245176

Microsoft warnt vor Rootkits

18.02.2005 | 15:44 Uhr |

Auf der RSA Security Conference in San Francisco haben Sicherheitsexperten über so genannte Rootkits diskutiert.

Sicherheitsexperten haben auf einer Tagung auf der RSA Security Conference in San Francisco über die Bedrohung durch so genannte "Rootkits" gesprochen. Vertreter von Microsoft warnen vor einer neuen Generation, die mit derzeitigen Sicherheitsprodukten kaum aufzuspüren ist. Sie könnte sowohl für Unternehmen als auch für Einzelpersonen ernste Risiken bedeuten.

Systeme, auf denen die Tools installiert sind, werden von Crackern für Angriffe genutzt und um Informationen zu sammeln. Typischerweise kommt die Software meist ohne Wissen der Anwender auf das System, sei es mit Hilfe von Malware oder durch einen geglückten Hack der Sicherheitssysteme eines Rechners.

Einmal installiert, laufen Rootkits unerkannt im Hintergrund, können aber oftmals aufgespürt werden. Beispielsweise indem laufende Prozesse auf einer infizierten Maschine unter die Lupe genommen, die Kommunikation nach außen kontrolliert oder nach neu installierten Programmen Ausschau gehalten wird.

Von einem anderen Kaliber sind die dagegen Kernel Rootkits. Diese Applikationen, die den Kernel oder "core request processing" (Teil des OS) modifizieren, werden immer gebräuchlicher. Rootkit-Autoren machen zudem große Fortschritte bei der Fähigkeit, ihre Schöpfungen zu tarnen, so Mike Danseglio von Microsofts Security Solutions Group.

Insbesondere einige Rootkits der neuesten Generation sind in der Lage, Anfragen oder “system calls“ auszufiltern. Dies führt dazu, dass typische Anzeichen dafür, dass ein Programm im Hintergrund läuft, fehlen. Für Administratoren und Erkennungs-Tools sind sie in der Folge unsichtbar, so Danseglio.

Ein Tool namens Hacker Defender, vor gut einem Jahr veröffentlicht, nutzt sogar Verschlüsselungs-Techniken für seine Kommunikation ins Internet. Und kann Huckepack über normal genutzte Ports (wie etwa Transmission Control Protocol Port 135) nach außen kommunizieren - andere Anwendungen, die den Port nutzen, werden in ihrer Tätigkeit nicht gestört.

Strategien zum Aufspüren von Kernel Rootkits auf infizierten Systemen sind bislang eher Mangelware. Dies liegt insbesondere daran, dass jedes Rootkit sich anders verhält und unterschiedliche Taktiken nutzt, um sich zu verstecken.

Eine Strategie, Kernel Rootkits aufzuspüren, ist es, abgespeckte und auf CD gebrannte XP-Versionen heranzuziehen und das Profil des Rechners mit dem eines infizierten Systems zu vergleichen, so Kurt Dillard von Microsofts Security Solutions Group.

Microsoft-Spezialisten haben sogar ein Tool entwickelt, genannt Strider Ghostbuster, das Rootkits aufspüren soll, indem es saubere und verdächtige Windows-Versionen vergleicht und nach Unterschieden Ausschau hält, die auf einen laufenden Kernel Rootkit hinweisen. Dies geht aus einem Paper von Microsoft Research hervor, wie unsere Kollegen vom IDG News Service berichten.

Der einzig sichere Weg, Kernel Rootkits wieder loszuwerden, besteht momentan in einer vollständigen Löschung der Platte und einer Neuinstallation des Betriebssystems, so ein Experte. Bessere Erkennungs-Tools könnten natürlich entwickelt werden. Rootkit-Autoren sind jedoch sehr geschickt darin, neue Erkennungs-Techniken auszumachen und ihre Programme so zu modifizieren, dass sie daran vorbeischlüpfen können, sagt Danseglio.

0 Kommentare zu diesem Artikel
245176