AVG Signal-Blog Sicherheit Bedrohungen Alles, was Sie über Rootkits wissen müssen und wie Sie sich schützen können
What_is_a_Rootkit-Hero

Was ist ein Rootkit?

Ein Rootkit ist eine Anwendung (oder eine Reihe von Anwendungen), welche seine Anwesenheit oder die Anwesenheit einer anderen Anwendung wie einem Virus, oder Spyware auf einem Gerät gut tarnt. Rootkits verstecken sich, indem sie einige der unteren Ebenen des Betriebssystems nutzen und dabei beispielsweise API-Aufrufe umleiten oder undokumentierte Funktionen des Betriebssystems ausnutzen. All das macht es nahezu unmöglich, Rootkits mithilfe von herkömmlicher Anti-Malware-Software zu erkennen.

Dieser Artikel enthält:

    Woher kommt eigentlich der Begriff „Rootkit“? In den Betriebssystemen Unix und Linux, wird der Systemadministrator, bei dem es sich um einen allmächtigen Account mit uneingeschränkten Rechten (ähnlich dem Administratorkonto in Windows), handelt, als „Root“ bezeichnet. Die Anwendungen, die einen nicht autorisierten Zugriff auf Administrator-/Root-Ebene ermöglichen, werden „Kit“ genannt.

    Fügt man beides zusammen, erhält man ein „Rootkit“: ein Programm, das einem (mit gerechtfertigter oder bösartiger Absicht) privilegierten Zugriff auf einen Computer oder ein mobiles Gerät gewährt. Diese Person kann das Gerät nun ohne Wissen oder Zustimmung des Besitzers per Fernzugriff steuern.

    Leider sind Rootkits oft dafür ausgelegt, den unbefugten Zugriff auf Computer zu gewähren, was es Cyberkriminellen ermöglicht, persönliche Daten und finanzielle Informationen zu stehlen, Malware zu installieren oder Computer als Teil eines Botnets zu verwenden, um Spam zu verbreiten oder an DDoS-Angriffen (distributed denial-of-service, dt.: verteilte Verweigerung des Dienstes) teilzunehmen.

    Stellen Sie sich einen Einbrecher vor, der in Ihre Wohnung einbrechen und Sie bestehlen will. Er ist in Schwarz gekleidet, damit er in der Dunkelheit nicht zu sehen ist und er bewegt sich ganz leise, um unbemerkt zu bleiben. Im Gegensatz zu einem Dieb, der einen Gegenstand aus Ihrer Wohnung entwendet und dann verschwindet, bleibt ein Rootkit jedoch auf Ihrem PC und stiehlt Ihre Daten oder manipuliert die darauf befindlichen Inhalte über einen längeren Zeitraum hinweg.

    Handelt es sich bei einem Rootkit um einen Virus?

    Ein Rootkit ist an sich kein Virus. Ein Computervirus ist ein Programm oder ein Stück Code, das dafür ausgelegt ist, Ihrem Computer Schaden zuzufügen, indem es Systemdateien beschädigt, Ressourcen verschwendet, Daten zerstört oder indem es einfach nur lästig ist. Das Hauptmerkmal eines Virus ist, dass er die Ressourcen Ihres Computers nutzt, um sich zu replizieren und sich gegen den Willen des Benutzers auf andere Dateien oder Computer auszubreiten.

    Im Gegensatz zu Viren sind Rootkits nicht zwangsläufig schädlich. Gefährlich sind allerdings die verschiedenen Arten von Malware, die ein Rootkit übertragen kann, und die dann das Betriebssystem des Computers modifizieren können, um Remote-Anwendern den Administratorzugriff zu ermöglichen. Daher sind Rootkits unter Cyberkriminellen ein sehr beliebtes Tool, weshalb ihnen auch ein derart schlechter Ruf vorauseilt.

    Installieren Sie AVG AntiVirus FREE auf Ihrem PC, um beim Kampf gegen bösartige Rootkits und viele andere Bedrohungen über die bestmögliche erste Verteidigungslinie zu verfügen. Scannen Sie Ihre Geräte, um Rootkits zu erkennen und direkt an der Quelle zu beseitigen, und bleiben Sie mit AVG auch in Zukunft gegen Malware geschützt – völlig kostenlos.

    Holen Sie es sich für PC, Mac, iOS

    Handelt es sich bei einem Rootkit um Malware?

    Ein Rootkit steht in engem Zusammenhang mit Malware (kurz für „malicious Software“, dt.: bösartige Software), einem Programm, das darauf ausgelegt ist, Daten infiltrieren und zu stehlen, Geräte zu beschädigen, Lösegeld zu verlangen und verschiedenen anderen illegalen Aktivitäten nachzugehen. Malware umfasst Viren, Trojaner, Spyware, Würmer, Ransomware und zahlreiche andere Arten von Software.

    Moderne Rootkits dienen als Tarnung für die schädlichen Auswirkungen von Malware.

    Wie erkennt man ein Rootkit?

    Rootkits werden mit Absicht so entwickelt, dass sie schwer zu erkennen sind. Sie können sich extrem gut tarnen, was die Erkennung von Rootkits äußerst mühsam macht. Sogar kommerziell verfügbare Produkte und scheinbar gutartige Apps von Drittanbietern können über Rootkit-basierte Funktionen verfügen. Ein Rootkit kann Aktivitäten und Informationen vor einem Betriebssystem verbergen und so verhindern, dass sein bösartiges Verhalten aufgedeckt wird.

    Rootkit ist mein Name und Verstecken ist meine Spezialität

    Aber wie? Ist ein Rootkit einmal installiert, wird es üblicherweise zusammen mit dem Betriebssystem des Computers hochgefahren oder nachdem der Startvorgang begonnen hat. Es gibt auch andere Rootkits, wo der Startvorgang sogar vor dem Hochfahren des Zielbetriebssystems initiiert wird, was die Erkennung zusätzlich erschwert.

    Blue Screen of Death is a telltale sign that a malicious rootkit might be embedded in your computer.Bildquelle: https://en.wikipedia.org

    Auffällige Hinweise dafür, dass ein bösartiges Rootkit sein Unwesen treibt – erklärt im Stile von Titeln aus Hollywood-Filmen und Fernsehen:

    • Kiss of (Blue Screen) Death: Windows Fehlermeldungen oder ein wiederkehrender blauer Bildschirm mit weißem Text und ein Rechner, der ständig neu gestartet werden muss.

    • Stranger Things: ein ungewöhnliches Browserverhalten wie eine Umleitung von Google-Links und unbekannte Lesezeichen.

    • Tatort: Absturz: eine langsame Computerleistung oder das Gerät friert ein bzw. reagiert nicht auf Eingaben von Maus oder Tastatur.

    • The Social Network: Webseiten und Netzwerkaktivitäten scheinen nur zeitweilig zu laufen oder funktionieren aufgrund von übermäßigem Netzwerkverkehr nicht ordnungsgemäß.

    • Out of Sight: An den Windows-Einstellungen werden ohne Ihre Zustimmung Änderungen vorgenommen. Beispielsweise könnte ein anderer Bildschirmschoner angezeigt werden oder die Taskleiste ist auf einmal versteckt.

    Wie entfernt man ein Rootkit?

    Die Erkennung und Entfernung von Rootkits ist keine Wissenschaft mit exakten Regeln, denn sie können auf verschiedene Arten auf einem PC installiert werden. Selbst wenn Sie Ihren Rechner formatieren, kann ein Rootkit unter Umständen überleben. Die gute Nachricht ist: Ein Antivirus-Tool mit integriertem Rootkit-Scanner wie das von AVG kann bei der Abwehr von Malware eine große Hilfe sein. Die in unserem AVG AntiVirus FREE enthaltene Anti-Rootkit-Technologie erkennt und entfernt Rootkits sowie andere Arten von bösartiger Software und beugt zukünftigen Infektionen vor. 

    Wo kommen Rootkits her und wie verbreiten sie sich?

    Es gibt eine Vielzahl von Methoden, die unter Cyberkriminellen üblicherweise eingesetzt werden, um Rootkits auf Ihren Computer zu bekommen. Eine davon setzt auf das Ausnutzen von Schwachstellen (eine Sicherheitslücke in einer Software oder einem Betriebssystem, das nicht aktualisiert wurde), um das Aufspielen des Rootkits zu erzwingen. Ein weiterer Weg sind bösartige Links, die Ihnen per E-Mail, über soziale Netzwerke oder im Zuge eines Phishing-Betrugs zugesendet werden können. Malware kann auch in andere Dateien, wie z. B. infizierte PDF-Dateien, raubkopierte Medien oder Apps von verdächtigen Stores von Drittanbietern, eingebettet werden.

    A common way to distribute malicious rootkits is thru documents (PDF) attached to emails or instant messages, or by sending an infected link.

    Wenn es also heißt „Traue niemals einem Fremden“, ist damit gemeint, dass Sie niemals Links oder Dokumente öffnen sollten, die Ihnen von unbekannten Personen per E-Mail oder über Messaging-Apps zugeschickt werden. Installieren Sie niemals ein „spezielles Plugin“ (das versucht seriös zu wirken), um eine Webseite korrekt anzuzeigen, und führen Sie auch nie eine verdächtige Datei aus.

    Anders als Viren und Würmer, verbreiten bzw. reproduzieren sich Rootkits nicht von selbst. Für gewöhnlich sind Rootkits lediglich eine Komponente einer sogenannten gemischten oder kombinierten Bedrohung, die aus drei Codeausschnitten besteht: einem Dropper, einem Loader und einem Rootkit.

    Und so funktioniert es:

    Die Aktivierung des Droppers erfordert in der Regel einen menschlichen Eingriff, wie z. B. das Klicken auf einen bösartigen Link, wodurch ein Loader-Programm gestartet wird. Der Dropper löscht sich anschließend selbst, während der Loader einen Pufferüberlauf verursacht (d. h. er legt mehr Daten in einem temporären Speicherbereich ab, als dieser fassen kann). Dadurch wird das Rootkit in den Speicher des Computers geladen, wo es ein Hintertürchen erstellt, das es Bösewichten (Cyberkriminellen, nicht denen aus dem Film) ermöglicht, Systemdateien so zu modifizieren, dass sie durch den Benutzer und durch einfache Antivirensoftware unerkannt bleiben.

    Sie verfügen nun über einen Fernzugriff auf das Betriebssystem und können den infiltrierten Computer fürs Spammen, für Pharming, für groß angelegte DDoS-Angriffe oder zum Stehlen von sensiblen Daten nutzen.

    Verschiedene Arten von Rootkits

    Rootkits können persistent oder nicht persistent sein. Bei den ersteren handelt es sich um Rootkits, die in der Lage sind, sich bei jedem Hochfahren des PCs selbst zu aktivieren. Die letzteren sind Rootkits, die im Arbeitsspeicher abgelegt und nach dem Neustart nicht mehr vorhanden sind.

    Rootkits lassen sich danach bestimmen, welchen Bereich eines Systems sie befallen und wie gut sie sich tarnen können.

    1. Kernelmodus-Rootkits agieren im Kern eines Betriebssystems (Kernel-Ebene) und verursachen häufige Systemabstürze. Auf diese Weise können die Supportmitarbeiter von Microsoft oft erkennen, dass das Gerät eines Opfers mit einem Rootkit infiziert wurde.

      Der Angreifer nutzt zunächst das System des Benutzers aus, indem er Malware in den Kernel einspeist, wodurch Systemanfragen abgefangen, eigene Daten hinzugefügt und sämtliche von der Malware zurückgelieferten Daten gefiltert werden, die dazu führen könnten, dass das Rootkit erkannt wird. Kernel-basierte Malware kann dazu eingesetzt werden, Spuren zu verwischen und Bedrohungen sowohl im Kernel als auch in Komponenten im Benutzermodus zu tarnen. Ziemlich hinterlistig!

    2. User-Mode-Rootkits werden entweder ganz normal während des Systemstarts ausgeführt oder werden über einen Dropper im System eingespeist. Sie bieten ähnliche Funktionen wie Kernelmodus-Rootkits, wie das Tarnen und die Deaktivierung des Zugriffs auf Dateien, doch sie agieren auf der Benutzerebene. User-Mode-Rootkits sind nicht so unauffällig wie Kernelmodus-Rootkits, doch aufgrund ihrer einfachen Implementierung sind sie viel weiter verbreitet.

      User-Mode-Rootkits sind beliebt bei Malware zur finanziellen Bereicherung. Carberp ist eine der am häufigsten kopierten Arten von Malware zur finanziellen Bereicherung und wurde entwickelt, um die Anmelde-Daten zum Online-Banking sowie sensible Daten seiner Opfer zu stehlen. Nehmen Sie sich daher vor E-Mail-Spam in Acht, in dem von Zahlungsaufforderungen und Rechnungen die Rede ist.

    3. Hybrid-Rootkits stellen eine Kombination der Eigenschaften von User-Mode-Rootkits und Kernelmodus-Rootkits dar. Unter Hackern ist dieser Rootkit-Ansatz aufgrund der hohen Erfolgsquote beim Eindringen in PCs besonders beliebt.

    4. Bootloader-Rootkits greifen die Bausteine Ihres Computers an, indem sie den Master Boot Record infizieren, bei dem es sich um einen essentiellen Bestandteil handelt, der Ihren Computer anweist, wie er das Betriebssystem zu laden hat.

    5. Firmware-Rootkits können sich beim Herunterfahren des PCs in einer Firmware – wie z. B. einem Mikroprozessor oder Router – verstecken. Beim Neustart des Rechners installiert sich das Rootkit erneut.

    6. Virtualisierungs-Rootkits übertragen ein Betriebssystem in eine virtuelle Umgebung, sodass das Rootkit mitsamt der virtuellen Umgebung entweder gar nicht oder nur sehr schwer aufgespürt werden kann. Diese sogenannten Virtual Machine Based Rootkits (VMBRs) werden eine Ebene unter dem bestehendem Betriebssystem eingespielt und führen das Betriebssystem anschließend als virtuelle Maschine aus. Somit bleiben VMBRs unerkannt, es sei denn es werden spezielle Tools verwendet, um nach dieser Art von Rootkit zu suchen. Es geht immer weiter.

    Sony BMG’s infamous rootkit became a cultural phenomenon as a punchline in comic strips like Foxtrot.Bildquelle: https://hyperbear.blogspot.com

    Die berühmtesten Rootkits der Geschichte

    • Das erste schriftlich belegte Rootkit wurde im Jahre 1990 von Stevens Dake und Lane Davis im Auftrag von Sun Microsystems für das Unix-Betriebssystem SunOS entwickelt.

    • Im Jahre 2005, als CDs noch „in“ waren, hat Sony BMG Music Entertainment heimlich Rootkits auf Millionen von Musikträgern installiert, um seine Käufer davon abzuhalten, die CDs mithilfe ihrer Computer zu kopieren und auf Rohlinge zu brennen. Außerdem hat das Rootkit das Unternehmen über die Aktivitäten seiner Kunden unterrichtet. Das Rootkit konnte weder von Antivirensoftware noch von Anti-Spyware-Tools entdeckt werden, und hat der unbemerkten Infiltrierung von Windows-PCs durch andere Arten von Malware Tür und Tor geöffnet. Dies avancierte zu einem kulturellen Phänomen, als der Skandal als Pointe in Comics wie FoxTrot eingesetzt wurde und in Form von abgeänderten Sony-Logos seinen Weg auf T-Shirts fand.

    • NTRootkit (2008) Eines der bösartigsten Rootkits für Windows NT. Verschiedene Versionen verursachen verschiedene Dinge. Eine davon war mit einem Keylogger (dt. „Tasten-Protokollierer“) ausgestattet, der es Hackern ermöglichte, Daten wie z. B. Benutzernamen und Passwörter herauszufinden, um somit auf bestimmte Dienste zugreifen zu können.

    • Machiavelli (2009) Das erste Rootkit für Mac OS X. Es erzeugte versteckte Systemaufrufe und Kernelthreads.

    • Greek Watergate (2004-2005). Ein Rootkit, dass für AXE-Vermittlungsstellen von Sony Ericcson im griechischen Vodafone-Netzwerk erstellt wurde und darauf abzielte die Telefone von griechischen Regierungsvertretern abzuhören.

    • Zeus (2007) ist ein trojanisches Pferd zum Stehlen von Anmeldedaten – dieses Rootkit wurde genutzt um Online-Banking-Daten über einen Man-in-the-Browser-Angriff inkl. Keylogger und Aufzeichnung von Webformularen zu stehlen.

    • Stuxnet (2010) Das erste bekannte Rootkit für industrielle Kontrollsysteme.

    • Flame (2012) Diese Computer-Malware hat Angriffe auf Windows-Computer gestartet, sie war mit einem Keylogger ausgestattet, sie konnte Screenshots, Audio-Aufnahmen und den Netzwerkdatenverkehr aufzeichnen und vieles mehr.

    Das hier ist eine irre Geschichte: Ein Gewinn in Höhe von 16,5 Mil. US-Dollar kann ganz schön Aufsehen erregen, oder? Es ist aber noch einmal was ganz anderes, wenn der Sicherheitsbeauftragte der Multi-State Lottery Association die Lotterie manipuliert. Eddie Tipton hat gestanden, dass er ein einfaches Programm (ein Rootkit) namens Quantum Vision Random Number Generator erstellt hat, welches er teilweise von einer Internetquelle kopiert hat. Dessen Einsatz hat zu unzähligen betrügerischen Lottogewinnen geführt, die er, seine Freunde, Familie und sogar Fremde, mit denen er in Kontakt gekommen ist, einkassierten. Alles was der Missetäter dazu tun musste, war den Raum zu betreten, wo die Ziehung stattfand und einen USB-Stick in den Computer zur Generierung der Lottozahlen einzuführen. Es bedurfte eines ganzen Jahrzehnts und eines Kriminalbeamten mit Informatikerfahrung, ehe der Dieb gefasst werden konnte.

    So können Sie sich vor Rootkits schützen

    Rootkits sind zwar raffiniert und heimtückisch, aber dennoch gibt es verschiedene Wege, wie man eine Infektion vermeiden kann. Viele Strategien zum Vermeiden von Rootkits setzen vernünftige Computergewohnheiten voraus, mithilfe derer Sie sich vor allen möglichen Arten von Bedrohungen schützen können.

    • Öffnen Sie keine E-Mail-Anhänge von unbekannten Absendern 

    • Laden Sie keine unbekannten Dateien herunter

    • Stellen Sie sicher, dass Ihr System angemessen gegen bekannte Schwachstellen gepatcht ist

    • Seien Sie bei der Installation von Software wachsam und stellen Sie sicher, dass sie aus seriösen Quellen stammt und der Inhalt der Endbenutzer-Lizenzvereinbarung (EULA) nicht alle Alarmglocken läuten lässt.

    • Seien Sie beim Umgang mit externen Festplatten und USB-Sticks nicht leichtsinnig

    Die oben genannten Tipps basieren auf einem gesunden Menschenverstand, doch darüber hinaus können Sie Ihre Abwehr gegen Rootkits stärken, indem Sie ein robustes Antivirenprogramm auf Ihrem PC installieren. Manche Antivirensoftware mag zwar nicht stark genug sein um sie zu erkennen, doch AVG AntiVirus FREE spürt selbst die heimtückischsten und am tiefsten im System eingebetteten bösartigen Rootkits auf und entfernt sie – und das sogar für lau.

    Holen Sie es sich für PC, Mac, iOS

    Schutz für Ihr iPhone mit AVG Mobile Security

    Kostenlose Installation

    Schutz für Ihr Android-Gerät mit AVG AntiVirus

    Kostenlose Installation