computerwoche.de

Security

Malware

Forscher bastelt Rootkit für Cisco-Router

15.05.2008
Von Katharina Friedmann
Ein Sicherheitsexperte hat Schadsoftware für Ciscos Internetwork Operating System (IOS) entwickelt, die es ermöglichen soll, Cisco-Router heimlich zu überwachen und zu kontrollieren.

Sebastian Muniz, Sicherheitsforscher bei Core Security Technologies, will das von ihm kreierte IOS-Rootkit in der kommenden Woche auf der Sicherheitskonferenz EuSecWest in London vorstellen, berichtet der Branchendienst "IDG News Service". Während das Gros der bisherigen Rootkits - Schadprogramme, die aufgrund ihrer Tarnfähigkeiten schwer aufzuspüren sind - für das Betriebssystem Windows geschrieben wurde, soll es sich bei der Kreation von Muniz nun um das erste Rootkit für Ciscos IOS handeln. Ein IOS-Rootkit könne dasselbe leisten wie jedes andere Rootkit auf einem Desktop-Betriebssystem, statuiert der Security-Experte.

Rootkits dienen in der Regel dazu, heimlich Keylogger sowie Programme zu installieren, die es Angreifern ermöglichen, sich aus der Ferne mit infizierten Systemen zu verbinden. Ein Cisco-Rootkit wäre schon allein aufgrund der hohen Verbreitung von Cisco-Routern beunruhigend: Laut IDC besetzte der Netzriese im vierten Quartal 2007 nahezu zwei Drittel des Router-Markts.

Forscher haben in der Vergangenheit bereits als "IOS patching Shellcode" bezeichnete Schadsoftware entwickelt, die einen Cisco-Router kompromittieren kann - allerdings waren diese Programme jeweils auf eine spezielle IOS-Version zugeschnitten. Anders das Rootkit von Muniz, das dem Forscher zufolge auf verschiedenen IOS-Versionen funktioniert. Die Malware, die nach Angaben von EuSecWest-Organisator Dragos Ruiu im Flash-Speicher des Routers läuft, lässt sich allerdings nicht nutzen, um in einen Cisco-Router einzubrechen - vielmehr bräuchte ein Hacker eine Art Angriffscode oder ein Administratoren- Passwort, um das Rootkit zu installieren. Einmal installiert, soll sich das Opfersystem mit Hilfe der Malware jedoch überwachen und kontrollieren lassen.

Muniz hat eigenen Angaben zufolge nicht vor, den Sourcecode für sein Rootkit zu veröffentlichen. Allerdings will er in London erläutern, wie er die Schadsoftware entwickelt hat, um der verbreiteten Meinung, Cisco-Router seien gegen diese Malware-Spezies immun, entgegen zu treten. "Ich will damit zeigen, dass IOS-Rootkits real sind und entsprechende Schutzmaßnahmen ergriffen werden müssen", so Muniz.