Was ist ein Rootkit-Angriff? Wie kann man das verhindern?

Ein Rootkit ist eine Malware-artige Infektion, die es anderen Viren ermöglicht, mit erweiterten Rechten ausgeführt zu werden. Es stützt sich auf verschiedene Schwachstellen in Betriebssystemen und Software von Drittanbietern

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner and Online Virus Scanner.

Was ist Rootkit? Angriffsdefinition und Beispiele | Gridinsoft

Was ist ein Rootkit?

October 06, 2023

Rootkits sind eine seltsame Malware-Klasse, die Mitte der 00er Jahre entstand. Heutzutage wird es als eigenständige Malware nicht mehr verwendet, aber eine Vielzahl von Computerviren verwendet es als Modul. Warum brauchen sie es also? Und wie gefährlich ist das Rootkit?

Rootkit-Funktionen

Rootkit ist, wie der Name schon sagt, ein Programm, das Ihnen niedrige Kontrolle über das infizierte System gewährt. Und „Low-Level“ bedeutet keinen Zugang an der Oberfläche, sondern einen möglichen Zugang aus den tiefsten Ebenen. Während die meisten Computerviren genauso wie die Anwendungen gestartet werden, erfordern einige Malware-Typen Zugriff auf der Treiberebene oder sogar noch tiefer.

Es ist wichtig zu erwähnen, wie Ihr PC die von Ihnen gestarteten Anwendungen ausführt. Es gibt vier hierarchische Ebenen, Schutzringe genannt, die Definieren Sie die Rechte, die Programme haben, wenn sie von Ihrer CPU ausgeführt werden. Diejenigen, die auf dem höheren Ring platziert sind, können die Apps auf den niedrigeren Ringen nicht aufblasen. Ring 0 wird dem Kernel des Betriebssystems, Ring 1 den Hardwaretreibern und Ring 2 den Programmen mit niedrigen Zugriffsberechtigungen zugewiesen. Ring 3 wird von den meisten Anwendungen von Drittanbietern verwendet, da sie keine tiefen Berechtigungen benötigen. Das Implementieren von Malware auf dem Ring 2 bedeutet, dass Sie die Kontrolle über alle Benutzeranwendungen haben; auf Ring 1 - fast alles, was auf dem Computer passiert.

Hierarchie der Schutzringe
Schutzringe in der CPU

Ein Rootkit ist ein Programm oder ein Paket von Tools, die es der Person, die es kontrolliert, ermöglichen, auf das infizierte System zuzugreifen und es nach Belieben zu steuern. Es wird in Einzelhaft immer noch gefährlich sein, kann aber kaum verwendet werden, um Geld für die Opfer zu verdienen, wie es alle anderen Viren tun. Sie können das infizierte System beschädigen, es zu Fehlfunktionen bringen oder sogar nicht mehr funktionieren, aber das wird Ihnen keinen Cent einbringen. Bis Sie es schaffen, die andere, profitable Malware einzuschleusen.

Rootkit in Kombination mit anderen Viren

Rootkit-Malware ist äußerst nützlich, wenn Sie anderen Viren die Möglichkeit geben müssen, sich so tief wie möglich zu integrieren. Solche Berechtigungen bieten Cyberkriminellen Zugriff auf alle Laufwerke und sogar das gesamte Netzwerk. Sicher, ein so grobes Werkzeug wird selten für Angriffe auf Einzelpersonen verwendet. Der Angriff auf einzelne Benutzer mit Rootkits und anderer Malware ist wie die Jagd auf Kaninchen in einem Panzer. Gegen Unternehmen oder andere Dinge, die Computernetzwerke und Rechenzentren verwenden, ist dies jedoch genau das Richtige.

Angriffe auf Unternehmen werden normalerweise durch Spyware, Ransomware oder beides gleichzeitig unterstützt. Rootkit wirkt wie ein Aperitiv auf das Hauptgericht - verschlüsselte Dateien und gestohlene Daten. Beides kann Unternehmen Millionen von Dollar kosten, und im Falle eines Leaks vertraulicher Informationen können Sie auch mit Reputationsverlusten rechnen. Und all dieser Rausch wird von einer kleinen Sache bereitgestellt, die tief in Ihrem System sitzt und die Tore offen hält. Aber wie funktioniert Rootkit?

Wie funktioniert das?

Alle modernen Betriebssysteme sind nicht zu 100 % immun gegen Malware-Angriffe. Sogar die neuesten Windows- und macOS-Versionen weisen bestimmte Sicherheitslücken auf – sie sind nur noch nicht entdeckt. Die gemeldeten werden normalerweise in den nächsten Updates behoben. Dennoch achten viele Unternehmen nicht auf die regelmäßigen System- und Software-Updates. Einige bitten ihre Mitarbeiter, ihre PCs manuell zu aktualisieren, aber sie würden lieber mehr Memes über Windows-Updates erstellen, als sie zu aktualisieren. Genau, diese Verstöße werden von Rootkits genutzt, um Berechtigungen zu eskalieren.

Rootkit-Arbeitsschema
So funktioniert Rootkit seine Drecksarbeit

Aber Sicherheitslücken in Betriebssystemen sind nicht so massiv und leicht auszunutzen. Die meisten Schwachstellen, die die Hacker verwenden, befinden sich in Anwendungen von Drittanbietern. MS Azure, Office und Outlook, fast alle Adobe-Produkte und Apps von verschiedenen anderen Anbieter sind voller Sicherheitslücken, die es den Cyberkriminellen ermöglichen, ihre Angriffe durchzuführen. Die von ihnen verwendeten Rootkits werden oft speziell dafür erstellt, die Schwachstellen in bestimmten Apps auszunutzen, die von der Zielfirma verwendet werden. Diese Programmlisten, ihre Versionen und alle anderen Informationen, die während des Angriffs nützlich sein können, werden während der OSINT-Operationen gesammelt.

Sicherheitsverletzungen sind normalerweise das Ergebnis eines schlechten oder kurzsichtigen Softwaredesigns. Diese Fehler ermöglichen es dem Benutzer normalerweise, den Code mit höheren Rechten auszuführen oder bestimmte Funktionen zu starten, ohne sichtbare Anzeichen zu zeigen. Cyber-Einbrecher nutzen eine solche Fähigkeit, um den bösartigen Code mit maximaler Effizienz auszuführen. Wenn Sie das MS Office-Makro starten oder den schädlichen Link im Adobe-Dokument öffnen, erhalten Gauner diese Fähigkeit und starten die Viren. Die Liste aller erkannten Sicherheitslücken finden Sie auf der CVE Mitre-Website.

Rootkit-Angriff Schritt für Schritt

Wenn das Rootkit in einen Computer im Unternehmensnetzwerk eingeschleust wird, versucht es, eine der Schwachstellen auszunutzen, um sich die Ausführung auf der tiefsten verfügbaren Ebene zu erlauben. Solche Rechte ermöglichen es Gaunern dann, alle anderen Computer im Netzwerk zu infizieren und – was noch wichtiger ist – den Domänencontroller brute-force zu erzwingen. Der Zugriff auf das DC bedeutet, Computer im Netzwerk und den Server zu steuern. In Unternehmen, in denen das Netzwerk nicht geclustert ist, kann dies bedeuten, dass das gesamte Büro lahmgelegt wird. Für kleine Unternehmen bedeutet das in der Regel Tage des Leerlaufs, Büros großer Unternehmen können wochenlang stillstehen.

Cyberkriminelle schaffen keine neuen Dinge. RDP-Angriffe und Köder-E-Mails sind das A und O aller modernen Malware-Verbreitungskampagnen, aber noch darüber hinaus Aktionen gibt es nichts Neues. Nach dem erfolgreichen Start des Rootkits beginnen Gauner dann mit Brute-Force-Angriffen auf den Domänencontroller und andere Computer. Gleichzeitig wird zusätzliche Malware heruntergeladen und mit erweiterten Rechten gestartet. Computer im Netzwerk werden infiziert, und wenn der DC ausfällt, starten Gauner die Spyware und beginnen, die Daten von den Servern herunterzuladen.

Lösegeldschein, der nach dem erfolgreichen Angriff erscheint.
Lösegeldschein, der nach dem erfolgreichen Angriff erscheint.

Die gestohlenen Daten sind eine zusätzliche Geldquelle für Gauner. Persönliche Informationen der Kunden, Daten über die Finanzstatistik des Unternehmens oder Produktionspläne - all diese Dinge sind im Darknet hochpreisig. Noch großzügiger bieten unbekannte Macher, wenn Informationen über die Kunden einer bestimmten Klinik, Versicherung oder Cybersicherheitsfirma vorliegen. Einige Unternehmen zahlen jedoch das zusätzliche Lösegeld, das die Gauner verlangen, um die Veröffentlichung dieser Informationen zu vermeiden. Manchmal erreicht dieses „zweite“ Lösegeld die Summe des ursprünglichen Lösegelds – für die Entschlüsselung von Dateien.

Wie werden Rootkits verbreitet?

Wie bereits erwähnt, werden sie über die klassischen Wege der anfänglichen Nutzlast für den Cyberangriff verbreitet. RDP-Technologie ist großartig, wurde aber zu selten verwendet, um aufzufallen und alle Fehler vor der Pandemie beheben. Aber trotz aller Versuche von Microsoft, diese Verstöße zu blockieren, beeilen sich Unternehmen nicht, ihre Software zu aktualisieren. Und Hacker sagen nur „Danke“ für ein solches Geschenk. Noch mehr Dank werden sie Ihnen für die Mitarbeiter aussprechen, die alle Anhänge der E-Mail-Nachrichten öffnen und die Makros in Office-Dokumenten zulassen.

Brute-Force-Angriff auf das Netzwerk durch RDP-Anmeldeversuche.
Brute-Force-Angriff auf das Netzwerk durch RDP-Anmeldeversuche.

Wenn es darum geht, Einzelpersonen anzugreifen (d. h. Witze zu machen oder Vandalismus zu begehen), werden Rootkits als Fix-Tools für ein bestimmtes Problem, Systemoptimierer oder Treiber-Updater, d. h. pseudoeffektive Software, verteilt. Manchmal fügen schlaue Benutzer sie der neu gepackten Windows-Version hinzu und verbreiten sie auf Torrent-Trackern oder anderswo. Dann können sie mit Benutzern, die es auf ihren PCs installieren, tun, was sie wollen.

Wie stoppe ich das Rootkit?

Es ist ziemlich einfach, dem Ding entgegenzuwirken, wenn man weiß, wie es wirkt, und es ist nichts Unaufhaltsames und Außergewöhnliches. Rootkits nutzen alte und wohlbekannte Dinge aus, wie zuvor gezeigt wurde, daher ist es ziemlich einfach, Ihr System oder sogar das gesamte Netzwerk für Malware-Injektionen unverwundbar zu machen. Ich werde Ihnen mehrere Ratschläge geben, von präventiv bis defensiv.

Nicht hineinlassen

Ihre Mitarbeiter müssen E-Mail-Spamming und andere Formen von Ködern/Social Engineering kennen. Jemand hört sich die Informationen an, schenkt ihnen aber keine Beachtung und tut weiterhin gefährliche Dinge. Aber die Frage dort ist „Warum wird er/sie immer noch nicht gefeuert?“ und nicht „Wie kann man ihn/sie dazu bringen, die Sicherheitsregeln einzuhalten?“. Es ist dasselbe wie das Rauchen im Raum mit Sauerstoffbehältern oder das Rollen der Quecksilberkugeln auf dem Büroboden.

Ein einfaches Benutzerkonto für Mitarbeiter einrichten

Seit Windows Vista kann dieses Betriebssystem nach dem Administratorkennwort fragen, um das Programm auszuführen, das nach den Administratorrechten fragt. Die Leute verwenden weiterhin die Konten des Administrators aus Trägheit, aber es besteht keine Notwendigkeit. Obwohl Rootkit immer noch einen Weg finden kann, Berechtigungen zu eskalieren, muss es nicht nur die Rechte der Anwendung, die es ausnutzt, sondern auch die Rechte des Benutzerkontos eskalieren. Mehr Schritte → , mehr Zeit → , mehr Chancen gestoppt zu werden.

Verwenden Sie Anti-Malware-Software

Der Idealfall für Unternehmen ist eine Unternehmenslösung für den Netzwerkschutz. Es verhindert, dass sich die Malware im Netzwerk ausbreitet, und stoppt seine Versuche, die Sicherheitslücken auszunutzen. Wenn Sie es sich nicht leisten können oder nicht möchten, dass so ein riesiges Ding im Netzwerk läuft, können Sie mit der Anti-Malware-Software einen angemessenen Malware-Schutz erstellen. GridinSoft Anti-Malware eignet sich perfekt für diesen Zweck - ohne übermäßige Funktionen und mit proaktivem Schutz.

Aktualisieren Sie die Software regelmäßig

Rootkits sind nutzlos, wenn das System keine der bekannten Schwachstellen aufweist. Sicher, es besteht immer noch die Möglichkeit, dass Gauner eine 0-Tage-Exposition verwenden. Aber es ist besser, nur dieses Risiko zu haben, als alle Schwachstellen zur Verfügung zu haben für Exploits + Zero-Day-Breaks. Glücklicherweise bieten Softwareanbieter heutzutage fast jede Woche Sicherheitspatches an. Behalten Sie es einfach im Auge und starten Sie regelmäßig die Installation des Updates.

Clustern Sie das Netzwerk

Wenn Ihr gesamtes Netzwerk mit einem einzigen Domänencontroller verbunden ist, ist dies eine perfekte Situation für Hacker. Sicher, ein solches Netzwerk ist viel einfacher zu verwalten, aber bei Cyberangriffen wird das gesamte Netzwerk beschädigt. Wenn Malware - normalerweise Ransomware oder Spyware - ihre Aktivität beendet, können Sie keinen der Computer im Netzwerk verwenden. Alle Dateien sind verschlüsselt, Anmeldeinformationen werden gestohlen und Lösegeldforderungen sind überall. Ihr Büro wird aus dem Arbeitsprozess herausfallen, was zu erheblichen Verlusten führt. Wenn Sie hingegen das Netzwerk gruppieren, wird im Falle eines Angriffs nur ein Teil davon außer Betrieb gesetzt.

Netzwerk-Clustering
Netzwerk-Clustering

Isolieren Sie die Server

Sicher, es ist viel bequemer, die Server am Arbeitsplatz zu verwalten, als einen herrlichen Spaziergang durch den Serverraum von einem Stand zum anderen zu machen. Letzteres ist aber bei Cyberattacken viel sicherer. Es ist wichtig, das Gleichgewicht zu halten – einige Prophylaktika und die Bereitstellung neuer Releases können remote erfolgen. Meistens muss der Serverzugriff aber erst nach Eingabe des Passwortes eingeschränkt oder freigegeben werden.

Wie werden Rootkits erkannt und entfernt?

Das Erkennen und Entfernen von Rootkits erfordert den Einsatz von Anti-Malware-Programmen. Es ist unmöglich, Anzeichen seiner Anwesenheit zu erkennen, bevor es zu spät ist, und es verfügt über viele Möglichkeiten, sich im angegriffenen System nachhaltiger zu machen. Ihr Nachweis erfordert jedoch auch eine schnelle Reaktion. Eine solche Reaktionszeit kann mit einer proaktiven Schutzfunktion versehen werden, wodurch das Programm die laufenden Prozesse im Hintergrund überprüfen kann. Deshalb werde ich Ihnen GridinSoft Anti-Malware noch einmal empfehlen. Es hat eine Funktion - basierend auf der heuristischen Engine und dem neuronalen Netzwerk. Dieses Sicherheitstool kann Rootkits in den frühesten Stadien der Malware-Infiltration effektiv entgegenwirken.