Was ist ein Rootkit-Angriff? Wie kann man das verhindern?

Ein Rootkit ist eine Malware-artige Infektion, die es anderen Viren ermöglicht, mit erweiterten Rechten ausgefĂŒhrt zu werden. Es stĂŒtzt sich auf verschiedene Schwachstellen in Betriebssystemen und Software von Drittanbietern

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner.

Was ist Rootkit? Angriffsdefinition und Beispiele | Gridinsoft

Was ist ein Rootkit?

October 02, 2022

Rootkits sind eine seltsame Malware-Klasse, die Mitte der 00er Jahre entstand. Heutzutage wird es als eigenstÀndige Malware nicht mehr verwendet, aber eine Vielzahl von Computerviren verwendet es als Modul. Warum brauchen sie es also? Und wie gefÀhrlich ist das Rootkit?

Rootkit-Funktionen

Rootkit ist, wie der Name schon sagt, ein Programm, das Ihnen niedrige Kontrolle ĂŒber das infizierte System gewĂ€hrt. Und „Low-Level“ bedeutet keinen Zugang an der OberflĂ€che, sondern einen möglichen Zugang aus den tiefsten Ebenen. WĂ€hrend die meisten Computerviren genauso wie die Anwendungen gestartet werden, erfordern einige Malware-Typen Zugriff auf der Treiberebene oder sogar noch tiefer.

Es ist wichtig zu erwĂ€hnen, wie Ihr PC die von Ihnen gestarteten Anwendungen ausfĂŒhrt. Es gibt vier hierarchische Ebenen, Schutzringe genannt, die Definieren Sie die Rechte, die Programme haben, wenn sie von Ihrer CPU ausgefĂŒhrt werden. Diejenigen, die auf dem höheren Ring platziert sind, können die Apps auf den niedrigeren Ringen nicht aufblasen. Ring 0 wird dem Kernel des Betriebssystems, Ring 1 den Hardwaretreibern und Ring 2 den Programmen mit niedrigen Zugriffsberechtigungen zugewiesen. Ring 3 wird von den meisten Anwendungen von Drittanbietern verwendet, da sie keine tiefen Berechtigungen benötigen. Das Implementieren von Malware auf dem Ring 2 bedeutet, dass Sie die Kontrolle ĂŒber alle Benutzeranwendungen haben; auf Ring 1 - fast alles, was auf dem Computer passiert.

Hierarchie der Schutzringe
Schutzringe in der CPU

Ein Rootkit ist ein Programm oder ein Paket von Tools, die es der Person, die es kontrolliert, ermöglichen, auf das infizierte System zuzugreifen und es nach Belieben zu steuern. Es wird in Einzelhaft immer noch gefĂ€hrlich sein, kann aber kaum verwendet werden, um Geld fĂŒr die Opfer zu verdienen, wie es alle anderen Viren tun. Sie können das infizierte System beschĂ€digen, es zu Fehlfunktionen bringen oder sogar nicht mehr funktionieren, aber das wird Ihnen keinen Cent einbringen. Bis Sie es schaffen, die andere, profitable Malware einzuschleusen.

Rootkit in Kombination mit anderen Viren

Rootkit-Malware ist Ă€ußerst nĂŒtzlich, wenn Sie anderen Viren die Möglichkeit geben mĂŒssen, sich so tief wie möglich zu integrieren. Solche Berechtigungen bieten Cyberkriminellen Zugriff auf alle Laufwerke und sogar das gesamte Netzwerk. Sicher, ein so grobes Werkzeug wird selten fĂŒr Angriffe auf Einzelpersonen verwendet. Der Angriff auf einzelne Benutzer mit Rootkits und anderer Malware ist wie die Jagd auf Kaninchen in einem Panzer. Gegen Unternehmen oder andere Dinge, die Computernetzwerke und Rechenzentren verwenden, ist dies jedoch genau das Richtige.

Angriffe auf Unternehmen werden normalerweise durch Spyware, Ransomware oder beides gleichzeitig unterstĂŒtzt. Rootkit wirkt wie ein Aperitiv auf das Hauptgericht - verschlĂŒsselte Dateien und gestohlene Daten. Beides kann Unternehmen Millionen von Dollar kosten, und im Falle eines Leaks vertraulicher Informationen können Sie auch mit Reputationsverlusten rechnen. Und all dieser Rausch wird von einer kleinen Sache bereitgestellt, die tief in Ihrem System sitzt und die Tore offen hĂ€lt. Aber wie funktioniert Rootkit?

Wie funktioniert das?

Alle modernen Betriebssysteme sind nicht zu 100 % immun gegen Malware-Angriffe. Sogar die neuesten Windows- und macOS-Versionen weisen bestimmte SicherheitslĂŒcken auf – sie sind nur noch nicht entdeckt. Die gemeldeten werden normalerweise in den nĂ€chsten Updates behoben. Dennoch achten viele Unternehmen nicht auf die regelmĂ€ĂŸigen System- und Software-Updates. Einige bitten ihre Mitarbeiter, ihre PCs manuell zu aktualisieren, aber sie wĂŒrden lieber mehr Memes ĂŒber Windows-Updates erstellen, als sie zu aktualisieren. Genau, diese VerstĂ¶ĂŸe werden von Rootkits genutzt, um Berechtigungen zu eskalieren.

Rootkit-Arbeitsschema
So funktioniert Rootkit seine Drecksarbeit

Aber SicherheitslĂŒcken in Betriebssystemen sind nicht so massiv und leicht auszunutzen. Die meisten Schwachstellen, die die Hacker verwenden, befinden sich in Anwendungen von Drittanbietern. MS Azure, Office und Outlook, fast alle Adobe-Produkte und Apps von verschiedenen anderen Anbieter sind voller SicherheitslĂŒcken, die es den Cyberkriminellen ermöglichen, ihre Angriffe durchzufĂŒhren. Die von ihnen verwendeten Rootkits werden oft speziell dafĂŒr erstellt, die Schwachstellen in bestimmten Apps auszunutzen, die von der Zielfirma verwendet werden. Diese Programmlisten, ihre Versionen und alle anderen Informationen, die wĂ€hrend des Angriffs nĂŒtzlich sein können, werden wĂ€hrend der OSINT-Operationen gesammelt.

Sicherheitsverletzungen sind normalerweise das Ergebnis eines schlechten oder kurzsichtigen Softwaredesigns. Diese Fehler ermöglichen es dem Benutzer normalerweise, den Code mit höheren Rechten auszufĂŒhren oder bestimmte Funktionen zu starten, ohne sichtbare Anzeichen zu zeigen. Cyber-Einbrecher nutzen eine solche FĂ€higkeit, um den bösartigen Code mit maximaler Effizienz auszufĂŒhren. Wenn Sie das MS Office-Makro starten oder den schĂ€dlichen Link im Adobe-Dokument öffnen, erhalten Gauner diese FĂ€higkeit und starten die Viren. Die Liste aller erkannten SicherheitslĂŒcken finden Sie auf der CVE Mitre-Website.

Rootkit-Angriff Schritt fĂŒr Schritt

Wenn das Rootkit in einen Computer im Unternehmensnetzwerk eingeschleust wird, versucht es, eine der Schwachstellen auszunutzen, um sich die AusfĂŒhrung auf der tiefsten verfĂŒgbaren Ebene zu erlauben. Solche Rechte ermöglichen es Gaunern dann, alle anderen Computer im Netzwerk zu infizieren und – was noch wichtiger ist – den DomĂ€nencontroller brute-force zu erzwingen. Der Zugriff auf das DC bedeutet, Computer im Netzwerk und den Server zu steuern. In Unternehmen, in denen das Netzwerk nicht geclustert ist, kann dies bedeuten, dass das gesamte BĂŒro lahmgelegt wird. FĂŒr kleine Unternehmen bedeutet das in der Regel Tage des Leerlaufs, BĂŒros großer Unternehmen können wochenlang stillstehen.

Cyberkriminelle schaffen keine neuen Dinge. RDP-Angriffe und Köder-E-Mails sind das A und O aller modernen Malware-Verbreitungskampagnen, aber noch darĂŒber hinaus Aktionen gibt es nichts Neues. Nach dem erfolgreichen Start des Rootkits beginnen Gauner dann mit Brute-Force-Angriffen auf den DomĂ€nencontroller und andere Computer. Gleichzeitig wird zusĂ€tzliche Malware heruntergeladen und mit erweiterten Rechten gestartet. Computer im Netzwerk werden infiziert, und wenn der DC ausfĂ€llt, starten Gauner die Spyware und beginnen, die Daten von den Servern herunterzuladen.

Lösegeldschein, der nach dem erfolgreichen Angriff erscheint.
Lösegeldschein, der nach dem erfolgreichen Angriff erscheint.

Die gestohlenen Daten sind eine zusĂ€tzliche Geldquelle fĂŒr Gauner. Persönliche Informationen der Kunden, Daten ĂŒber die Finanzstatistik des Unternehmens oder ProduktionsplĂ€ne - all diese Dinge sind im Darknet hochpreisig. Noch großzĂŒgiger bieten unbekannte Macher, wenn Informationen ĂŒber die Kunden einer bestimmten Klinik, Versicherung oder Cybersicherheitsfirma vorliegen. Einige Unternehmen zahlen jedoch das zusĂ€tzliche Lösegeld, das die Gauner verlangen, um die Veröffentlichung dieser Informationen zu vermeiden. Manchmal erreicht dieses „zweite“ Lösegeld die Summe des ursprĂŒnglichen Lösegelds – fĂŒr die EntschlĂŒsselung von Dateien.

Wie werden Rootkits verbreitet?

Wie bereits erwĂ€hnt, werden sie ĂŒber die klassischen Wege der anfĂ€nglichen Nutzlast fĂŒr den Cyberangriff verbreitet. RDP-Technologie ist großartig, wurde aber zu selten verwendet, um aufzufallen und alle Fehler vor der Pandemie beheben. Aber trotz aller Versuche von Microsoft, diese VerstĂ¶ĂŸe zu blockieren, beeilen sich Unternehmen nicht, ihre Software zu aktualisieren. Und Hacker sagen nur „Danke“ fĂŒr ein solches Geschenk. Noch mehr Dank werden sie Ihnen fĂŒr die Mitarbeiter aussprechen, die alle AnhĂ€nge der E-Mail-Nachrichten öffnen und die Makros in Office-Dokumenten zulassen.

Brute-Force-Angriff auf das Netzwerk durch RDP-Anmeldeversuche.
Brute-Force-Angriff auf das Netzwerk durch RDP-Anmeldeversuche.

Wenn es darum geht, Einzelpersonen anzugreifen (d. h. Witze zu machen oder Vandalismus zu begehen), werden Rootkits als Fix-Tools fĂŒr ein bestimmtes Problem, Systemoptimierer oder Treiber-Updater, d. h. pseudoeffektive Software, verteilt. Manchmal fĂŒgen schlaue Benutzer sie der neu gepackten Windows-Version hinzu und verbreiten sie auf Torrent-Trackern oder anderswo. Dann können sie mit Benutzern, die es auf ihren PCs installieren, tun, was sie wollen.

Wie stoppe ich das Rootkit?

Es ist ziemlich einfach, dem Ding entgegenzuwirken, wenn man weiß, wie es wirkt, und es ist nichts Unaufhaltsames und Außergewöhnliches. Rootkits nutzen alte und wohlbekannte Dinge aus, wie zuvor gezeigt wurde, daher ist es ziemlich einfach, Ihr System oder sogar das gesamte Netzwerk fĂŒr Malware-Injektionen unverwundbar zu machen. Ich werde Ihnen mehrere RatschlĂ€ge geben, von prĂ€ventiv bis defensiv.

Nicht hineinlassen

Ihre Mitarbeiter mĂŒssen E-Mail-Spamming und andere Formen von Ködern/Social Engineering kennen. Jemand hört sich die Informationen an, schenkt ihnen aber keine Beachtung und tut weiterhin gefĂ€hrliche Dinge. Aber die Frage dort ist „Warum wird er/sie immer noch nicht gefeuert?“ und nicht „Wie kann man ihn/sie dazu bringen, die Sicherheitsregeln einzuhalten?“. Es ist dasselbe wie das Rauchen im Raum mit SauerstoffbehĂ€ltern oder das Rollen der Quecksilberkugeln auf dem BĂŒroboden.

Ein einfaches Benutzerkonto fĂŒr Mitarbeiter einrichten

Seit Windows Vista kann dieses Betriebssystem nach dem Administratorkennwort fragen, um das Programm auszufĂŒhren, das nach den Administratorrechten fragt. Die Leute verwenden weiterhin die Konten des Administrators aus TrĂ€gheit, aber es besteht keine Notwendigkeit. Obwohl Rootkit immer noch einen Weg finden kann, Berechtigungen zu eskalieren, muss es nicht nur die Rechte der Anwendung, die es ausnutzt, sondern auch die Rechte des Benutzerkontos eskalieren. Mehr Schritte → , mehr Zeit → , mehr Chancen gestoppt zu werden.

Verwenden Sie Anti-Malware-Software

Der Idealfall fĂŒr Unternehmen ist eine Unternehmenslösung fĂŒr den Netzwerkschutz. Es verhindert, dass sich die Malware im Netzwerk ausbreitet, und stoppt seine Versuche, die SicherheitslĂŒcken auszunutzen. Wenn Sie es sich nicht leisten können oder nicht möchten, dass so ein riesiges Ding im Netzwerk lĂ€uft, können Sie mit der Anti-Malware-Software einen angemessenen Malware-Schutz erstellen. GridinSoft Anti-Malware eignet sich perfekt fĂŒr diesen Zweck - ohne ĂŒbermĂ€ĂŸige Funktionen und mit proaktivem Schutz.

Aktualisieren Sie die Software regelmĂ€ĂŸig

Rootkits sind nutzlos, wenn das System keine der bekannten Schwachstellen aufweist. Sicher, es besteht immer noch die Möglichkeit, dass Gauner eine 0-Tage-Exposition verwenden. Aber es ist besser, nur dieses Risiko zu haben, als alle Schwachstellen zur VerfĂŒgung zu haben fĂŒr Exploits + Zero-Day-Breaks. GlĂŒcklicherweise bieten Softwareanbieter heutzutage fast jede Woche Sicherheitspatches an. Behalten Sie es einfach im Auge und starten Sie regelmĂ€ĂŸig die Installation des Updates.

Clustern Sie das Netzwerk

Wenn Ihr gesamtes Netzwerk mit einem einzigen DomĂ€nencontroller verbunden ist, ist dies eine perfekte Situation fĂŒr Hacker. Sicher, ein solches Netzwerk ist viel einfacher zu verwalten, aber bei Cyberangriffen wird das gesamte Netzwerk beschĂ€digt. Wenn Malware - normalerweise Ransomware oder Spyware - ihre AktivitĂ€t beendet, können Sie keinen der Computer im Netzwerk verwenden. Alle Dateien sind verschlĂŒsselt, Anmeldeinformationen werden gestohlen und Lösegeldforderungen sind ĂŒberall. Ihr BĂŒro wird aus dem Arbeitsprozess herausfallen, was zu erheblichen Verlusten fĂŒhrt. Wenn Sie hingegen das Netzwerk gruppieren, wird im Falle eines Angriffs nur ein Teil davon außer Betrieb gesetzt.

Netzwerk-Clustering
Netzwerk-Clustering

Isolieren Sie die Server

Sicher, es ist viel bequemer, die Server am Arbeitsplatz zu verwalten, als einen herrlichen Spaziergang durch den Serverraum von einem Stand zum anderen zu machen. Letzteres ist aber bei Cyberattacken viel sicherer. Es ist wichtig, das Gleichgewicht zu halten – einige Prophylaktika und die Bereitstellung neuer Releases können remote erfolgen. Meistens muss der Serverzugriff aber erst nach Eingabe des Passwortes eingeschrĂ€nkt oder freigegeben werden.

Wie werden Rootkits erkannt und entfernt?

Das Erkennen und Entfernen von Rootkits erfordert den Einsatz von Anti-Malware-Programmen. Es ist unmöglich, Anzeichen seiner Anwesenheit zu erkennen, bevor es zu spĂ€t ist, und es verfĂŒgt ĂŒber viele Möglichkeiten, sich im angegriffenen System nachhaltiger zu machen. Ihr Nachweis erfordert jedoch auch eine schnelle Reaktion. Eine solche Reaktionszeit kann mit einer proaktiven Schutzfunktion versehen werden, wodurch das Programm die laufenden Prozesse im Hintergrund ĂŒberprĂŒfen kann. Deshalb werde ich Ihnen GridinSoft Anti-Malware noch einmal empfehlen. Es hat eine Funktion - basierend auf der heuristischen Engine und dem neuronalen Netzwerk. Dieses Sicherheitstool kann Rootkits in den frĂŒhesten Stadien der Malware-Infiltration effektiv entgegenwirken.