zu tarnen. Sony hatte in diesem Fall verpasst, dem ohnehin schon sehr fragwürdigen und aggressiven Kopierschutz eine notwendige Sicherung einzubauen, die dafür sorgt, dass ausschließlich die eigenen Dateien versteckt werden. Somit kann jeder Angreifer durch die Verwendung bestimmter Variablen die eigene Schadsoftware mit Hilfe des Sony Rootkits verstecken.
Sony kam bei der ganzen Geschichte mit einem blauen Auge davon. Die Musik CDs mit dem besagten Kopierschutz wurden mit einer Rückrufaktion kostenlos ausgetauscht. Die endgültigen gerichtlichen Folgen dieses Fehlers sind heute jedoch noch nicht abzusehen, zumal bereits viele Kunden in den USA Klagen angedroht haben.
Eine weitaus größere Gefahr geht jedoch von so genannten Hybriden aus. Als Hybrid bezeichnet man allgemein eine Kreuzung zweier oder mehrerer Malware Typen, wie z.B. einem Virus mit einem Wurm. Ein sehr prominentes Beispiel für einen Wurm-Virus-Hybriden wäre der Magistr Wurm, der vor einigen Jahren sein Unwesen trieb. Prinzipiell denkbar und teilweise bereits existent sind folglich natürlich auch Rootkit Hybriden, die die Funktion eines bereits existenten Schädlings um die Tarnfähigkeit eines Rootkits erweitern. Mehrere solcher Rootkit Hybriden sind bereits bekannt. Der Trojaner Optix Pro z.B. besitzt bereits seit mehreren Jahren Rootkit Funktionen, um seine Präsenz auf einem infizierten PC zu verstecken. Auch Würmer, wie eine jüngst aufgetretene neue Bagle Variante, können sich der Rootkit Techniken bedienen um ihre Präsenz zu verstecken.
Vermutlich werden wir in naher Zukunft noch viel mehr über Rootkits zu lesen und zu hören bekommen. Man könnte es als normale „Sicherheitsevolution“ ansehen, dass mit steigendem Schutz in Form von Sicherheitsprogrammen und versiegelten Sicherheitslöchern auch die Kreativität der Angreifer steigen muss. Das Aufspüren und Blocken von Rootkit Technologie stellt ein schwieriges Unterfangen dar, da ein einmal installiertes Rootkit sich je nach Schöpfer auch vor Virenscannern und ähnlichem Vernichtungsmittel tarnen kann. Umgekehrt müssen aber erstmal infizierte Systeme entdeckt und analysiert werden, damit entsprechende Signaturen und Verhaltensmuster erstellt werden können – die bei der nächsten Attacke mit der nächsten Generation wieder nicht helfen.
Einen völlig neuen Weg geht daher bekanntlich Emsisoft Anti-Malware mit seinem Malware-IDS (Intrusion Detection System). Das innovative Malware-IDS erkennt Zugriffe auf relevante Systemfunktionen und bietet die Möglichkeit, diese zu unterbinden. Daher ist Emsisoft Anti-Malware vollkommen signaturunabhängig in der Lage, auch neueste Rootkits effektiv abzuwehren. Die zukunftsweisende Architektur zeigt sich auch darin, dass bereits vor über einem Jahr die Ausführung der damals noch sehr unpopulären Rootkits von Emsisoft Anti-Malware erfolgreich verhindert werden konnte.
Wir wünschen einen guten (Malware-freien) Tag!