Privatanwender und Unternehmen sollten jede Art von Computerviren und Malware äußerst ernst nehmen. Von allen Malware-Bedrohungen, die es derzeit gibt, sind die Rootkits möglicherweise die gefährlichsten. Nicht allein deswegen, weil sie verheerende Schäden verursachen können, sondern auch, weil es sehr schwierig ist, sie zu finden und zu entfernen.
Der Begriff „Rootkit“ leitet sich vom Unix-Konzept des Root-Zugriffs ab, der dem Benutzer den umfassendsten und privilegiertesten Zugang zu einem System ermöglicht. Mit einem Root-Zugriff kann man die Einstellungen und Dateien eines Systems verändern. Die schädlichen Anwendungen im Rootkit selbst werden als „Kit“ bezeichnet.
Dieser Artikel befasst sich damit, was Rootkits sind, wozu sie fähig sind und wie sie sich auf einem Gerät verstecken. Anschließend erläutern wir, wie man sie entfernt und welche Maßnahmen Sie ergreifen können, um sich gegen diese üblen Hacker-Tools zu schützen.
Rootkits ermöglichen es Cyberkriminellen, Ihren Computer aus der Ferne zu steuern, und können verschiedene Tools enthalten. Die Hacker können mit ihrer Hilfe Passwörter oder Finanzdaten stehlen. Sie können Keylogger installieren, um Tastatureingaben aufzuzeichnen und erleichtern es den Angreifern, persönliche Daten zu sammeln. Rootkits können auch Ihre Sicherheitssoftware außer Kraft setzen, damit Ihr System sie nicht ausfindig machen und entfernen kann.
Sobald ein Rootkit unbefugten Zugriff auf einen Computer erlangt hat, kann es Schadsoftware installieren, die Ihren Computer in einen weiteren Angriff einbindet, z. B. als Teil eines Botnets oder einer DDoS-Attacke (Distributed Denial of Service). Da jedes Gerät mit einem Betriebssystem von einem Rootkit angegriffen werden kann, wird dieses Problem im Zuge des Wachstums des Internets der Dinge (IoT) auch eher zunehmen.
Die Gefahr von Rootkits liegt auch darin, dass sie nahe oder im Kernel (Betriebssystemkern) eines Betriebssystems laufen, wo sie nur schwer aufzuspüren sind. Damit können sie sich als Teil des Betriebssystems ausgeben und Befehle ausführen. Da sie so schwer zu identifizieren sind, können sie eine ganze Weile auf einem Gerät verbleiben und weiter Schaden anrichten.
Die Installation von Rootkits auf einem Zielgerät kann auf mehrere Weisen erfolgen.
Social Engineering
Durch Phishing oder andere Arten von Social Engineering können Opfer unwissentlich ein Rootkit installieren oder herunterladen, das sich in anderen Prozessen versteckt. Die Multi-Faktor-Autorisierung (MFA) ist eine zuverlässige Methode zum Schutz vor Social Engineering.
Ausnutzen der Schwachstellen
Wenn ein Softwareprogramm oder Betriebssystem auf Ihrem Computer eine ungepatchte Schwachstelle aufweist oder nicht die neuesten Sicherheitsupdates installiert wurden, können Hacker über die so entstandene Lücke ein Rootkit auf das Gerät aufspielen.
Infizierte Dateien
Rootkits und andere Malware sind manchmal mit anderen Dateien gebündelt, die legitim erscheinen, wie z. B. PDF-Downloads. Sie können auch mit raubkopierten Medien oder illegalen Drittanbietern von Anwendungen verbunden sein.
Drive-by-Downloads
Hierbei installiert eine Website automatisch Schadsoftware auf einem Gerät, ohne dass auf etwas geklickt oder überhaupt mit der Website interagiert werden müsste. Ausgehen kann dies zum einen von kriminellen, aber auch von legitimen Websites, die für das Einschleusen von Schadcode anfällig sind.
Es gibt verschiedene Arten von Rootkits mit leicht unterschiedlichem Verhalten.
Diese Rootkits können auf Ihrer Festplatte, Ihrem Router oder Ihrem BIOS installiert sein. Hardware- oder Firmware-Rootkits manipulieren nicht Ihr Betriebssystem, so wie andere Arten von Malware, sondern haben es auf die Firmware Ihres Geräts abgesehen, wo sie Malware installieren, die das Radar der Antiviren-Software unterlaufen kann.
Diese Art von Rootkit befällt Ihre Hardware und kann daher Tastatureingaben aufzeichnen und ihre Online-Aktivitäten verfolgen, um private Informationen zu stehlen.
Speicher-Rootkits werden in den Arbeitsspeicher (RAM) Ihres Geräts eingebettet. Sie führen Ihre schädlichen Aktionen im Hintergrund aus und beeinträchtigen die Leistung Ihres Computers.
Die gute Nachricht ist, dass Speicher-Rootkits nicht in der Lage sind, permanenten Code einzuschleusen, da sie sich im RAM befinden. Sie überleben in der Regel nur bis zum nächsten Neustart des Computers, auch wenn ein wenig zusätzliche Arbeit erforderlich sein kann, um sie vollständig zu beseitigen.
Ihr Bootloader ist genau das, wonach es klingt: Der Mechanismus, der Ihr Betriebssystem lädt, sobald Ihr Computer eingeschaltet wird. Bootloader-Rootkits tauschen Ihren autorisierten Bootloader durch eine schädliche Version aus.
Wenn ein Rootkit in Ihrem Bootloader installiert ist, wird es noch vor dem vollständigen Laden Ihres Betriebssystems aktiviert.
Diese Rootkits gehören zu den gefährlichsten ihrer Art, da sie den Kern des Betriebssystems auf der Kernel-Ebene kompromittieren. Mit einem Kernel-Rootkit untergraben Hacker den legitimen Code im Kernel, indem sie ihren eigenen Code ergänzen, und verändern so die Funktion Ihres Betriebssystems.
Die Cyberkriminellen versuchen auf diesem Weg auf die Dateien Ihrer Festplatte zuzugreifen und möglicherweise private Daten wie z. B. Finanzdokumente zu stehlen.
Anwendungs-Rootkits ersetzen legitime Programmdateien durch Rootkit-Dateien und können das Verhalten von Standardanwendungen verändern. Sie haben sich möglicherweise in Software eingenistet, die Sie täglich verwenden, wie z. B. in Produkten für Textverarbeitung, Tabellenkalkulation oder Projektmanagement. Jedes Mal, wenn Sie das infizierte Programm starten, verschafft sich der Angreifer Zugang zu Ihrem Computer.
Die Programme laufen scheinbar weiterhin normal, weshalb Anwendungs-Rootkits schwer zu erkennen sind. Da sie jedoch auf der Anwendungsebene arbeiten, werden sie in der Regel von zuverlässigen Antivirenprogrammen erkannt.
Virtuelle Rootkits können Ihr Betriebssystem angreifen, ohne den Kernel zu verändern. Das liegt daran, dass sie sich selbst auf eine Ebene laden, die unter dem anvisierten Betriebssystem liegt, und es dann als virtuellen Computer hosten. Sobald ein virtuelles Rootkit installiert ist, kann es die Hardwareaufrufe des ursprünglichen Betriebssystems übernehmen.
Wie bereits erwähnt, sind Rootkits unter Umständen sehr schwer zu identifizieren, da sie ja dafür konzipiert wurden, verborgen zu bleiben. Zudem sind sie in der Lage, Sicherheitssoftware zu deaktivieren und dadurch noch schwerer zu fassen. Anstatt nach dem Rootkit selbst zu suchen, kann es sinnvoller sein, auf das Verhalten Ihres Geräts zu achten, um so alle Anzeichen eines Problems zu erfassen.
Im Folgenden finden Sie einige Anhaltspunkte, die auf eine mögliche Rootkit-Infektion hindeuten können.
Der „Bluescreen des Todes“ bei Windows: Sie sehen häufig den bekannten weißen Text auf einem blauen Bildschirm, der Sie zum Neustart zwingt
Langsamkeit: Ihr Gerät braucht ewig zum Hochfahren, führt einfache Aufgaben langsam aus, friert ein oder reagiert nicht auf Eingaben
Unerwartetes Verhalten des Browsers: Sie bemerken unbekannte Lesezeichen, unaufgeforderte Weiterleitungen oder andere seltsame Aktionen
Veränderte Windows-Einstellungen: Verhalten der Taskleiste, Bildschirmschoner, Uhrzeit/Datum, Hintergrundbild oder andere Einstellungen ändern sich ohne Ihr Zutun
Merkwürdige Netzwerkfunktionen: Webseiten oder andere Netzwerkaktivitäten sind unzuverlässig und können unterbrochen werden
Wenn Sie eine dieser Verhaltensweisen feststellen, sollten Sie einen Rootkit-Scan durchführen. Er kann auch direkt von Ihrer Antivirensoftware initiiert werden, es ist allerdings vorzuziehen, das infizierte Gerät auszuschalten und die Überprüfung von einem System aus durchzuführen, von dem Sie wissen, dass es sauber ist.
Das Entfernen von Rootkits ist komplex und erfordert in der Regel spezielle Tools. Um ein Rootkit vollständig von einem Gerät zu entfernen, ist es unter Umständen notwendig, das Betriebssystem des Geräts neu zu installieren oder die Festplatte neu zu formatieren. In manchen Fällen lässt sich das Problem damit noch nicht vollständig beheben.
Bei dem Verdacht eines Rootkits auf Ihrem Gerät können Sie Ihre Suche jedoch mit den folgenden Ansatzpunkten beginnen.
Das Eliminieren von Rootkits auf einem Windows-Gerät beginnt in der Regel mit einem Scan. Wenn das Rootkit tief im Betriebssystem eingebettet ist, kann es mit einer Neuinstallation von Windows entfernt werden. Bei der Installation ist das Verwenden eines externen Mediums sicherer als das integrierte Windows-Installationsprogramm.
Wenn das Rootkit Ihr BIOS infiziert hat, ist eine professionelle Instandsetzung erforderlich. Wenn auch das nicht hilft, bleibt Ihnen möglicherweise nichts anderes übrig, als den Computer zu ersetzen.
Apple-Systeme verfügen über einige integrierte Sicherheitsfunktionen, die Sie vor Malware schützen sollen. Aktualisieren Sie zunächst auf das neueste Betriebssystem, da es nicht nur neue Funktionen bietet, sondern auch Schadsoftware (auch Rootkits) entfernen kann.
Allerdings verfügt auch MacOS nicht über spezielle Mechanismen zur Erkennung von Rootkits. Wenn Sie also glauben, dass Ihr Gerät mit Rootkits infiziert wurde, sollte eine Neuinstallation des Betriebssystems die meisten von ihnen entfernen. Im Falle eines Rootkits im BIOS benötigen Sie jedoch eine professionelle Instandsetzung und möglicherweise ein neues Gerät.
Da Rootkits gefährlich und schwer zu fassen sind, ist Vorbeugung unerlässlich. Ziehen Sie zur Eindämmung dieses Risikos alle folgenden Maßnahmen in Betracht.
Sie sollten Ihre Betriebssysteme und Softwareprogramme auf jeden Fall immer mit den neuesten Updates aktualisieren, um Schwachstellen zu beheben, über die Hacker Schadsoftware jeder Art (auch Rootkits) einschleusen können. In einer Unternehmensumgebung sollten Aktualisierungen automatisch oder in regelmäßigen Abständen durchgeführt werden.
Phishing und andere Social-Engineering-Angriffe sind gängige Methoden, mit denen Hacker Einzelcomputer und Unternehmen mit Rootkits infizieren und andere üble Angriffe starten. Bestehen Sie darauf, dass jeder, der Ihr System benutzt, ausreichende Kenntnisse besitzt, um diese Betrügereien zu erkennen, die oft über verdächtige E-Mails oder gefälschte Links ausgeführt werden. Verhindern Sie durch das Erstellen von Richtlinien, dass verdächtige E-Mails Ihre Mitarbeiter erreichen.
Unterweisen Sie Ihre Mitarbeiter, damit Sie bei Anhängen aller Art darauf achten, dass sie von einem vertrauenswürdigen Absender stammen, bevor sie darauf klicken, und keine Software von unbekannten Websites herunterladen. Wenn ein Webbrowser eine Warnung für eine Website ausgibt, sollten alle Benutzer diese Warnung ernst nehmen und die Website verlassen, ohne mit ihr zu interagieren.
Erwägen Sie das Einführen einer umfassenden Sicherheitslösung mit bewährten Verfahren für die Verifizierung von Identitäten (wie z. B. mit einem Zero Trust-Konzept und Single Sign-on), Betrugserkennung, Multi-Faktor-Authentifizierung (MFA), Web-/API-Zugang und mehr. Auf diese Weise kann Ihr Unternehmen effizient und einfach vor allen Arten von Bedrohungen geschützt werden, ohne dass die Benutzerfreundlichkeit darunter leidet.
Ping Identity kann Ihnen dabei helfen, überall in Ihrem Unternehmen einen reibungslosen Zugang zu ermöglichen, der Ihre Belegschaft vor Bedrohungen schützt Laden Sie den ultimativen Leitfaden über den Link herunter.
Starten Sie jetzt
Kontaktieren Sie uns
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern