Ein Rootkit ist ein Programm oder, häufiger, eine Sammlung von Software-Tools, die eine Bedrohung Akteur Fernzugriff auf und Kontrolle über einen Computer oder ein anderes System gibt. Während es legitime Verwendungen für diese Art von Software gab, z. B. um Remote-Endbenutzerunterstützung bereitzustellen, öffnen die meisten Rootkits eine Hintertür auf Opfersystemen, um schädliche Software wie Viren, Ransomware, Keylogger-Programme oder andere Arten von Malware einzuführen oder das System für weitere Netzwerksicherheitsangriffe zu verwenden., Rootkits versuchen häufig, die Erkennung schädlicher Software durch Endpunkt-Antivirensoftware zu verhindern.
Rootkits können auf verschiedene Arten installiert werden, einschließlich Phishing-Angriffen oder Social-Engineering-Taktiken, um Benutzer dazu zu bringen, das Rootkit für die Installation auf dem Opfersystem zu verwenden, wodurch häufig Remote-Cyberkriminelle Administratorzugriff auf das System erhalten.
Nach der Installation gibt ein Rootkit dem Remote-Akteur Zugriff auf und Kontrolle über fast jeden Aspekt des Betriebssystems (OS)., Ältere Antivirenprogramme hatten oft Probleme, Rootkits zu erkennen, aber die meisten Antimalware-Programme können heutzutage Rootkits scannen und entfernen, die sich in einem System verstecken.
Wie Rootkits funktionieren
Da Rootkits sich nicht von selbst verbreiten können, sind sie auf heimliche Methoden angewiesen, um Computer zu infizieren. In der Regel verbreiten sie sich, indem sie sich in Software verstecken, die legitim erscheint und tatsächlich legitime Funktionen bieten könnte.,
Wenn Benutzer einem Rootkit-Installationsprogramm die Berechtigung erteilen, auf ihrem System installiert zu werden, installiert sich das Rootkit heimlich auch selbst und verbirgt sich, bis ein Hacker es aktiviert. Ein Rootkit enthält schädliche Tools, darunter Bankanmeldeinformations-Stealer, Passwortdiebe, Keylogger, Antivirus-Disabler und Bots für verteilte Denial-of-Service-Angriffe.,
Rootkits werden in der Regel über dieselben gängigen Vektoren wie schädliche Software installiert, einschließlich Phishing-Kampagnen per E-Mail, ausführbarer bösartiger Dateien, Erstellen bösartiger PDF-Dateien oder Word-Dokumente, Herstellen einer Verbindung zu freigegebenen Laufwerken, die kompromittiert wurden, oder Herunterladen von mit dem Rootkit infizierter Software von riskanten Websites.,
Symptome einer Rootkit-Infektion
Eines der Hauptziele eines Rootkits ist es, die Erkennung zu vermeiden, um auf dem Opfersystem installiert und zugänglich zu bleiben, sodass Rootkit-Entwickler darauf abzielen, ihre Malware nicht nachweisbar zu halten, was bedeutet, dass es möglicherweise nicht viele nachweisbare Symptome gibt, die eine Rootkit-Infektion kennzeichnen.
Ein häufiges Symptom einer Rootkit-Infektion ist, dass der Antimalware-Schutz nicht mehr funktioniert. Eine Antimalware-Anwendung, die gerade nicht mehr ausgeführt wird, zeigt an, dass eine aktive Rootkit-Infektion vorliegt.,
Ein weiteres Symptom einer Rootkit-Infektion kann beobachtet werden, wenn sich die Windows-Einstellungen unabhängig voneinander ändern, ohne dass der Benutzer offensichtliche Maßnahmen ergreift. Andere ungewöhnliche Verhaltensweisen, wie das Ändern oder Verschwinden von Hintergrundbildern auf dem Sperrbildschirm oder das Ändern von angehefteten Elementen in der Taskleiste, können ebenfalls auf eine Rootkit-Infektion hinweisen.
Schließlich kann eine ungewöhnlich langsame Leistung oder eine hohe CPU-Auslastung und Browserumleitungen auch auf das Vorhandensein einer Rootkit-Infektion hinweisen.,
Arten von Rootkits
Es gibt verschiedene Arten von Rootkits, die durch die Art und Weise gekennzeichnet sind, wie das Rootkit das Zielsystem infiziert, betreibt oder persistiert.
Ein Kernel Mode Rootkit wurde entwickelt, um die Funktionalität eines Betriebssystems zu ändern. Diese Art von Rootkit fügt in der Regel seinen eigenen Code-und manchmal seine eigenen Datenstrukturen-zu Teilen des Betriebssystemkerns hinzu, die als Kernel bezeichnet werden., Viele Kernel-Modus-Rootkits nutzen die Tatsache aus, dass Betriebssysteme Gerätetreibern oder ladbaren Modulen die Ausführung mit den gleichen Systemberechtigungen wie dem Betriebssystemkern ermöglichen, sodass die Rootkits als Gerätetreiber oder Module verpackt werden, um eine Erkennung durch Antivirensoftware zu vermeiden.
Ein Rootkit im Benutzermodus, manchmal auch als Application Rootkit bezeichnet, wird auf die gleiche Weise wie ein gewöhnliches Benutzerprogramm ausgeführt. Benutzermodus Rootkits können wie andere normale Programme während des Systemstarts initialisiert werden, oder sie können in das System durch eine Pipette injiziert werden. Die Methode hängt vom Betriebssystem ab., Beispielsweise konzentriert sich ein Windows-Rootkit normalerweise auf die Manipulation der Grundfunktionalität von Windows Dynamic Link-Bibliotheksdateien, aber in einem Unix-System kann eine gesamte Anwendung vollständig durch das Rootkit ersetzt werden.
Ein Bootkit oder Bootloader-Rootkit infiziert den Master-Boot-Datensatz einer Festplatte oder eines anderen Speichergeräts, das mit dem Zielsystem verbunden ist. Bootkits sind in der Lage, den Bootvorgang zu unterbinden und die Kontrolle über das System nach dem Booten zu behalten, und wurden daher erfolgreich zum Angriff auf Systeme verwendet, die eine vollständige Festplattenverschlüsselung verwenden.,
Firmware-Rootkits nutzen die in die System-Firmware eingebettete Software und installieren sich in Firmware-Images, die von Netzwerkkarten, BIOS, Routern oder anderen Peripheriegeräten oder Geräten verwendet werden.
Die meisten Arten von Rootkit-Infektionen können in Systemen für längere Zeit bestehen bleiben, da sie sich auf permanenten Systemspeichergeräten installieren, aber Speicher-Rootkits laden sich in den Computerspeicher (RAM). Speicher-Rootkits bleiben nur bestehen, bis der System-RAM gelöscht ist, normalerweise nach dem Neustart des Computers.,
Rootkit-Erkennung und-entfernung
Rootkits sind so konzipiert, dass sie schwer zu erkennen und zu entfernen sind; Rootkit-Entwickler versuchen, ihre Malware vor Benutzern und Administratoren sowie vor vielen Arten von Sicherheitsprodukten zu verbergen. Sobald ein Rootkit ein System kompromittiert, ist das Potenzial für bösartige Aktivitäten sehr hoch.
Normalerweise erfordert die Rootkit-Erkennung bestimmte Add-Ons zu Antimalware-Paketen oder spezieller Antirootkit-Scannersoftware.,
Es gibt viele Rootkit-Erkennungstools, die für Power-User oder IT-Profis von Antimalware-Anbietern geeignet sind, die ihren Kunden normalerweise Rootkit-Scanner oder andere Rootkit-Erkennungstools anbieten. Während kostenlose und kostenpflichtige Rootkit-Scanner von Drittanbietern ebenfalls verfügbar sind, sollte darauf geachtet werden, dass jede Sicherheits-Scan-Software von einem seriösen Verlag bereitgestellt wird, da Bedrohungsakteure dafür bekannt sind, Malware als Sicherheitssoftware zu verpacken und zu verteilen.,
Das Entfernen von Rootkits kann schwierig sein, insbesondere für Rootkits, die in Betriebssystemkern, in Firmware oder in Bootsektoren von Speichergeräten integriert wurden. Während einige Antirootkit-Software in der Lage ist, einige Rootkits zu erkennen und zu entfernen, kann es schwierig sein, diese Art von Malware vollständig zu entfernen.
Ein Ansatz zur Rootkit-Entfernung besteht darin, das Betriebssystem neu zu installieren, wodurch in vielen Fällen die Infektion beseitigt wird. Das Entfernen von Bootloader-Rootkits erfordert möglicherweise die Verwendung eines sauberen Systems, auf dem ein sicheres Betriebssystem ausgeführt wird, um auf das infizierte Speichergerät zuzugreifen.