Rootkits sind eine heimliche und gefährliche Art von Malware, die es Hackern ermöglicht, ohne Ihr Wissen auf Ihren Computer zuzugreifen. Erfahren Sie, wie Sie diese fast unsichtbare Software mit einem Rootkit-Scanner erkennen und mit einem Anti-Rootkit-Tool Rootkits endgültig von Ihrem Gerät entfernen können.
Dieser Artikel enthält:
Widmen wir uns zunächst der Definition von „Rootkits“, indem wir die Teile des Begriffs analysieren. Der erste Teil, „Root“, bezieht sich auf das Konto zur Administration eines Geräts. Da dieses Konto auf jeden Aspekt des Geräts mit allen ihm zur Verfügung stehenden Benutzerprivilegien zugreifen kann, hat es die tiefste Kontrollebene - so tief wie die Wurzeln (Englisch: „root“) einer Pflanze. Mit Rootkits kann der Hacker auf das Herz des Systems zugreifen.
Das Wort „Kit“ bezieht sich auf die Methode, mit der der Zugriff ermöglicht wird, nämlich durch ein Softwarepaket, das dem Hacker die administrative Kontrolle über das Gerät verleiht. Der Hacker erstellt ein Software-Kit, das ihm Root-Privilegien auf dem Zielsystem gewährt.
Rootkits und Viren arbeiten häufig zusammen. In diesem Fall spricht man von „Rootkit-Viren“. Trotzdem besteht ein klarer Unterschied zwischen einem Rootkit und einem Virus. Rootkits gewähren Administrator-Zugriff auf ein System, während ein Virus Dateien auf einem Computer verändert, um sich selbst zu replizieren.
Hacker verbreiten ihre Rootkits normalerweise mithilfe von Trojanern. Diese harmlos anmutende Malware soll Sie dazu verleiten, sie herunterzuladen und zu öffnen. Nachdem der Trojaner geöffnet wurde, installiert er das Rootkit. Wenn Sie sich also nicht vor jeder Art von Malware schützen, rollen Sie quasi den roten Teppich für Hacker und ihre Rootkits aus.
Avast Free Antivirus bietet erstklassigen Schutz vor Malware, einschließlich vor Trojanern, die Cyberkriminelle zur Verbreitung von Rootkits verwenden. Vertrauen auch Sie dem zuverlässigen Antivirus- und Anti-Rootkit-Tool, das bereits von mehr als 400 Millionen Benutzern weltweit verwendet wird.
Rootkits werden nur dann als Malware eingestuft, wenn Sie für verbrecherische Zwecke eingesetzt werden. Einige Benutzer installieren Rootkits auf ihren eigenen Geräten als Teil eines als Jailbreaking bekannten Verfahrens, das dazu dient, die vom Hersteller festgelegten Beschränkungen zu umgehen. Regierungen und Strafverfolgungsbehörden setzen manchmal Rootkits im Rahmen ihrer strafrechtlichen Ermittlungen ein, was wir nicht unbedingt als rechtmäßige Verwendung bezeichnen würden.
Eine neue Klassifizierung von Malware ist „Stalkerware“. Hierbei handelt es sich um Rootkits, die die Aktivitäten eines Benutzers überwachen oder die Verwendung von Inhalten steuern. Stalkerware wird häufig gegenüber Eltern, Arbeitgebern oder gar Personen beworben, die ihre Beziehungspartner im Auge behalten wollen. Derartige Praktiken gelten in vielen Ländern als gesetzeswidrig.
Für sich genommen ist ein Rootkit nur ein Tool, aber wie bei vielen anderen Tools hängt es vom Benutzer ab, ob es rechtmäßig oder kriminell verwendet wird.
Rootkits ermöglichen es, Malware auf Ihrem Gerät zu verstecken, sodass es schwierig oder sogar unmöglich wird, sie zu beseitigen. Nachdem ein Rootkit auf Ihrem Gerät installiert wurde, gewährt es unbemerkt Fernzugriff auf praktisch jede Funktion Ihres Betriebssystems.
Rootkits sind tief in der Programmierung Ihres Computers verankert und damit in der Lage, die meisten Spuren ihrer Existenz zu verwischen. Dieses Merkmal trägt wesentlich zur Gefährlichkeit von Rootkits bei. Einige Rootkits können sogar die Sicherheitsprogramme Ihres Computers manipulieren oder außer Kraft setzen, was die Erkennung und Entfernung dieser Programme erheblich erschwert.
Cyberkriminelle verwenden Rootkits meistens, um Informationen zu stehlen. Einige Hacker verwenden Rootkits, um persönliche Daten von Privatpersonen für Identitätsdiebstahl oder Betrug zu beschaffen. Andere wiederum nehmen Unternehmen zu Spionagezwecken oder für Finanzverbrechen ins Visier.
Hacker können Rootkits an ihre Bedürfnisse anpassen. Einige Rootkits erlauben das Errichten eines permanenten „Hintereingangs“ zu Ihrem System, der ständig offen ist, damit der Hacker sich zu einem späteren Zeitpunkt erneut Zutritt zu Ihrem Computer verschaffen kann. Andere Rootkits ermöglichen es dem Hacker, Ihren Computer zu überwachen, während Sie ihn verwenden. Auf diese Weise kann der Hacker Ihren Internetverkehr abfangen, Tastenanschläge aufzeichnen und sogar Ihre E-Mails lesen.
Wenn ein Rootkit seine Arbeit richtig macht, bemerken Sie es gar nicht. Hacker verwenden Rootkits, um unbemerkt direkt vor Ihrer Nase Cyberverbrechen zu begehen. Wenn Sie merken, dass sich ein Rootkit auf Ihrem Gerät befindet, hat es seinen Zweck verfehlt.
Ein Rootkit-Scanner ist die beste Methode zur Erkennung und Beseitigung von Rootkits. Ein zuverlässiges Anti-Malware-Tool ist das beste Mittel zur Verhinderung von Rootkits und anderen Bedrohungen. Abgesehen davon gibt es noch ein paar andere Möglichkeiten, um Rootkits auf Ihrem Gerät zu erkennen:
Ihr System verhält sich ungewöhnlich: Rootkits ermöglichen es Hackern, das Betriebssystem Ihres Computers zu manipulieren. Wenn Sie den Eindruck haben, dass Ihr Computer Dinge tut, die er eigentlich nicht tun sollte, könnte ein Hacker mit seinem Rootkit am Werk sein.
Signatur-Scanning: Computer sind zahlenbasiert. Alle Daten, Programme und Dateien sind in Form einer Anordnung von Zahlen auf Ihrem Computer gespeichert. Die Signatur einer Software besteht ebenfalls aus Zahlen und ist eine Darstellung des Programms in Computersprache. Sie können Ihren Computer mithilfe einer Datenbank mit bekannten Rootkit-Signaturen scannen, um mögliche Rootkits zu identifizieren.
Speicherabbild-Analyse: Im Falle eines Absturzes von Windows wird ein sogenanntes Speicherabbild erstellt. Ein geübter Techniker kann diese Speicherabbilddatei analysieren, um die Ursache für den Absturz zu ermitteln. Dies ist eine Möglichkeit, um ein Rootkit als den Verursacher zu identifizieren.
Ihre Windows-Einstellungen ändern sich: Grundsätzlich sollte Ihr Computer nichts ohne Ihr Einverständnis tun. Über den Remote-Zugriff mittels Rootkit kann eine unbefugte Person Ihre Einstellungen und Konfigurationen manipulieren. Wenn Sie den Eindruck haben, dass sich etwas verändert hat, besteht möglicherweise Grund zur Sorge.
Webseiten/Netzwerkaktivitäten werden instabil: Falls Ihre Internetverbindung plötzlich ungewöhnlich instabil scheint, könnte es sich um mehr als ein vorübergehendes technisches Problem handeln. Wenn ein Hacker ein Rootkit zum Senden oder Empfangen einer Menge von Daten auf Ihrem Computer verwendet, können normale Internetaktivitäten dadurch beeinträchtigt werden.
Suche im Systemspeicher: Ihr Computer verwendet den Systemspeicher für Programme und Daten, die gerade aktiv sind. Sie können den gesamten Systemspeicher durchsuchen, um Anomalien zu identifizieren. Überprüfen Sie während der Suche alle Eingangspunkte auf Anzeichen von aufgerufenen Prozessen und überwachen Sie alle importierten Bibliotheksaufrufe von DLLs. Einige von ihnen verweisen möglicherweise zurück auf andere Funktionen.
Dieser Vorgang ist mühselig und schwierig. Ersparen Sie sich die Mühe und verwenden Sie stattdessen ein Anti-Malware-Tool mit einem Rootkit-Scanner.
Rootkits sind wenig mobil. Anders als Würmer und Viren und ähnlich wie Trojaner benötigen Rootkits ein bisschen Hilfe, um auf Ihren Computer zu gelangen.
Hacker bündeln ihre Rootkits mit zwei Partnerprogrammen, einem „Dropper“ und einem „Loader“, die zur Installation des Rootkits verwendet werden. Diese drei Komponenten bilden zusammen eine sogenannte „konzentrierte Bedrohung“. Sehen wir uns das Ganze etwas genauer an:
Dropper: Der Dropper importiert das Rootkit auf den Computer des Opfers. Im Folgenden behandeln wir einige der gängigsten Techniken, die von Hackern eingesetzt werden, um Dropper auf Ihrem Gerät zu installieren. Der Dropper ist der erste Schritt während der Installation. Sobald das Opfer den Dropper aktiviert, aktiviert dieser wiederum den Loader.
Loader: Während der Dropper ausgeführt wird, installiert der Loader das Rootkit auf dem Zielsystem. Loader erreichen dies häufig durch einen Pufferüberlauf. Hierbei handelt es sich um eine weit verbreitete Sicherheitslücke, die es Hackern ermöglicht, ihren Code in ansonsten unzugängliche Bereiche des Speichers eines Computers einzuschleusen.
Die Herausforderung für den Cyberkriminellen besteht darin, das konzentrierte Bedrohungspaket auf Ihren Computer zu befördern. Hier sind einige Methoden, mit denen sich dies erreichen lässt:
Messaging-Programme: Wenn es einem Hacker gelingt, seine konzentrierte Bedrohung auf einem Computer zu installieren, und auf diesem Computer ein Instant-Messaging-Client installiert ist, kann die konzentrierte Bedrohung den Client übernehmen und sich selbst verbreiten. Sie sendet eine Nachricht mit einem schädlichen Link an sämtliche Kontakte des Opfers. Wenn der Kontakt dann darauf klickt, wird sein Computer ebenfalls infiziert. Diese Art von Social Engineering hat sich als höchst wirksame Methode zur Verbreitung von Rootkits erwiesen.
Ausnutzung vertrauenswürdiger Software: Hacker können ihre Rootkits in ansonsten vertrauenswürdige Programme und Apps schmuggeln und die so infizierten Apps dann auf verschiedenen Download-Portalen verbreiten. Wenn Sie dann die infizierte App installieren, wird gleichzeitig auch das Rootkit installiert, ohne dass Sie es bemerken.
Andere Malware: Viren und Trojaner können zur Verbreitung von Rootkits verwendet werden, da sie recht leicht auf Ihren Computer gelangen können. Wenn Sie das Programm, das den Virus enthält, oder den Trojaner ausführen, wird das Rootkit auf Ihrem Gerät installiert.
Inhaltsreiche Dateien: Seit der Einführung inhaltsreicher Dateien wie PDFs benötigen Hacker keine speziellen Websites oder Programme mehr, um ihre Malware zu verbergen. Stattdessen können sie einfach Rootkits in diese Dateien integrieren. Wenn Sie die infizierte Datei öffnen, wird der Rootkit-Dropper automatisch ausgeführt.
Sicherheitsexperten unterteilen Rootkits in sechs Kategorien, die hauptsächlich auf der Tiefe der Infektion auf Ihrem Rechner beruhen.
Diese Art von Rootkit infiziert das Administrator-Konto Ihres Betriebssystems. Dadurch werden ihm alle Privilegien der obersten Ebene gewährt, die erforderlich sind, um die Sicherheitsprotokolle Ihres Computers zu ändern und gleichzeitig sich selbst und jede andere von ihm verwendete Malware zu verbergen. User-Mode-Rootkits werden bei jedem Start des Rechners automatisch gestartet, weshalb ein einfacher Neustart nicht ausreicht, um die Infektion zu beseitigen.
Anti-Malware-Programme können User-Mode-Rootkits erkennen, da Rootkit-Erkennungssoftware auf einer tieferen Ebene, dem so genannten Kernel, ausgeführt wird.
Als Reaktion auf Rootkit-Scanner auf Kernel-Ebene haben Hacker Kernel-Mode-Rootkits entwickelt. Sie befinden sich auf der gleichen Computerebene wie das Betriebssystem und können damit das gesamte Betriebssystem kompromittieren. Einfach ausgedrückt: Sie können Ihrem Computer nicht mehr vertrauen, wenn er einmal von einem Kernel-Mode-Rootkit befallen wurde; alles ist potenziell kompromittiert, selbst die Ergebnisse von Anti-Rootkit-Scans.
Glücklicherweise ist es sehr schwierig, ein Kernel-Mode-Rootkit zu erstellen, das ohne spürbare Probleme für das Opfer aktiv ist. Zahlreiche Systemabstürze und sonstige Probleme sind ein deutliches Warnzeichen für eine Infektion durch ein Kernel-Mode-Rootkit.
Anstatt nur an einem Ort, platzieren Rootkits einige ihrer Komponenten auf der Benutzerebene und andere wiederum im Kernel. Dies verleiht Hybrid-Rootkits einerseits die Stabilität von User-Mode- und andererseits die verbesserten Tarnfähigkeiten von Kernel-Mode-Rootkits. Dementsprechend werden diese Hybrid-Rootkits zurzeit von Cyberkriminellen mit Vorliebe eingesetzt.
Firmware ist eine Art von Software auf niedriger Ebene, die zur Steuerung eines Teils der Computerhardware verwendet wird. Einige Rootkits haben die zusätzliche Fähigkeit, sich in der Firmware zu verstecken, wenn Sie Ihren Computer ausschalten. Beim erneuten Einschalten des Rechners kann sich das Rootkit selbst wieder installieren. Wenn ein Rootkit-Scanner das Rootkit bei laufendem Betrieb findet und deaktiviert, wird es beim nächsten Einschalten Ihres Rechners sofort wieder installiert. Diese Art von Rootkit ist besonders schwer von einem Computer zu entfernen.
Wenn Sie Ihren Computer einschalten, greift er auf seinen Master Boot Record (MBR) zurück, um Anweisungen zum Laden seines Betriebssystems zu erhalten. Bootkits, auch bekannt als Bootloader-Rootkits, sind eine Variante des Kernel-Mode-Rootkits, die den MBR Ihres Rechners infizieren. Jedes Mal, wenn der Computer auf den MBR zugreift, wird das Bootkit ebenfalls geladen.
Anti-Malware-Programme haben, ebenso wie bei Kernel-Mode-Rootkits, Schwierigkeiten bei der Erkennung von Bootkits, da sich diese überhaupt nicht im Betriebssystem befinden. Mittlerweile sind Bootkits veraltet, da sowohl Windows 8 als auch Windows 10 ihnen mit der Funktion für den sicheren Start einen Strich durch die Rechnung machen.
Bei einer virtuellen Maschine handelt es sich um eine softwarebasierte Emulation eines separaten Computers, die auf einem physischen Rechner gehostet wird. Virtuelle Maschinen werden häufig verwendet, um die Ausführung mehrerer Betriebssysteme auf einem einzigen Gerät zu ermöglichen oder um Programme in einer isolierten Umgebung zu testen.
Virtuelle Rootkits oder Virtual Machine-based Rootkits (VMBRs) laden sich selbst unter das ursprüngliche Betriebssystem und platzieren selbiges dann auf einer virtuellen Maschine. Da sie getrennt vom Betriebssystem des Computers ausgeführt werden, sind sie sehr schwer zu orten.
Sobald ein neues Rootkit bekannt wird, wird es zu einem der dringendsten Probleme innerhalb der Cybersicherheits-Community. Rootkits sind schwer zu bekämpfen und ihre Auswirkungen können fatal sein. Werfen wir einen Blick auf einige der bekanntesten Rootkits der Geschichte, wovon einige von Hackern und andere überraschenderweise von Großkonzernen entwickelt und eingesetzt wurden.
1990: Lane Davis und Steven Dake entwickeln das erste bekannte Rootkit bei Sun Microsystems für das Unix-Betriebssystem SunOS.
1999: Greg Hoglund veröffentlicht einen detaillierten Artikel zur Erstellung eines Trojaners namens NTRootkit, dem ersten Rootkit für Windows. Dies ist ein Beispiel für einen Rootkit-Virus, der im Kernel-Modus aktiv wird.
2003: Das User-Mode-Rootkit HackerDefender erscheint für Windows 2000 und Windows XP. Nach der Entdeckung von HackerDefender kam es zu einem Katz-und-Maus-Spiel zwischen HackerDefender und dem Anti-Rootkit-Tool RootkitRevealer.
2004: Über 100 Mobiltelefone im Netz von Vodafone Griechenland werden mit einem Rootkit angezapft, darunter auch das Telefon des griechischen Premierministers. Dieser Angriff gewinnt später unter dem Namen Greek Watergate Berühmtheit.
2005: Im Zusammenhang mit Sony BMG kommt es zu einem massiven Skandal nach dem Vertrieb von CDs, die Anti-Piraterie-Tools in Form von Rootkits ohne die vorherige Zustimmung der Verbraucher installieren.
2008: Das zum damaligen Zeitpunkt als TDL-1 bekannte Bootkit TDL-4 dient als Basis für den berüchtigten Alureon-Trojaner, der zur Erstellung und Aufrechterhaltung von Botnets verwendet wird.
2009: Das Rootkit Machiavelli greift MacOS (damals noch Mac OS X genannt) an und beweist, dass auch Macs anfällig für Rootkits sind.
2010: Der Wurm Stuxnet, der mutmaßlich in Zusammenarbeit zwischen den USA und Israel entwickelt wurde, verwendet ein Rootkit, um seine Präsenz zu verbergen, während er auf das iranische Atomprogramm losgelassen wird.
2012: Die mit einer Größe von 20 MB vergleichsweise riesige modulare Malware namens Flame (andere Malware ist weniger als 1 MB groß) wird entdeckt, während sie die Infrastruktur im Nahen Osten und in Nordafrika angreift.
2018: LoJax ist das erste Rootkit, das die UEFI eines Computers infiziert, die Firmware, die die Hauptplatine steuert, und es LoJax ermöglicht, eine Neuinstallation des Betriebssystems zu überstehen.
Da Rootkits so schwer zu entfernen sind, besteht Ihre beste Anti-Rootkit-Taktik darin, die Installation eines Rootkits von vornherein zu verhindern. Gewöhnen Sie sich intelligente Online-Sicherheitsregeln an, und Sie sind dem Ziel, von Rootkits verschont zu bleiben, einen Schritt näher.
Hüten Sie sich vor unbekannten Dateien, selbst wenn sie Ihnen von einem vertrauenswürdigen Kontakt zugesandt werden, und erkundigen Sie sich vor dem Öffnen dieser Dateien zuerst bei Ihrem Kontakt. Öffnen Sie unter keinen Umständen Anhänge in E-Mails von unbekannten Absendern.
Beziehen Sie Software grundsätzlich von vertrauenswürdigen Quellen , nach Möglichkeit direkt vom Hersteller oder vom App Store bzw. von Google Play. Lesen Sie die Nutzungsbedingungen sorgfältig durch, um sicherzugehen, dass niemand versucht, ein Rootkit auf Ihrem Gerät zu installieren.
Installation Sie System-Updates, sobald diese verfügbar sind. Diese Updates enthalten häufig Patches für kürzlich entdeckte Schwachstellen, die Hacker andernfalls ausnutzen können, um auf Ihr Gerät zuzugreifen.
Verlassen Sie sich nicht ausschließlich auf Windows Defender oder andere integrierte Sicherheitssoftware, falls Ihr Gerät über eine solche verfügt, da die meisten Rootkits in der Lage sind, diese grundlegenden Schutzmechanismen ohne größere Schwierigkeiten zu umgehen. Um einen umfassenden Schutz zu gewährleisten, raten wir zu spezialisierter Software.
Im Kampf gegen Rootkits sind Sie nicht alleine. Avast schützt bereits mehr als 400 Millionen Benutzer vor allen Arten von Malware, einschließlich Rootkits. Wappnen Sie sich mit einem der zuverlässigsten Tools zur Erkennung und Entfernung von Rootkits im Internet, das Ihnen völlig kostenlos mit Avast Free Antivirus zur Verfügung steht.
