Meister der Tarnung: Was man über Rootkits wissen sollte

5. Kernel-Mode-Rootkit
Um der Entdeckung zu entgehen, entwickelten findige Malwareprogrammierer Rootkits, die im Kernel-Mode laufen. Dabei läuft das Rootkit auf derselben Ebene wie das Betriebssystem und die Rootkit-Erkennungssoftware. Das bedeutet, dass man dem Betriebssystem nicht mehr trauen kann. Ein recht bekanntes Kernel-Mode-Rootkit ist das Da-IOS-Rootkit. Es wurde von Sebastian Munz entwickelt und greift das Cisco-Betriebssystem IOS an.

Ein Kernel-Mode-Rootkit lässt sich durch Instabilitäten entlarven. Wer häufiger mit Bluescreens konfrontiert ist, ohne dass dies auf die üblichen Auslöser zurückzuführen ist, der könnte Opfer eines Kernel-Mode-Rootkits geworden sein. Eine andere Entdeckungsmöglichkeit besteht darin, seine Festplatte inklusive Bootsektor und Partitionstabelle von einer bootfähigen CD zu scannen.

6. Kombination aus User-Mode- und Kernel-Mode-Rootkit
Die meisten modernen Rootkits bestehen aus einer Mischform. Einige Teile sind im User-Mode und andere Teile im Kernel-Mode geschrieben. So lässt sich Stabilität mit Tarnung kombinieren. Reine Kernel-Mode-Rootkits führen oft zum Absturz, wenn man Betriebssystemupdates einspielt, da sie sich an Teile des Kernels andocken müssen, die nicht für das Einklinken von Fremdsoftware vorgesehen sind.

7. Firmware-Rootkits
Firmware-Rootkits stellen die nächste Stufe der Rootkit-Evolution dar. Das Rootkit kann sich in der Firmware verstecken. Ein Festplattenscan – auch von einer Boot-CD – wird nichts finden. Viele Erweiterungskarten besitzen eine updatefähige Firmware. Dabei ist für die Verbreitung nachteilig, dass so ein Rootkit nur auf Computern installiert werden kann, die eine Erweiterungskarte besitzen für die das Rootkit entwickelt wurde.

Extrem hinterhältig verhalten sich Rootkits, die den Microcode des Prozessors verändern. Damit erreicht man, dass Prozessorbefehle nicht mehr so funktionieren wie vom Hersteller angegeben. Da Microcode-Updates nach jedem Starten des Rechners erneut in den Control Store des Prozessors eingespielt werden müssen, benötigt das Rootkit einen Trägerspeicher. Dazu kann das BIOS dienen. Der Dropper des Rootkits muss daher das BIOS modifizieren.

Eine Erkennung von Firmware-Rootkits ist extrem schwierig und aufwändig. John Heasman hat dazu einen Artikel mit dem Titel Implementing and Detecting a PCI Rootkit (PDF) veröffentlicht.

8. Virtuelle Rootkits
Virtuelle Rootkits sind eine ganz neue Art von Rootkits. Sie verhalten sich nach dem Prinzip eines Hypervisors von Virtualisierungssoftware, beispielsweise VMware. Sie können nur Prozessoren mit Hardware-Virtualisierungs-Unterstützung befallen. Diese Prozessoren erlauben einem Hypervisor, Kernel-Mode-Software im Ring 0 bei bestimmten Prozessorbefehlen abzufangen, beispielsweise bei I/O-Befehlen. So gaukeln sie dem Kernel eine Hardware vor, die er automatisch durch Laden eines Treibers unterstützt. Sobald die vermeintliche Hardware initialisiert wird, erlangt das Rootkit volle Kontrolle über den Kernel.

The Blue Pill ist ein solches virtuelles Rootkit. Dabei handelt es sich allerdings um eine Technologiedemonstration der Hackerin Joanna Rutkowska von Coseinc. Bislang ist noch kein einziges virtuelles Rootkit im Umlauf entdeckt worden. Das liegt vermutlich daran, dass virtuelle Rootkits sehr komplex sind, und andere Rootkit-Arten den Cyberkriminellen bis jetzt gute Dienste leisten.

Themenseiten: Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Meister der Tarnung: Was man über Rootkits wissen sollte

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *