• Start
V-Hub by Vodafone BusinessSecuritySicherheitRootkits: Das steckt dahinter und so können Sie sich davor schützen
Binärcode auf Gründisplay mit rotem Schriftzug ROOTKIT
Security

Rootkits: Das steckt dahinter und so können Sie sich davor schützen

Portrait von Ulrich SchmitzUlrich Schmitz
10.07.2024
11 Min.

    Rootkits sind Schadsoftware, die Unbefugten Zugriff auf Software und Rechnersysteme verschafft. Einmal installiert, ermöglichen diese Programme den Eindringlingen dauerhaften Zugriff auf die befallenen Systeme. Sind Rechner derart kompromittiert, ist es schwer, die meist tief in der Systemebene installierten Rootkits wieder zu entfernen.

    Der Begriff „Rootkit“ kann mit „Administratorenbausatz“ übersetzt werden. Das klingt harmlos nach Werkzeugkasten mit Experimentierspaß – doch das Gegenteil ist der Fall. Diese Programmsammlungen haben das Potenzial, Unternehmen existenziell zu bedrohen und ganze Netzwerke zu kompromittieren.

    Die eigentliche Gefahr geht nicht vom Rootkit selbst aus, denn Rootkits sind keine Malware im klassischen Sinne. Die besondere Fähigkeit dieser Programme liegt darin, andere Schadprogramme vor Virenscannern und Sicherheitslösungen zu verstecken, und die Ausführung der Malware zu verschleiern sowie Aktivitätsspuren zu verwischen.

    Die genaue Rootkit-Definition und Beschreibung, was genau ein Rootkit ist und wie Sie sich davor schützen oder bereits vorhandene wieder loswerden, erfahren Sie hier.

    Inhaltsverzeichnis

    Was ist ein Rootkit?Vielfalt unter RootkitsWelchen Schaden können Rootkits anrichten?So erkennen Sie Rootkits

    Was ist ein Rootkit?

    In der Regel handelt es sich bei Rootkits um ein oder mehrere Programme oder Skripte, die bestehende Betriebssysteme und Abläufe verändern. Sie führen unbemerkt Funktionen aus, laden weitere Schadsoftware nach, aktivieren sie oder verteilen sie im Netzwerk.
    Aus der Unix- und Linux-Systemwelt stammend sind diese Kits heute nahezu auf allen Betriebssystemen vertreten. Dabei liegt der Fokus dieser Programme darauf, ergänzende Malware zu aktivieren. Rootkits sind programmiert, sich selbst sowie nachgeladene Schadsoftware vor Antivirenprogrammen und Nutzer:innen zu verbergen.
    Im einfachsten Fall kann ein Rootkit (Application-Rootkit) aus einem Skript bestehen. Es startet ein eigenes Ablaufschema, beispielsweise beim Aufruf eines zum Betriebssystem gehörenden Tools wie „ls“ unter Linux oder „dir“ in der Windows-Kommandozeile. Dieses eigene ls- oder dir-Programm kann dann Malware nachladen, aktivieren oder andere nichtautorisierte Funktionen starten.
    Zum Schluss führt das Tool dann die erwartete Funktion des ursprünglichen Betriebssystemprogramms aus und beendet den Ablauf. Anwender:innen bemerken davon bestenfalls eine kurze Zeitverzögerung, wobei sich diese durch geschickte Programmierung und das Starten von Hintergrundprozessen verdecken lässt.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Vielfalt unter Rootkits

    Sicherheitsexpert:innen unterteilen Rootkits in verschiedene Kategorien, die nach den Angriffspunkten beziehungsweise der vom Rootkit befallenen Systemebene benannt sind. Das frühzeitige Erkennen von Schadsoftware ist dabei der wichtigste Faktor, um die unbemerkte Verbreitung einer solchen Malware zu unterbinden.

    Kernel-Mode-Rootkits

    Als Reaktion auf Rootkit-Scanner, die in der Lage sind, schädliche Kits auf Kernel-Ebene (also tief im Betriebssystem) zu entdecken, haben Hacker:innen sogenannte Kernel-Mode-Rootkits entwickelt. Diese befinden sich auf derselben Computerebene wie das Betriebssystem und können alle relevanten Bereiche innerhalb eines Computers kompromittieren, ohne durch Rootkit-Scanner enttarnt zu werden.
    Sobald Ihr Computer von einem Kernel-Mode-Rootkit betroffen ist, kann ein Anti-Rootkit-Tool die Infektion durch einfache Scans nicht mehr zuverlässig erkennen. Kernel-Mode-Rootkits sind zudem verglichen mit anderer Schadsoftware kompliziert aufgebaut und nicht durch einen simplen Programmstart zu installieren.
    Wenn ein Kernel (Betriebssystemkern) durch Malware manipuliert wird, führt das in der Regel zu deutlich sichtbaren Effekten wie beispielsweise Systemabstürzen, Speicherfehlern oder Bluescreens. Derartige Fehler können jedoch auch durch andere Systemprobleme ohne Malwareeinwirkung entstehen. Bei der Ursachenforschung sollte aber die Möglichkeit eines Befalls durch Kernel-Mode-Rootkits immer Teil der Betrachtung sein.

    Bootkits

    Beim Booten greifen Desktop-Rechner und die meisten Server auf einen so genannten Master Boot Record (MBR) zurück, um das Betriebssystem zu laden. Bootloader-Rootkits (Bootkits) sind eine Variante von Kernel-Mode-Rootkits, die den MBR infizieren und den Ladevorgang manipulieren. Bei einer Infizierung des Boot Record startet das Rootkit nachgeschaltete Schadsoftware noch vor dem eigentlichen Betriebssystem.
    Die unter Windows oder anderen Betriebssystemen installierte Schutzsoftware startet ebenfalls erst danach. Dadurch hat sie kaum Möglichkeiten, diese Manipulation zu entdecken, da der Schadcode sich nicht im Betriebssystem, sondern „eine Ebene darunter” befindet.
    MBRs sind mittlerweile sehr wirksam geschützt. Deshalb kommen Bootkits nicht mehr häufig zum Einsatz. Sowohl Windows 8 als auch Windows 10 und viele modernen Linux-Varianten prüfen den MBR vor dem Start auf Manipulationen. Daher gelingt es Bootkits nur noch selten, unerkannt zu bleiben.

    User-Mode-Rootkits

    User-Mode-Rootkits infizieren das Administratorkonto des Betriebssystems und verschaffen sich darüber die höchstmöglichen Berechtigungsstufen. So lassen sich Sicherheitsprotokolle und nahezu alle systemrelevanten Bereiche im Hintergrund manipulieren.
    Sind diese Rootkits erst einmal auf dem Rechner eingerichtet, starten sie automatisch zusammen mit dem System. Alle auf Kernel-Ebene arbeitenden Malware-Scanner und Bereinigungsprogramme erkennen jedoch User-Mode-Rootkits und sind in der Lage, diese zu entfernen.

    Hybrid-Rootkits

    Hybrid-Rootkits arbeiten in unterschiedlichen Ebenen. Sie platzieren einige der Komponenten auf Benutzerebene und andere im Kernelbereich. Dadurch lassen sich diese Rootkits schwerer identifizieren, sind aber gleichzeitig stabiler als reine Kernel-Kits. Aktuell ist diese Mischform die bei Hackern beliebteste Rootkit-Variante.

    Firmware-Rootkits

    Die sogenannte Firmware ist eine auf niedriger Hardwareebene arbeitende Software. Im IT-Bereich findet sich Firmware zur Steuerung von Systemen und Hardware beispielsweise auf Grafikkarten, in Routern, in Hubs oder anderen Netzwerk- und Rechnerkomponenten. Häufig sind diese Komponenten auch über das Netzwerk ansprechbar. Einige Rootkits nutzen diese Vernetzung aus, um sich in der Firmware zu verstecken. So können sie über die kompromittierten Systeme Malware nachladen oder den Datenverkehr manipulieren.
    Sicherheitsscanner können Firmware-Rootkits normalerweise während der Ausführung erkennen und deaktivieren. Allerdings entfernt der Scanner meist nur den im flüchtigen Arbeitsspeicher befindlichen Schadcode. Zur Beseitigung des Kits selbst ist bei der befallenen Hardware die Neuinstallation einer unverfälschten Firmware-Version erforderlich.

    Virtuelle Rootkits

    Virtuelle Maschinen (VM) haben den Ruf, besonders sicher zu sein, da sich im Fehlerfall die virtuelle Umgebung mit wenig Aufwand in einen sauberen Ursprungszustand versetzen lässt. Virtuelle Maschinen werden häufig verwendet, um die Ausführung mehrerer Betriebssysteme auf einem einzigen Gerät zu ermöglichen; oder um Programme in einer isolierten Umgebung zu testen.
    Virtuelle Rootkits oder Virtual-Machine-based Rootkits (VMBRs) versuchen, sich auf dem Hostsystem zu installieren und von dort virtuelle Maschinen zu infizieren. Da die aktiven Bereiche der VM getrennt vom Betriebssystem und den Schutzmechanismen des Hosts laufen, sind diese Rootkits nur schwer zu identifizieren.

    Weitere Rootkit-Versionen

    Eine der ursprünglichsten und inzwischen kaum noch eingesetzten Rootkit-Varianten ist das Application-Rootkit. Hierbei werden Standard-Systemprogramme durch modifizierte Varianten ersetzt. Da diese ursprüngliche Form von Rootkits von nahezu allen Schutzprogrammen problemlos erkannt und entfernt wird, setzen Hacker:innen diese kaum noch ein. Eine weitere Gruppe sind die Speicher-Rootkits. Diese existieren nur vorübergehend im Arbeitsspeicher und verschwinden beim Neustart automatisch aus dem System.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Welchen Schaden können Rootkits anrichten?

    Durch Rootkits ist es möglich, nahezu beliebigen Schadcode auf Systemen zu verstecken. Dabei ist die Liste der von Hacker:innen angestrebten Ziele lang:
    • Administratorrechte: Der angestrebte Schlüssel zum System, der Cyberkriminellen alle Systemtüren öffnet, ist der Besitz von Root- oder Administratorrechten. Mit diesen Privilegien ausgestattet, lässt sich nicht nur immenser Schaden anrichten, sondern auch Malware im gesamten Netzwerk verbreiten. Selbst wenn bei einem Angriff die aktivierte Malware enttarnt und entfernt wird, bleibt das am Anfang der Infektionskette stehende Rootkit häufig unerkannt. Oft sorgt es innerhalb eines programmierten Zeitfensters, oder solange es nicht entfernt wird, immer wieder für neue Infektionen.
    • Tarnen und Täuschen: Ein weiteres Ziel ist es, Malware zu verbergen. Rootkits sorgen für eine Verschleierung und Tarnung vorhandener Malware, um die Erkennung und Beseitigung zu erschweren.
    • Fernzugriff erlangen: Rootkits können es Angreifer:innen ermöglichen, unerkannt per Fernzugriff (remote) auf Systeme zuzugreifen.
    • Daten stehlen: Cyberkriminelle verwenden Rootkits häufig, um Daten auszuspähen und zu verändern. Vom Identitätsdiebstahl über Kreditkartenbetrug bis hin zur Datenspionage gibt es kaum eine Form von Cyberkriminalität, die nicht Rootkits als Werkzeug einsetzt.
    • Einrichtung von Backdoors: Ein permanenter „Hintereingang“ sorgt dafür, dass selbst die restlose Entfernung von Malware keine endgültige Sicherheit bietet. Über Backdoors ist es Hacker:innen möglich, jederzeit erneut Zugang zu Systemen zu bekommen.
    • Privatsphäre ausspähen: Rootkits können den Internet-Datenstrom eines Rechners abfangen, Benutzer-Tastenanschläge (beispielsweise bei der Passworteingabe) aufzeichnen und E-Mails unerkannt kopieren und umleiten.
    Darstellung erweiterter Angriffsfokus durch Rootkits und Malware heute im Vergleich zu früher
    Die Angriffsmöglichkeiten für Schadsoftware sind in den letzten Jahren stetig gewachsen.

    So erkennen Sie Rootkits

    Die meisten Virenschutzprogramme erkennen bereits die meisten Rootkit-Arten. Sie werten ungewöhnliche Vorkommnisse wie beispielsweise die Löschung von Dateien aus, um unbekannte Schadsoftware zu identifizieren. Da Rootkits jedoch weitgehend im Verborgenen arbeiten, liefern bislang unbekannte Varianten meist keinen Anhaltspunkt für einen Befall von Systemen.
    Rootkits zu erkennen, sie zu finden und zu entfernen ist keine Aufgabe für Laien. Derartige Herausforderungen sollten Sie daher nach Möglichkeit Spezialisten beziehungsweise der IT-Administration Ihres Unternehmens überlassen. Häufig benutzen IT-Expert:innen spezielle Rootkit-Scanner, um eine Rootkit-Prüfung vorzunehmen. Dabei ist es wichtig, nicht nur Arbeitsplatzrechner im Unternehmen auf Malware zu testen.
    Auch Rechner im Homeoffice sollten auf eventuell vorhandene Rootkits geprüft werden. Die Prüfung sollte möglichst schnell und einfach ohne Unterstützung der IT-Administration erfolgen können. Dabei liefern speziell darauf ausgerichtete Programme bessere Ergebnisse als die Standard-Virenschutz-Applikationen. Zu den leistungsfähigsten Rootkit-Scannern zählen das „Sophos Virus Removal Tool“, der „Rootkit Remover“ von Bitdefender sowie Malwarebytes Anti-Rootkit.
    Spätestens beim Auftreten von Warnsignalen sollten Sie Ihr System mit einer entsprechenden Scansoftware untersuchen. Die Warnsignale sind dabei häufig unspezifisch und können auch völlig andere Ursachen haben. Generell sollten Sie auf folgende Symptome achten:
    • Das System verhält sich anders als sonst. Rootkits führen meist zu einer Manipulation der Betriebssystem-Abläufe. Wenn sich der Computer seltsam verhält, könnte das ein Zeichen für Rootkit- oder Malware-Aktivität sein.
    • Systemeinstellungen verändern sich spontan: Grundsätzlich sollte der Computer die eingestellte Konfiguration nicht eigenmächtig verändern. Über Fernzugriff mittels Rootkit ist es Hacker:innen möglich, Einstellungen anzupassen und die bestehende Konfiguration zu manipulieren. Wenn Sie Veränderungen im laufenden Betrieb bemerken, könnten diese durch Rootkits hervorgerufen worden sein.
    • Webseiten/Netzwerkaktivitäten und Programme sind instabil: Für ständige Netzwerk- und Verbindungsabbrüche, Speicherzugriffsfehler oder abstürzende Programme und vermehrte Bluescreen-Meldungen könnten technischen Probleme die Ursache sein. Allerdings führt auch der Einsatz von Rootkits zu ähnlichen Symptomen. Stehen die Fehler mit einer Programminstallation oder dem Aufruf von E-Mails, dem Einspielen neuer Software oder dem Aufruf von Webseiten in Verbindung, sind das weitere Hinweise auf ein Rootkit oder andere Malware als Ursache der Störungen.
    Im Zweifelsfall sollten Systeme mit ungewöhnlichem Verhalten unverzüglich auf Schadsoftware untersucht werden. Dabei empfiehlt es sich, betroffene Rechner frühzeitig zu isolieren, also vom Netzwerk zu trennen.
    Offenes Vorhängeschloss vor Zahlenmuster

    Vodafone Cyber-Security-Services

    Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

    Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

    Jetzt informieren

    Rootkits: Angriffe erfolgreich abwehren

    Die Abwehrmaßnahmen gegen Rootkits entsprechen prinzipiell denen, die auch Schutz gegen andere Schadsoftware bieten. Im betrieblichen Umfeld sind diese Maßnahmen Standard. Im Homeoffice fehlt jedoch manchmal das Bewusstsein für diesen wichtigen Basisschutz:
    • Verwenden Sie Virenschutzprogramme und führen Sie regelmäßig Systemscans durch.
    • Halten Sie das System durch regelmäßige Updates auf einem aktuellen Stand.
    • Seien Sie sensibel gegenüber E-Mail-Inhalten. Entwickeln Sie ein Bewusstsein für Betrugsmaschen im Internet wie beispielsweise das Phishing und E-Mail-Spoofing.
    • Verwenden Sie ausschließlich starke Passwörter, die nicht leicht zu erraten sind und die beispielsweise Sonderzeichen beinhalten.
    • Nutzen Sie Administrator-Accounts nur, wenn erweiterte Rechte gebraucht werden. Im Internet sollte generell nicht mit Administratorzugang gesurft werden.
    • Manche Systeme bieten die Möglichkeit, einen Schreibschutz auf der Hauptplatine des Rechners zum Schutz von dessen Firmware zu aktivieren. Allerdings verhindert dieser Schreibschutz dann auch reguläre Firmware-Updates. Manche Systeme erlauben es, softwareseitig einen Schreibschutz zu setzen. Diese Möglichkeit sollten Sie nutzen.

    So gelangen Rootkits ins System

    Um Systeme vor Rootkits zu schützen, ist es wichtig zu verstehen, mit welchem Mechanismus diese Schadsoftware auf den Rechner gelangt. Im Gegensatz zu Viren benötigen Rootkits Hilfe, um sich auf Systemen installieren zu können.
    Cyberkriminelle verknüpfen Rootkits in der Regel mit zwei Partnerprogrammen: einem Dropper und einem Loader. Rootkit, Dropper und Loader bilden zusammen eine sogenannte kombinierte Bedrohung. Der Dropper importiert das Rootkit auf den Zielrechner. Sobald der Dropper gestartet wird, lädt dieser den Loader nach.
    Dessen einzige Funktion ist es, das eigentliche Rootkit auf dem Zielrechner zu installieren. Loader bedienen sich dabei häufig einer weit verbreiteten Sicherheitslücke. Durch den so genannten „Pufferüberlauf“ ist es möglich, Code in ansonsten unzugängliche Bereiche des Speichers eines Computers zu laden.
    Schaubild des Mechanismus Dropper, Loader und infizierten Rechner durch grafische Symbole eines Bugs, Baggers und Monitors.
    Hacker verknüpfen Rootkits mit Droppern und Loadern als Partnerprogramme.
    Um diesen koordinierten Angriff durchführen zu können, bedienen sich Hacker:innen unterschiedlicher Transportmethoden. Messaging-Programme oder E-Mails mit Nachrichten und Links sind eine beliebte Variante, um Rootkits in Rechnersysteme einzuschleusen. Weitere bei Hacker:innen verbreitete Methoden sind:
    • Nutzung von Trojaner-Programmen
    • Einschleusen durch kostenlose Spielprogramme
    • Manipulation von regulären Software-Downloads über nicht vertrauenswürdige Download-Adressen
    • Verwendung von Attachments in E-Mails, um Dropper auf Zielsysteme zu transportieren.
    Die Gefahr zu kennen ist der erste Schritt zur erfolgreichen Abwehr von Rootkits. Diese werden als effektive Werkzeuge von Cyberkriminellen immer eine Gefahr bleiben. Dagegen bieten nur Wachsamkeit und moderne Sicherheitssoftware einen wirksamen Schutz.
    Microsoft Defender für Unternehmen

    Microsoft Defender für Unternehmen

    Mittelständische Unternehmen sind anfällig für Cyber-Bedrohungen. Sie haben weniger Ressourcen und meist wenige IT-Fachkräfte. Hybrides Arbeiten vergrößert diese Angriffsfläche. Wir helfen Ihnen – mit dem Microsoft Defender für Unternehmen.

    • Schutz vor Ransomware, Phishing und anderen Bedrohungen
    • Optimal für IT-Admins in kleinen und mittleren Unternehmen
    • In Microsoft 365 Business Premium als zusätzlicher Schutz für Office-Anwendungen bereits enthalten
    Jetzt informieren
    Portrait von Ulrich SchmitzUlrich Schmitz
    10.07.2024
      # Tags:SicherheitDigitalTippsTippsMobiles ArbeitenCybersecurity
      Das könnte Sie auch interessieren:
      Security
      Drei Menschen sitzen vor einem Notebook und zeigen sich etwas auf dem Bildschirm.

      Web Application Firewalls (WAF) einfach erklärt

      Eine Web Application Firewall (WAF) schützt Unternehmen vor Angriffen auf ihre Web-Anwendungen. Ohne eine WAF-Lösung könnten Cyberkriminelle über Schwachstellen in das gesamte Unternehmensnetzwerk eindringen. Erfahren Sie hier, was moderne WAFs alles können und warum Sie auch Ihre Web-Apps in die Sicherheitsstrategie mit einbeziehen müssen. Unternehmen nutzen eine Vielzahl webbasierter Anwendungen, also interaktive Online-Dienste, die über den Browser abrufbar sind. Web-Apps sind sehr praktisch: Sie sind überall zugänglich und funktionieren plattformunabhängig auf vielen Geräten. Gleichzeitig sind Web-Anwendungen aber auch ein beliebtes Ziel von Hackern. Ganz gleich, ob Sie als Unternehmen Ihre Webanwendungen nur im Intranet oder über öffentlich zugängliche Websites nutzen, sollten Sie den Webdatenverkehr kontinuierlich auf Bedrohungen überwachen. Web Application Firewalls wehren Internetbedrohungen ab und bieten in einigen Fällen auch KI, Automatisierung und Machine-Learning-Funktionen, um den sich ständig ändernden Angriffsmethoden noch effizienter zu begegnen.

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-18 Uhr, außer an Feiertagen.

      0800 505 4539

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort