|
Was sind Rootkits und wie kann ich mich dagegen schützen ?
Rootkits für Windows - Eine neue Bedrohung nimmt gestallt an!
In letzter Zeit werden immer wieder Angriffe auf Server bekannt die mittels Rootkits durchgeführt worden sind. Aber was sind Rootkits, woher kommen sie und wie kann man sich erfolgreich dagegen schützen ?
In letzter Zeit werden immer wieder Angriffe auf Server bekannt die mittels Rootkits durchgeführt worden sind. Aber was sind Rootkits, woher kommen sie und wie kann man sich erfolgreich dagegen schützen ?
Rootkits:
Das bekannteste Rootkit heißt SATAN und wurde für Unix/Linux entwickelt. Eigentlich sollte es eine Sammlung zur Netzwerkanalyse darstellen, um Schwachstellen zu finden und anschließend schließen zu können. Aber schnell wurde der eigentliche Nutzen durch andere Personen schwer missbraucht.
Wie arbeiten Rootkits:
Rootkits arbeiten alle nach dem gleichen Prinzip: Einmal installiert schleust es einen eigenen Kerneltreiber ins System ein und tauscht wichtige Systemdateien aus. Ist das erledigt richtet das Rootkit min. 1 User mit Adminrechten ein und öffnet diverse Backdoors. Nachdem auch dieser Schritt abgeschlossen wurde, verschleiert das Rootkit seine Existenz und auch die Aktivitäten des Hackers.
Seit Windows NT 4.0 sind die 4 Kernelringe bekannt die im System aufgebaut werden ( 0-3 ). Dabei benutzt Windows immer den Ring 0. Entweder schafft das Rootkit es seinen Kerneltreiber resistent im Ring 0 zu installieren, oder es setzt den Security Reference Monitor (SRM) außer Kraft, dann kann das Rootkit auch problemlos im Ring 3 laufen, der normalerweise den Userring darstellt und die wenigsten Rechte besitzt. Andere Rootkits nutzen einfach die Regestry Keys oder basieren auf Filebasis. Nun fangen die Rootkits an Kerneltabellen so zu modifizieren, dass entweder Anfragen umgeleitet werden, oder gar nicht beantwortet werden. Das System selbst wird dadurch nicht instabil, das Rootkit schafft zuerst einmal nur alles an Information zusammen, die für den Hacker wichtig sein können. Damit das Rootkit nicht gefunden werden kann, blendet es alle Tasks, Files und Einträge aus, die auf eine gewisse Zeichenfolge passen, z.B. *rootkit*. Somit kann man das Rootkit nicht auf der Festplatte im Filesystem finden, und im Taskmanager wird es auch nicht angezeigt. Um den Kapazitätzverlust zu verschleiern, fälscht das Rootkit den Eintrag für den freien Speicherplatz des Systems. Diese Einstellungen kann der Hacker meist über eine simple *.ini Datei einstellen. Ist das System erst einmal so infiziert, dann wird das Rootkit bei jedem Neustart des Systems schon sehr früh in den Kernelring geladen, meist schon bevor ein Virenscanner oder Malware Programm gestartet wird. Danach wird fast immer ein TFT Server gestartet, der auch unter dem Schutzmantel läuft.
Wie kann man Rootkits im System aufspüren:
Ein sehr eindeutiger Hinweis ist meist, wenn die Kapazität der Festplatte sich nicht mehr verändert. Wenn Dateien plötzlich verschwinden, man diese aber immer noch über die Ausführen Funktion starten kann (z.B. regedit oder regsdt32).
Andere Rootkits legen einen seht langen Pfad an der sich nicht löschen lässt, und das System um abstürzen bringt. (z.B. C:\temp\com1:\com2:\null:\....). Klickt man auf einen dieser Pfade dann versucht das System auf die Hardware zuzgreifen, was so nicht erlaubt ist und zu einem Stillstand oder Absturz des Systems führt. Eine andere Methode ist, dass man ein Vergleich zwischen Intern und Extern geöffneten Ports vergleicht. Das ist zwar kein Allheilmittel, aber es ist immer schwer ein Rootkit auf einem System zu identifizieren. Es gibt auch mittlerweile ein seht gutes Tools, es heisst Tripwire. Jedoch finden Rootkit Scanner meist nur die Rootkits die bereits bekannt sind !
Rootkits, die auf Filebasis oder auf Regestrybasis arbeiten, werden meist bereits beim Download von aktuellen Virenscannern erkannt und erfolgreich gelöscht.
Um Rootkits zu entfernen, die sich in einem Deep-Path verstecken, bietet MS ein Tool an, das eine Umbennung des Pfades erreicht. Danachkann man diesen löschen.
Wie kann man sich vor Rootkits schützen:
Man muss Sicherstellen, dass Niemand Admin Rechte auf dem eigenen System erlangt. Dazu zählen lang bekannte Maßnahmen wie: Unnötige Dienste deaktivieren/deinstallieren, Berechtigung auf verbleibende Dienste einschränken, Patches einspielen, Virenscanner und Malwarescanner installieren und immer aktuell halten.
Für Windows NT/2000 hat Pedestal Software einen Integrity Protection Driver (IPD) zum Schutz vor Rootkits vorgestellt. Dieser Open-Source-Gerätetreiber verhindert das Austauschen und Nachladen von Gerätetreibern. In der Registry kann man mit IPD keine Einträge mehr ändern oder hinzufügen.
Fazit:
Zur Zeit sind noch keine massiven Angriffe mit Rootkits bekannt geworden, allerdings glaube ich fest, dass sich diese Angriffmethode in der nächsten Zeit deutlich weiterentwickeln wird. Die Zeit zwischen bekannt werden einer Schwachstelle und einem Exploit wird immer kürzer.
Meine persönliche Meinung ist, wenn ein Server oder eine System einmal mit einem Rootkit befallen worden ist, dann würde ich immer eine komplette Formatierung vornehmen. Man muss dann nur feststellen, bis zu welchem Zeitpunkt das angefertigte Backup von dem Rootkit infiziert worden ist.
HINWEISS:
Alle gemachten Informationen sollen nicht als Anleitung dienen, wie man mit einem Rootkit einen Angriff auf einen Server vorbereitet. Wenn man einen Rootkit Angriff durchspielen will, dann entweder auf einem System das nur virtuell Abgebildet ist, oder das ABSOLUT keinen Zugriff zum Netz hat !!! Ich werde keine Fragen zu Rootkits und deren Quellen beantworten !!!
Dieser Artikel soll nur auf eine neue Angriffswelle aufmerksam machen !
© 2005 by Frank Solinske, Unterwegs-im.net
Rootkits:
Das bekannteste Rootkit heißt SATAN und wurde für Unix/Linux entwickelt. Eigentlich sollte es eine Sammlung zur Netzwerkanalyse darstellen, um Schwachstellen zu finden und anschließend schließen zu können. Aber schnell wurde der eigentliche Nutzen durch andere Personen schwer missbraucht.
Wie arbeiten Rootkits:
Rootkits arbeiten alle nach dem gleichen Prinzip: Einmal installiert schleust es einen eigenen Kerneltreiber ins System ein und tauscht wichtige Systemdateien aus. Ist das erledigt richtet das Rootkit min. 1 User mit Adminrechten ein und öffnet diverse Backdoors. Nachdem auch dieser Schritt abgeschlossen wurde, verschleiert das Rootkit seine Existenz und auch die Aktivitäten des Hackers.
Seit Windows NT 4.0 sind die 4 Kernelringe bekannt die im System aufgebaut werden ( 0-3 ). Dabei benutzt Windows immer den Ring 0. Entweder schafft das Rootkit es seinen Kerneltreiber resistent im Ring 0 zu installieren, oder es setzt den Security Reference Monitor (SRM) außer Kraft, dann kann das Rootkit auch problemlos im Ring 3 laufen, der normalerweise den Userring darstellt und die wenigsten Rechte besitzt. Andere Rootkits nutzen einfach die Regestry Keys oder basieren auf Filebasis. Nun fangen die Rootkits an Kerneltabellen so zu modifizieren, dass entweder Anfragen umgeleitet werden, oder gar nicht beantwortet werden. Das System selbst wird dadurch nicht instabil, das Rootkit schafft zuerst einmal nur alles an Information zusammen, die für den Hacker wichtig sein können. Damit das Rootkit nicht gefunden werden kann, blendet es alle Tasks, Files und Einträge aus, die auf eine gewisse Zeichenfolge passen, z.B. *rootkit*. Somit kann man das Rootkit nicht auf der Festplatte im Filesystem finden, und im Taskmanager wird es auch nicht angezeigt. Um den Kapazitätzverlust zu verschleiern, fälscht das Rootkit den Eintrag für den freien Speicherplatz des Systems. Diese Einstellungen kann der Hacker meist über eine simple *.ini Datei einstellen. Ist das System erst einmal so infiziert, dann wird das Rootkit bei jedem Neustart des Systems schon sehr früh in den Kernelring geladen, meist schon bevor ein Virenscanner oder Malware Programm gestartet wird. Danach wird fast immer ein TFT Server gestartet, der auch unter dem Schutzmantel läuft.
Wie kann man Rootkits im System aufspüren:
Ein sehr eindeutiger Hinweis ist meist, wenn die Kapazität der Festplatte sich nicht mehr verändert. Wenn Dateien plötzlich verschwinden, man diese aber immer noch über die Ausführen Funktion starten kann (z.B. regedit oder regsdt32).
Andere Rootkits legen einen seht langen Pfad an der sich nicht löschen lässt, und das System um abstürzen bringt. (z.B. C:\temp\com1:\com2:\null:\....). Klickt man auf einen dieser Pfade dann versucht das System auf die Hardware zuzgreifen, was so nicht erlaubt ist und zu einem Stillstand oder Absturz des Systems führt. Eine andere Methode ist, dass man ein Vergleich zwischen Intern und Extern geöffneten Ports vergleicht. Das ist zwar kein Allheilmittel, aber es ist immer schwer ein Rootkit auf einem System zu identifizieren. Es gibt auch mittlerweile ein seht gutes Tools, es heisst Tripwire. Jedoch finden Rootkit Scanner meist nur die Rootkits die bereits bekannt sind !
Rootkits, die auf Filebasis oder auf Regestrybasis arbeiten, werden meist bereits beim Download von aktuellen Virenscannern erkannt und erfolgreich gelöscht.
Um Rootkits zu entfernen, die sich in einem Deep-Path verstecken, bietet MS ein Tool an, das eine Umbennung des Pfades erreicht. Danachkann man diesen löschen.
Wie kann man sich vor Rootkits schützen:
Man muss Sicherstellen, dass Niemand Admin Rechte auf dem eigenen System erlangt. Dazu zählen lang bekannte Maßnahmen wie: Unnötige Dienste deaktivieren/deinstallieren, Berechtigung auf verbleibende Dienste einschränken, Patches einspielen, Virenscanner und Malwarescanner installieren und immer aktuell halten.
Für Windows NT/2000 hat Pedestal Software einen Integrity Protection Driver (IPD) zum Schutz vor Rootkits vorgestellt. Dieser Open-Source-Gerätetreiber verhindert das Austauschen und Nachladen von Gerätetreibern. In der Registry kann man mit IPD keine Einträge mehr ändern oder hinzufügen.
Fazit:
Zur Zeit sind noch keine massiven Angriffe mit Rootkits bekannt geworden, allerdings glaube ich fest, dass sich diese Angriffmethode in der nächsten Zeit deutlich weiterentwickeln wird. Die Zeit zwischen bekannt werden einer Schwachstelle und einem Exploit wird immer kürzer.
Meine persönliche Meinung ist, wenn ein Server oder eine System einmal mit einem Rootkit befallen worden ist, dann würde ich immer eine komplette Formatierung vornehmen. Man muss dann nur feststellen, bis zu welchem Zeitpunkt das angefertigte Backup von dem Rootkit infiziert worden ist.
HINWEISS:
Alle gemachten Informationen sollen nicht als Anleitung dienen, wie man mit einem Rootkit einen Angriff auf einen Server vorbereitet. Wenn man einen Rootkit Angriff durchspielen will, dann entweder auf einem System das nur virtuell Abgebildet ist, oder das ABSOLUT keinen Zugriff zum Netz hat !!! Ich werde keine Fragen zu Rootkits und deren Quellen beantworten !!!
Dieser Artikel soll nur auf eine neue Angriffswelle aufmerksam machen !
© 2005 by Frank Solinske, Unterwegs-im.net
In letzter Zeit werden immer wieder Angriffe auf Server bekannt die mittels Rootkits durchgeführt worden sind. Aber was sind Rootkits, woher kommen sie und wie kann man sich erfolgreich dagegen schützen ?
Rootkits:
Das bekannteste Rootkit heißt SATAN und wurde für Unix/Linux entwickelt. Eigentlich sollte es eine Sammlung zur Netzwerkanalyse darstellen, um Schwachstellen zu finden und anschließend schließen zu können. Aber schnell wurde der eigentliche Nutzen durch andere Personen schwer missbraucht.
Wie arbeiten Rootkits:
Rootkits arbeiten alle nach dem gleichen Prinzip: Einmal installiert schleust es einen eigenen Kerneltreiber ins System ein und tauscht wichtige Systemdateien aus. Ist das erledigt richtet das Rootkit min. 1 User mit Adminrechten ein und öffnet diverse Backdoors. Nachdem auch dieser Schritt abgeschlossen wurde, verschleiert das Rootkit seine Existenz und auch die Aktivitäten des Hackers.
Seit Windows NT 4.0 sind die 4 Kernelringe bekannt die im System aufgebaut werden ( 0-3 ). Dabei benutzt Windows immer den Ring 0. Entweder schafft das Rootkit es seinen Kerneltreiber resistent im Ring 0 zu installieren, oder es setzt den Security Reference Monitor (SRM) außer Kraft, dann kann das Rootkit auch problemlos im Ring 3 laufen, der normalerweise den Userring darstellt und die wenigsten Rechte besitzt. Andere Rootkits nutzen einfach die Regestry Keys oder basieren auf Filebasis. Nun fangen die Rootkits an Kerneltabellen so zu modifizieren, dass entweder Anfragen umgeleitet werden, oder gar nicht beantwortet werden. Das System selbst wird dadurch nicht instabil, das Rootkit schafft zuerst einmal nur alles an Information zusammen, die für den Hacker wichtig sein können. Damit das Rootkit nicht gefunden werden kann, blendet es alle Tasks, Files und Einträge aus, die auf eine gewisse Zeichenfolge passen, z.B. *rootkit*. Somit kann man das Rootkit nicht auf der Festplatte im Filesystem finden, und im Taskmanager wird es auch nicht angezeigt. Um den Kapazitätzverlust zu verschleiern, fälscht das Rootkit den Eintrag für den freien Speicherplatz des Systems. Diese Einstellungen kann der Hacker meist über eine simple *.ini Datei einstellen. Ist das System erst einmal so infiziert, dann wird das Rootkit bei jedem Neustart des Systems schon sehr früh in den Kernelring geladen, meist schon bevor ein Virenscanner oder Malware Programm gestartet wird. Danach wird fast immer ein TFT Server gestartet, der auch unter dem Schutzmantel läuft.
Wie kann man Rootkits im System aufspüren:
Ein sehr eindeutiger Hinweis ist meist, wenn die Kapazität der Festplatte sich nicht mehr verändert. Wenn Dateien plötzlich verschwinden, man diese aber immer noch über die Ausführen Funktion starten kann (z.B. regedit oder regsdt32).
Andere Rootkits legen einen seht langen Pfad an der sich nicht löschen lässt, und das System um abstürzen bringt. (z.B. C:\temp\com1:\com2:\null:\....). Klickt man auf einen dieser Pfade dann versucht das System auf die Hardware zuzgreifen, was so nicht erlaubt ist und zu einem Stillstand oder Absturz des Systems führt. Eine andere Methode ist, dass man ein Vergleich zwischen Intern und Extern geöffneten Ports vergleicht. Das ist zwar kein Allheilmittel, aber es ist immer schwer ein Rootkit auf einem System zu identifizieren. Es gibt auch mittlerweile ein seht gutes Tools, es heisst Tripwire. Jedoch finden Rootkit Scanner meist nur die Rootkits die bereits bekannt sind !
Rootkits, die auf Filebasis oder auf Regestrybasis arbeiten, werden meist bereits beim Download von aktuellen Virenscannern erkannt und erfolgreich gelöscht.
Um Rootkits zu entfernen, die sich in einem Deep-Path verstecken, bietet MS ein Tool an, das eine Umbennung des Pfades erreicht. Danachkann man diesen löschen.
Wie kann man sich vor Rootkits schützen:
Man muss Sicherstellen, dass Niemand Admin Rechte auf dem eigenen System erlangt. Dazu zählen lang bekannte Maßnahmen wie: Unnötige Dienste deaktivieren/deinstallieren, Berechtigung auf verbleibende Dienste einschränken, Patches einspielen, Virenscanner und Malwarescanner installieren und immer aktuell halten.
Für Windows NT/2000 hat Pedestal Software einen Integrity Protection Driver (IPD) zum Schutz vor Rootkits vorgestellt. Dieser Open-Source-Gerätetreiber verhindert das Austauschen und Nachladen von Gerätetreibern. In der Registry kann man mit IPD keine Einträge mehr ändern oder hinzufügen.
Fazit:
Zur Zeit sind noch keine massiven Angriffe mit Rootkits bekannt geworden, allerdings glaube ich fest, dass sich diese Angriffmethode in der nächsten Zeit deutlich weiterentwickeln wird. Die Zeit zwischen bekannt werden einer Schwachstelle und einem Exploit wird immer kürzer.
Meine persönliche Meinung ist, wenn ein Server oder eine System einmal mit einem Rootkit befallen worden ist, dann würde ich immer eine komplette Formatierung vornehmen. Man muss dann nur feststellen, bis zu welchem Zeitpunkt das angefertigte Backup von dem Rootkit infiziert worden ist.
HINWEISS:
Alle gemachten Informationen sollen nicht als Anleitung dienen, wie man mit einem Rootkit einen Angriff auf einen Server vorbereitet. Wenn man einen Rootkit Angriff durchspielen will, dann entweder auf einem System das nur virtuell Abgebildet ist, oder das ABSOLUT keinen Zugriff zum Netz hat !!! Ich werde keine Fragen zu Rootkits und deren Quellen beantworten !!!
Dieser Artikel soll nur auf eine neue Angriffswelle aufmerksam machen !
© 2005 by Frank Solinske, Unterwegs-im.net
Rootkits:
Das bekannteste Rootkit heißt SATAN und wurde für Unix/Linux entwickelt. Eigentlich sollte es eine Sammlung zur Netzwerkanalyse darstellen, um Schwachstellen zu finden und anschließend schließen zu können. Aber schnell wurde der eigentliche Nutzen durch andere Personen schwer missbraucht.
Wie arbeiten Rootkits:
Rootkits arbeiten alle nach dem gleichen Prinzip: Einmal installiert schleust es einen eigenen Kerneltreiber ins System ein und tauscht wichtige Systemdateien aus. Ist das erledigt richtet das Rootkit min. 1 User mit Adminrechten ein und öffnet diverse Backdoors. Nachdem auch dieser Schritt abgeschlossen wurde, verschleiert das Rootkit seine Existenz und auch die Aktivitäten des Hackers.
Seit Windows NT 4.0 sind die 4 Kernelringe bekannt die im System aufgebaut werden ( 0-3 ). Dabei benutzt Windows immer den Ring 0. Entweder schafft das Rootkit es seinen Kerneltreiber resistent im Ring 0 zu installieren, oder es setzt den Security Reference Monitor (SRM) außer Kraft, dann kann das Rootkit auch problemlos im Ring 3 laufen, der normalerweise den Userring darstellt und die wenigsten Rechte besitzt. Andere Rootkits nutzen einfach die Regestry Keys oder basieren auf Filebasis. Nun fangen die Rootkits an Kerneltabellen so zu modifizieren, dass entweder Anfragen umgeleitet werden, oder gar nicht beantwortet werden. Das System selbst wird dadurch nicht instabil, das Rootkit schafft zuerst einmal nur alles an Information zusammen, die für den Hacker wichtig sein können. Damit das Rootkit nicht gefunden werden kann, blendet es alle Tasks, Files und Einträge aus, die auf eine gewisse Zeichenfolge passen, z.B. *rootkit*. Somit kann man das Rootkit nicht auf der Festplatte im Filesystem finden, und im Taskmanager wird es auch nicht angezeigt. Um den Kapazitätzverlust zu verschleiern, fälscht das Rootkit den Eintrag für den freien Speicherplatz des Systems. Diese Einstellungen kann der Hacker meist über eine simple *.ini Datei einstellen. Ist das System erst einmal so infiziert, dann wird das Rootkit bei jedem Neustart des Systems schon sehr früh in den Kernelring geladen, meist schon bevor ein Virenscanner oder Malware Programm gestartet wird. Danach wird fast immer ein TFT Server gestartet, der auch unter dem Schutzmantel läuft.
Wie kann man Rootkits im System aufspüren:
Ein sehr eindeutiger Hinweis ist meist, wenn die Kapazität der Festplatte sich nicht mehr verändert. Wenn Dateien plötzlich verschwinden, man diese aber immer noch über die Ausführen Funktion starten kann (z.B. regedit oder regsdt32).
Andere Rootkits legen einen seht langen Pfad an der sich nicht löschen lässt, und das System um abstürzen bringt. (z.B. C:\temp\com1:\com2:\null:\....). Klickt man auf einen dieser Pfade dann versucht das System auf die Hardware zuzgreifen, was so nicht erlaubt ist und zu einem Stillstand oder Absturz des Systems führt. Eine andere Methode ist, dass man ein Vergleich zwischen Intern und Extern geöffneten Ports vergleicht. Das ist zwar kein Allheilmittel, aber es ist immer schwer ein Rootkit auf einem System zu identifizieren. Es gibt auch mittlerweile ein seht gutes Tools, es heisst Tripwire. Jedoch finden Rootkit Scanner meist nur die Rootkits die bereits bekannt sind !
Rootkits, die auf Filebasis oder auf Regestrybasis arbeiten, werden meist bereits beim Download von aktuellen Virenscannern erkannt und erfolgreich gelöscht.
Um Rootkits zu entfernen, die sich in einem Deep-Path verstecken, bietet MS ein Tool an, das eine Umbennung des Pfades erreicht. Danachkann man diesen löschen.
Wie kann man sich vor Rootkits schützen:
Man muss Sicherstellen, dass Niemand Admin Rechte auf dem eigenen System erlangt. Dazu zählen lang bekannte Maßnahmen wie: Unnötige Dienste deaktivieren/deinstallieren, Berechtigung auf verbleibende Dienste einschränken, Patches einspielen, Virenscanner und Malwarescanner installieren und immer aktuell halten.
Für Windows NT/2000 hat Pedestal Software einen Integrity Protection Driver (IPD) zum Schutz vor Rootkits vorgestellt. Dieser Open-Source-Gerätetreiber verhindert das Austauschen und Nachladen von Gerätetreibern. In der Registry kann man mit IPD keine Einträge mehr ändern oder hinzufügen.
Fazit:
Zur Zeit sind noch keine massiven Angriffe mit Rootkits bekannt geworden, allerdings glaube ich fest, dass sich diese Angriffmethode in der nächsten Zeit deutlich weiterentwickeln wird. Die Zeit zwischen bekannt werden einer Schwachstelle und einem Exploit wird immer kürzer.
Meine persönliche Meinung ist, wenn ein Server oder eine System einmal mit einem Rootkit befallen worden ist, dann würde ich immer eine komplette Formatierung vornehmen. Man muss dann nur feststellen, bis zu welchem Zeitpunkt das angefertigte Backup von dem Rootkit infiziert worden ist.
HINWEISS:
Alle gemachten Informationen sollen nicht als Anleitung dienen, wie man mit einem Rootkit einen Angriff auf einen Server vorbereitet. Wenn man einen Rootkit Angriff durchspielen will, dann entweder auf einem System das nur virtuell Abgebildet ist, oder das ABSOLUT keinen Zugriff zum Netz hat !!! Ich werde keine Fragen zu Rootkits und deren Quellen beantworten !!!
Dieser Artikel soll nur auf eine neue Angriffswelle aufmerksam machen !
© 2005 by Frank Solinske, Unterwegs-im.net
|
