RootKits: Was ist das


Thomas Wölfer
Thomas Wölfer

10. August 2004


Ich hatte gestern abend ein Gespräch mit einem Ingenieur (Maschbau) der nun als EDV-Berater tätig ist. Der Mann führt Schulungen für allgemeine IT-Geschichten durch: Word, Excel, Windows XP - derlei Dinge. Trotzdem natürlich eigentlich ein IT-Profi und darum hat mich etwas verwundert: Er wusste nicht besonders viel über IT-Sicherheit. Ging davon aus, das seine 12 Schulungsrechner die seit 2 Jahren mit Windows 98 online sind, keinerlei Sicherheitsprobleme haben. Die würden sich nämlich ganz normal verhalten. Mit anderen Worten: Er wusste nicht was Root-Kits sind. Ich gehe also mal davon aus das das kein wirklich weit verbreitetes Wissen ist... daher: Hier eine kurze Erklärung.

Ich stelle immer wieder fest das viele Leute glauben, ihre Antiviren-Software würde schon mit jeglichen Eindringlingen fertig. Das ist aber nicht der Fall. Die Sache geht sogar deutlich weiter: Ist ein Rechner einmal infiziert, dann kann man keinerlei Information die dieser Rechner von sich gibt mehr trauen - dazu verwenden Angreifer sogenannte Root-Kits.

Das Root-Kit verändert dabei die Installation des Betriebssystems derart, das die Informationen die Sie vom Betriebssystem erhalten nicht mehr stimmen. Der Task-Manager zeigt in der Liste der Tasks den vom Angreifer initiierten Prozess schlichtweg nicht an. Der Explorer zeigt das Verzeichnis in dem sich die Dateien des Angreifers befinden nicht an - und auch ein 'dir' Befehl auf der Kommandozeile führt nicht dazu das man irgendwas sieht.

Ebensowenig finden irgendwelche Antiviren-Programme irgend eine verdächtige Spur. Der Rechner läuft einfach ganz normal, eben so, wie man das erwarten würde und es gibt keinerlei Spuren das das System übernommen wurde. 

Trotzdem kann der Angreifer mit dem System machen und tun was er will: Im Normalfall bedeutet das, der Rechner wird als Zwischenlager für Bilder und Filme mit nackten Menschen drauf benutzt, oder aber er soll für den Versand von Spam-Mails verwendet werden.

Das beste: Root-Kits sind kein Science-Fiction Erfindung, sondern extrem einfach im Netz verfügbar. Auch nur mittelmäßig begabte Computeranwender können solche Dinger einsetzen. Bei einem angreifbaren Rechner kann die Übernahme mehr oder minder vollautomatisch erfolgen.  

Es gibt auch Wege Rootkits zu erkennen. Dummerweise braucht man dafür passende Tools - zum Beispiel an nicht befallenes Betriebssystem. Microsoft Research hat hier ein interessantes Paper zu diesem Thema.

Lange Rede kurzer Sinn: Wenn Sie mit Ihrem Rechner online gehen - dann verwenden Sie keine Spielzeuge wie Windows 98 oder ME, sondern besorgen Sie sich eine Kopie von Windows XP und installieren Sie dann das SP2. (Wenn Sie mehrere Rechner updaten wollen, dann gibts das SP2 hier. Wenn Sie nur einen Rechner haben - schalten Sie automatische Updates ein, dann bekommen Sie die Sache ganz von alleine.)