Was ist Rookit?

Die Definition und 5 Hauptarten

Rootkit

Nicht alle Cyber-Bedrohungen sind so leicht zu erkennen und zu entfernen wie etwa trojanische Pferde. In der Tat sind einige so speziell, dass möglicherweise nicht einmal Ihre Antivirus Software sie erkennen kann. Wenn Ihr Computer plötzlich unglaublich langsam geworden ist, wenn Sie selbst bei nur einem geöffneten Browser-Tab immer noch über wenig RAM verfügen oder wenn Sie in letzter Zeit den “Blue Screen of Death” häufig zu sehen bekommen, ist Ihr PC möglicherweise mit einer solchen “unsichtbaren” Bedrohung infiziert – ein Rootkit.

Zusammenfassung: Ein Rootkit ist eine Software oder eine Sammlung von Programmen, die Hackern Zugriff auf ein Zielgerät und die Steuerung über dieses Zielgerät ermöglichen. Obwohl die meisten Rootkits die Software und das Betriebssystem betreffen, können einige auch die Hardware und Firmware Ihres Computers infizieren. Lesen Sie weiter, um mehr über die Haupttypen von Rootkits zu erfahren und lernen Sie die besten Methoden zu kennen, um sie zu entfernen.

Rootkit

Was ist ein Rookit?

Ein Rootkit ist eine Software, die von Hackern verwendet wird, um die vollständige Kontrolle über einen Zielcomputer oder ein Netzwerk zu erlangen. Obwohl es manchmal als einzelne Software erscheint, umfasst ein Rootkit häufiger eine Sammlung von Tools, die Hackern den Fernzugriff auf den Zielcomputer und die Steuerung auf Administratorebene ermöglichen. Rootkits können zwar auch für gute Zwecke genutzt werden (z. B. Remote-Tech-Support), meistens werden sie jedoch für böswillige Absichten verwendet. Sie haben alle eine Hintertür, die es Hackern ermöglicht, Änderungen am System vorzunehmen.

Obwohl sie in der einen oder anderen Form bereits seit mehr als einem Vierteljahrhundert existieren, kann die Geschichte der heutigen Rootkits bis in die Mitte der 1990er Jahre und den Anstieg von UNIX-Rootkits und DOS-Stealth-Viren zurückverfolgt werden. Die ersten Rootkits für Windows wurden um die Jahrhundertwende entdeckt. Einige der bemerkenswertesten Beispiele waren Vanquish, das die Passwörter der Opfer aufzeichnete und FU, welches eher zur Änderung der Systemstruktur verwendet wurde.

Hacker können Rootkits auf verschiedene Arten auf dem Zielcomputer installieren, aber die meisten von ihnen beinhalten einen Phishing-Angriff oder eine andere Art von Social Engineering. Auf diese Weise laden und installieren die Besitzer unwissentlich schädliche Software auf ihren Computern und geben den Hackern die Kontrolle über fast alle Funktionen des Betriebssystems. In den meisten Fällen zielen Rootkits auf Anwendungen ab, die im Benutzermodus ausgeführt werden, einige betreffen jedoch die Kernkomponenten des Betriebssystems im Kernel-Modus und sogar die Firmware des Computers (z. B. BIOS).

Wie andere legale Softwareprogramme werden Rootkits häufig so programmiert, dass sie Antiviren- oder Anti-Malwaresoftware, die möglicherweise auf dem infizierten Computer installiert ist, deaktivieren oder vollständig entfernen. Dies war in der Vergangenheit ein besonders großes Problem, als die meisten Anti-Malware-Programme einen Rootkit-Angriff nicht erkennen, überwachen und / oder stoppen konnten. Cybersecurity-Lösungen haben sich seitdem weiterentwickelt, sodass einige der besten Antivirensoftware-Tools Rootkits erfolgreich erkennen und entfernen können.

Arten von Rookits

Es gibt verschiedene Arten von Rootkits, die jeweils auf einen anderen Teil Ihres Computers abzielen. Je näher sie sich am Kern Ihres Computers befinden, desto schwerer sind diese Infektionen zu erkennen. Diejenigen, die sich auf die Software auf Ihrem Computer auswirken, sind zwar recht verbreitet und einfach zu handhaben, aber diejenigen, die auf die Treiber, den Arbeitsspeicher und das Betriebssystem abzielen, sind viel schwieriger.

Die fünf häufigsten Arten von Rootkits sind Folgende:

1. Rootkits im Benutzermodus

Rootkits im Benutzermodus sind am weitesten vom Kern Ihres Computers entfernt und betreffen nur die Zielsoftware auf Ihrem PC. Sie sind daher auch viel einfacher zu erkennen und zu entfernen als alle anderen Rootkits. Sie werden häufig als Anwendungs-Rootkits bezeichnet und ersetzen die ausführbaren Dateien von Standardprogrammen wie Word, Excel, Paint oder Notepad. Jedes Mal, wenn Sie die EXE-Datei der infizierten App ausführen, gewähren Sie den Hackern Zugriff auf Ihren Computer, während Sie das betreffende Programm weiterhin wie gewohnt verwenden können.

2. Rootkits im Kernel-Modus

Im Gegensatz zu Anwendungs-Rootkits gehören Rootkits im Kernel-Modus zu den schwerwiegendsten Arten dieser Bedrohung, da sie den Kern Ihres Betriebssystems betreffen. Hacker verwenden sie nicht nur, um auf die Dateien Ihres Computers zuzugreifen, sondern auch, um die Funktionalität Ihres Betriebssystems zu ändern, indem Sie ihren eigenen Code hinzufügen. Obwohl diese Rootkits die Leistung Ihres Systems spürbar beeinflussen können, sind sie dennoch leichter zu erkennen und zu handhaben als andere Rootkits, deren Auswirkungen über das Betriebssystem hinausgehen.

3. Bootloader-Rootkits

Wie der Name vermuten lässt, beeinflussen Bootloader-Rootkits den Master Boot Record (MBR) und / oder den Volume Boot Record (VBR) des Systems. Obwohl sie direkte Auswirkungen auf das System haben, hängen sich diese Rootkits eher an Boot-Datensätze als an Dateien an, wodurch sie schwer zu erkennen und zu entfernen sind. Wenn eines dieser Rootkits Code in den MBR injiziert wird, kann dies den gesamten Computer beschädigen.

Zum Glück stehen die Bootloader-Rootkits vor dem Aussterben. Mit der Veröffentlichung von Windows 8 und 10 verfügen die meisten PCs jetzt über die Option “Sicherer Start”, die speziell zum Schutz vor Bootloader-Rootkits entwickelt wurde. Maschinen, auf denen eine 32-Bit- oder eine 64-Bit-Version von Windows 7 ausgeführt wird, können jedoch weiterhin gefährdet sein.

4. Speicher-Rootkits

Speicher-Rootkits verstecken sich im Arbeitsspeicher (RAM) Ihres Computers und verbrauchen Ihre Rechenressourcen, um im Hintergrund eine Vielzahl schädlicher Prozesse auszuführen. Dies bedeutet, dass Speicher-Rootkits die Leistung des Arbeitsspeichers Ihres Computers unweigerlich beeinflussen. Trotzdem werden diese Rootkits selten als große Bedrohung wahrgenommen, meistens weil sie eine sehr kurze Lebensdauer haben. Da sie den RAM sperren und keinen permanenten Code einfügen, verschwinden die Speicher-Rootkits, sobald Sie das System neu starten.

5. Firmware-Rootkits

Firmware-Rootkits sind zwar vergleichsweise seltener als andere Typen, aber sie stellen eine ernsthafte Bedrohung für Ihre Online-Sicherheit dar. Diese Rootkits richten sich nicht an Ihr Betriebssystem, sondern richten sich an die Firmware Ihres Computers, um Malware zu installieren, die selbst die besten Malware-Programme möglicherweise nicht erkennen können. Firmware-Rootkits können Ihre Festplatte, Ihren Router oder das BIOS Ihres Systems infizieren. Da sie sich auf die Hardware auswirken, ermöglichen sie es Hackern nicht nur, Ihre Online-Aktivitäten zu überwachen, sondern auch Ihre Tastatureingaben zu protokollieren.

Beispiele für Rootkits

In den letzten 25 Jahren haben unzählige Rootkits ihre Spuren in der Cybersicherheit hinterlassen. Einige von ihnen waren legitim, wie die von Sony im Jahr 2005 veröffentlichte Version zur Verbesserung des Kopierschutzes von Audio-CDs oder eine ähnliche von Lenovo im Jahr 2015 veröffentlichte Version, auf deren neuen Laptops nicht wiederherstellbare Software installiert werden sollte. Die meisten Rootkits wurden jedoch von unbekannten Hackern entwickelt, mit dem Ziel, die Computer der Opfer zu gefährden und ihre sensiblen Informationen zum persönlichen Vorteil (meistens finanziell) der Hacker zu erhalten.

Einige der bemerkenswertesten Beispiele für Rootkits sind Folgende:

  • Im Jahr 2008 infizierten kriminelle Organisationen aus China und Pakistan Hunderte von Kreditkarten-Wischgeräten, die für den westeuropäischen Markt bestimmt waren, mit Firmware-Rootkits. Die Rootkits waren so programmiert, dass sie die Kreditkarteninformationen der Opfer aufzeichneten und direkt an einen Server in Pakistan schickten. Insgesamt gelang es den Hackern hinter dieser Verschwörung, mindestens 10 Millionen Pfund zu stehlen, indem sie Kreditkarten klonten und Geld von den Konten ahnungsloser Opfer abnahmen.
  • Im Jahr 2011 entdeckten Cybersecurity-Experten ZeroAccess, ein Rootkit im Kernel-Modus, mit dem mehr als 2 Millionen Computer auf der ganzen Welt infiziert wurden. Anstatt die Funktionalität des infizierten Computers direkt zu beeinflussen, lädt dieses Rootkit unbemerkt Malware herunter und installiert diese auf dem infizierten Computer und macht sie zu einem weltweiten Botnet, das von Hackern für Cyberangriffe verwendet wird. Trotz einiger ernsthafter Zerstörungsversuche ist ZeroAccess bis heute aktiv.
  • 2012 entdeckten Experten aus dem Iran, Russland und Ungarn Flame, ein Rootkit, das vor allem für Cyber-Spionage im Nahen Osten eingesetzt wurde. Flame wirkt sich auf das gesamte Betriebssystem des Computers aus und kann Netzwerkverkehr überwachen, Screenshots und Audio vom Computer aufnehmen und sogar Tastaturaktivitäten protokollieren. Obwohl die Schuldigen noch immer unbekannt sind, ergab die Untersuchung, dass 80 Server auf drei Kontinenten für den Zugriff auf die infizierten Computer verwendet wurden.

So entfernen Sie ein Rootkit

Mehrere Arten von Rootkits werden mit einer höheren Berechtigungsstufe ausgeführt als die meisten Cybersicherheitsprogramme. Aus diesem Grund sind sie möglicherweise sehr schwer zu erkennen. Um Ihre Systeme nach Rootkits zu durchsuchen, benötigen Sie ein erweitertes Anti-Malwaretool, das Add-Ons für Rootkits enthält. Zum Glück verfügen die besten Antiviren-Softwaretools über einen integrierten Rootkit-Scanner und einen Rootkit-Entferner, mit dem Sie diese Online-Bedrohungen leicht erkennen und entfernen können.

Wenn Sie vermuten, dass Ihr System mit einem Rootkit infiziert ist, sollten Sie nach einem oder mehreren Anzeichen einer Infektion Ausschau halten. Sie beinhalten normalerweise eine langsamere Leistung und wenig RAM, falsche Uhrzeit und Datum in der rechten unteren Ecke des Bildschirms sowie häufige Vorkommnisse des sogenannten “Blue Screen of Death”. Darüber hinaus werden einige oder alle Funktionen Ihres Antivirus- und / oder Antimalware-Programms möglicherweise beim ersten Start der mit Rootkit infizierten Software automatisch deaktiviert.

Obwohl einige Rootkits Auswirkungen auf Ihre Hardware haben können, stammen sie alle aus einer Installation schädlicher Software. Daher ist es am besten, nur die beste Antivirensoftware zu verwenden, die Echtzeitschutz gegen alle wichtigen Bedrohungen bietet, einschließlich Viren, Malware und Rootkits. Stellen Sie sicher, dass Ihr System regelmäßig gescannt wird und Ihre Virendefinitionen täglich aktualisiert werden. Um Bootloader-Rootkits zu vermeiden, wird empfohlen, Ihr aktuelles Betriebssystem auf Windows 8 oder höher zu aktualisieren.

Quellen (auf Englisch)

 

Sind Sie geschützt?

Egal wie schwerwiegend sie sind, alle Infektionen durch Rootkits beginnen mit der Installation von schädigender Software. Setzen Sie Ihren Computer und Ihre Daten nicht in Gefahr.