Ratgeber Rootkits, Keylogger, Backdoors

Wie Sie komplexe Angriffe abwehren

Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Manchmal "benehmen" sich auch ganz normale Rechner merkwürdig - dann beginnen die Systemprofis von Angriffen via Rootkit, mittels Keylogger oder über Backdoors zu reden.

Jeder Anwender weiß in der Zwischenzeit, wie er sich zu verhalten hat, wenn seine Antivirus-Software einen Schädlingsbefall oder auch nur eine möglicherweise verdächtige Datei in der E-Mail meldet. Doch gibt es immer wieder Fälle, in denen sich der Rechner einfach nur "seltsam benimmt". Viele Nutzer werden beispielsweise aufmerksam, wenn das System scheinbar grundlos (und nicht vom Anwender initiiert) eine Online-Verbindung aufbaut oder unter anscheinend großer Systemlast immer langsamer wird - obwohl aktuell nicht mit dem Computer gearbeitet wird.

Das ist der Zeitpunkt, an dem nicht nur die IT-Profis anfangen von Gefahren wie Rootkits, Keyloggern oder auch sogenannten Backdoors zu sprechen. Wir wollen in diesem Bericht zeigen, was sich hinter all diesen Begriffen verbirgt, wie groß die Gefahren sind und was Administratoren und Anwender dagegen tun können.

Herzattacke: Rootkits

Der Begriff Rootkit s aus der Welt der Unix-Systeme. Dort trägt der Systemadministrator - der auf den traditionellen Unix-Derivaten mit uneingeschränkten Zugriffsmöglichkeiten auf sämtliche Bereiche des Systems ausgestattet war - den Namen "root". Mit dem Namen Rootkit werden Softwaresammlungen bezeichnet, mit deren Hilfe es möglich ist, unbemerkt ein Betriebssystem zu manipulieren. Dabei arbeiten diese Werkzeuge und eingeschleusten Programme direkt im Kern des Betriebssystems, teilweise ersetzen sie sogar unbemerkt Standardfunktionen und deren Aufrufe durch eigene Routinen: Schon diese sehr vereinfachte Darstellung zeigt, wie schwer es sein kann, einen solchen Eindringling zu entdecken und dann vollständig aus einem System zu entfernen.

Im Jahr 2005 gelangten die Rootkits in das Bewusstsein einer breiteren Öffentlichkeit, als der japanische Hersteller Sony mittels seiner CDs/DVDs einen sogenannten Kopierschutz auf die Rechner brachte, der mit den Techniken der Rootkits arbeitete und die Systeme unbemerkt von den Nutzern manipulierte. Mark Russinovich von Microsoft hat diesen Fall damals öffentlich gemacht - er ist heute noch einen der profiliertesten Experten, wenn es um Rootkits und deren Beseitigung geht. Wer sich für die technischen Hintergründe im Detail interessiert, kann mehr dazu in einem englischsprachigen Video auf den Seiten von Microsoft erfahren.

Was tut ein Rootkit?

  • Es manipuliert Systemdateien, sodass ein Angreifer unbemerkt in das System eindringen und es weiter kompromittieren kann;

  • Es "versteckt" sowohl Dateien als auch Prozesse vor den normalen Systemwerkzeugen, damit die Schadroutinen ungehindert arbeiten können;

  • Es ersetzt beispielsweise Funktionsaufrufe, die direkt mit dem Systemkern zusammenarbeiten durch eigene Routinen oder manipuliert wichtige Treiberdateien, um so ebenfalls unbemerkt arbeiten zu können.