Hacker können Sicherheitsprivilegien auf Anwenderniveau erlangen und ein Rootkit installieren, bei dem es sich hauptsächlich um eine Tool-Sammlung zur Schädigung eines Systems oder Netzwerks handelt. Das Rootkit nutzt bekannte Sicherheitsmängel aus oder knackt das Passwort eines Anwenders mit Administratorrechten und verwischt dann die Spuren des Hackers, wodurch die Schädigung nur schwer aufzuspüren ist. Der beste Schutz eines Netzwerks vor Rootkits ist das Wissen um ihre Funktionsweise und die Art des Schadens, den sie anrichten können.
Wie Rootkits arbeiten
Einer der Hauptzwecke eines Rootkits besteht darin, einem Hacker irgendwann einmal ungehinderten und unbemerkten Zugang zu einem System zu ermöglichen. Eine Möglichkeit, dies zu erreichen, ist die Installation eines Backdoor-Prozesses oder der Ersatz einer oder mehrerer Dateien, welche die normalen Verbindungsprozesse ausführen, wie telnet oder ssh. Auf Linux-Plattformen ersetzen die meisten Rootkits auch einige Systembefehle, wie ls, ps, netstat und who.
Neben dem Ersatz von entscheidenden System-Utilities können Rootkits auch Software zur Aufzeichnung der Tastatureingaben und Netzwerk-Sniffer installieren. Obwohl die Schädigung eines Systems und Installation eines Rootkits bereits an sich ein großes Problem darstellen, ist der Schaden, den ein Angreifer mittels eines dieser beiden Utilities verursachen kann, potenziell katastrophal. Mit Hilfe der Software zur Aufzeichnung der Tastatureingaben kann der Angreifer dem Administrator praktisch dabei zuschauen, wie er sich als privilegierter Anwender beim System anmeldet. In manchen Fällen kann der Angreifer den Administrator auch beim Einloggen auf entfernten Computern beobachten und erhält somit auch Zugriff zu diesen.
Verwendet der Hacker ein Rootkit mit Netzwerk-Sniffer können je nach Konfiguration des angegriffenen Netzwerks andere Probleme auftauchen. Ein Beispiel: Aktiviert der Angreifer den Sniffer auf einem geschädigten System und ist dieses System mit einer Netzwerkumgebung mit Freigaben, zum Beispiel einem Hub, verbunden, so besteht die Möglichkeit, dass das geschädigte System nicht mehr in der Lage ist, den sich plötzlich ergebenden massiven Anstieg des Netzwerk-Traffics zu verarbeiten. Durch den Einsatz eines Sniffers wird der Netzwerkadapter in den so genannten Mixmode gesetzt, was bedeutet, dass das System, mit dem der Adapter verbunden ist, den gesamten eintreffenden Traffic verarbeiten muss, selbst wenn er nicht für dieses spezifische System bestimmt ist.
Neben der Verursachung von Netzwerkproblemen lassen sich Sniffer auch zur Erstellung einer recht genauen Karte des Netzwerks verwenden, welche dem Angreifer weitere Informationen über die Infrastruktur verschafft, auf die er Zugriff gewonnen hat. Ein Sniffer versetzt den Angreifer zudem in die Lage, eine Liste von Anwendernamen und Passwörtern für alle im Netzwerk geöffneten Telnet- oder FTP-Sitzungen zu erstellen, denn diese Passwörter werden in Klartext übertragen. Mit diesen Informationen kann der Hacker weitere Angriffe gegen andere Systeme starten.
Rootkits beinhalten eine Unmenge anderer Utilities, die die Bedürfnisse fast jedes Hackers erfüllen, darunter:
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Mehr als die Hälfte aller Infostealer-Angriffe treffen Unternehmensrechner.
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.