211service.com
Wie funktioniert die Rootkit-Erkennung heutzutage?
Sie sind wahrscheinlich mit Computerviren, Adware, Spyware und anderen Schadprogrammen vertraut, die größtenteils als Bedrohung gelten. Eine andere Form oder Klasse von Malware (Rootkits) kann jedoch die gefährlichste von allen sein. Mit 'gefährlich' meinen wir den Grad des Schadens, den das Schadprogramm verursachen kann, und die Schwierigkeiten, die Benutzer beim Auffinden und Entfernen haben.
Was sind Rootkits?
Rootkits sind eine Art von Malware, mit der nicht autorisierten Benutzern Zugriff auf Computer (oder bestimmte Anwendungen auf Computern) gewährt wird. Rootkits sind so programmiert, dass sie verborgen bleiben (außer Sichtweite), während sie einen privilegierten Zugriff behalten. Nachdem ein Rootkit in einen Computer gelangt ist, wird seine Anwesenheit leicht maskiert, und es ist unwahrscheinlich, dass Benutzer dies bemerken.
Wie schadet ein Rootkit einem PC?
Im Wesentlichen können Cyberkriminelle über ein Rootkit Ihren Computer steuern. Mit solch einem mächtigen Schadprogramm können sie Ihren PC zu allem zwingen. Sie können Ihre Passwörter und andere vertrauliche Informationen stehlen, alle Aktivitäten oder Vorgänge verfolgen, die auf Ihrem Computer ausgeführt werden, und sogar Ihr Sicherheitsprogramm deaktivieren.
Angesichts der beeindruckenden Fähigkeiten von Rootkits, Sicherheitsanwendungen zu entführen oder zu löschen, sind sie ziemlich schwer zu erkennen oder zu konfrontieren, noch mehr als ein durchschnittliches Schadprogramm. Rootkits können über einen längeren Zeitraum auf Computern vorhanden sein oder auf Computern betrieben werden, ohne dass sie erkannt werden und erheblichen Schaden anrichten.
Wenn fortgeschrittene Rootkits im Spiel sind, bleibt den Benutzern manchmal keine andere Wahl, als alles auf ihrem Computer zu löschen und von vorne zu beginnen - wenn sie die Schadprogramme loswerden möchten.
Ist jede Malware ein Rootkit?
Nein, wenn überhaupt, ist nur ein kleiner Teil der Malware Rootkits. Im Vergleich zu anderen Schadprogrammen sind Rootkits in Bezug auf Design und Programmierung erheblich weiterentwickelt. Rootkits können viel mehr als die durchschnittliche Malware.
Wenn wir uns an strenge technische Definitionen halten wollen, ist ein Rootkit nicht gerade eine Form oder ein Typ eines Schadprogramms. Rootkits entsprechen einfach dem Prozess, der zum Bereitstellen von Malware auf einem Ziel (normalerweise einem bestimmten Computer oder einer bestimmten Person oder Organisation) verwendet wird. Verständlicherweise hat der Begriff eine negative Konnotation, da Rootkits häufig in den Nachrichten über Cyberangriffe oder Hacks auftauchen.
Um fair zu sein, laufen Rootkits ziemlich ähnlich wie Malware. Sie arbeiten gerne ohne Einschränkungen auf den Computern der Opfer. Sie möchten nicht, dass Schutzdienstprogramme sie erkennen oder finden. Normalerweise versuchen sie, Dinge vom Zielcomputer zu stehlen. Letztendlich sind Rootkits Bedrohungen. Daher müssen sie blockiert (um zu verhindern, dass sie überhaupt hereinkommen) oder angesprochen werden (wenn sie bereits ihren Weg gefunden haben).
Warum werden Rootkits verwendet oder ausgewählt?
Angreifer setzen Rootkits für viele Zwecke ein, versuchen jedoch meistens, sie zu verwenden, um die Stealth-Funktionen von Malware zu verbessern oder zu erweitern. Mit zunehmender Verstohlenheit können die auf einem Computer bereitgestellten schädlichen Nutzdaten länger unentdeckt bleiben, während die fehlerhaften Programme Daten aus einem Netzwerk herausfiltern oder entfernen.
Rootkits sind insofern sehr nützlich, als sie eine bequeme Möglichkeit oder Plattform bieten, über die nicht autorisierte Akteure (Hacker oder sogar Regierungsbeamte) Backdoor-Zugriff auf Systeme erhalten. Rootkits erreichen normalerweise das hier beschriebene Ziel, indem sie Anmeldemechanismen untergraben, um Computer zu zwingen, ihnen geheimen Anmeldezugriff für eine andere Person zu gewähren.
Rootkits können auch eingesetzt werden, um einen Computer zu gefährden oder zu überfordern, damit der Angreifer die Kontrolle erlangt und das Gerät als Werkzeug zur Ausführung bestimmter Aufgaben verwendet. Beispielsweise zielen Hacker mit Rootkits auf Geräte ab und verwenden diese als Bots für DDoS-Angriffe (Distributed Denial of Service). Wenn in einem solchen Szenario die Quelle des DDoS jemals erkannt und verfolgt wird, führt dies zum kompromittierten Computer (dem Opfer) anstelle des tatsächlich verantwortlichen Computers (dem Angreifer).
Die kompromittierten Computer, die an solchen Angriffen teilnehmen, werden allgemein als Zombie-Computer bezeichnet. DDoS-Angriffe sind kaum die einzigen schlechten Dinge, die Angreifer mit kompromittierten Computern tun. Manchmal verwenden Hacker die Computer ihrer Opfer, um Klickbetrug auszuführen oder Spam zu verbreiten.
Interessanterweise gibt es Szenarien, in denen Rootkits von Administratoren oder regulären Personen für gute Zwecke bereitgestellt werden, Beispiele dafür sind jedoch noch recht selten. Wir haben Berichte über einige IT-Teams gesehen, die Rootkits in einem Honeypot ausführen, um Angriffe zu erkennen oder zu erkennen. Auf diese Weise können sie ihre Emulationstechniken und Sicherheitsanwendungen verbessern, wenn sie mit den Aufgaben erfolgreich sind. Sie könnten auch einige Kenntnisse erwerben, die sie dann anwenden könnten, um die Diebstahlsicherungsvorrichtungen zu verbessern.
Wenn Sie sich jedoch jemals mit einem Rootkit befassen müssen, besteht die Möglichkeit, dass das Rootkit gegen Sie (oder Ihre Interessen) verwendet wird. Daher ist es wichtig, dass Sie lernen, wie Sie schädliche Programme in dieser Klasse erkennen und sich (oder Ihren Computer) dagegen verteidigen.
Arten von Rootkits
Es gibt verschiedene Formen oder Arten von Rootkits. Wir können sie anhand ihrer Infektionsart und der Stufe, auf der sie auf Computern arbeiten, klassifizieren. Nun, dies sind die häufigsten Rootkit-Typen:
-
Rootkit im Kernel-Modus:
Rootkits im Kernelmodus sind Rootkits, mit denen Malware in den Kernel von Betriebssystemen eingefügt werden kann, um die Betriebssystemfunktionalität oder das Setup zu ändern. Mit 'Kernel' ist der zentrale Teil des Betriebssystems gemeint, der Vorgänge zwischen Hardware und Anwendungen steuert oder verknüpft.
Angreifer finden es schwierig, Rootkits im Kernelmodus bereitzustellen, da solche Rootkits dazu neigen, Systeme zum Absturz zu bringen, wenn der verwendete Code fehlschlägt. Wenn es ihnen jedoch jemals gelingt, die Bereitstellung erfolgreich durchzuführen, können die Rootkits unglaublichen Schaden anrichten, da Kernel normalerweise die höchsten Berechtigungsstufen innerhalb eines Systems besitzen. Mit anderen Worten, mit erfolgreichen Rootkits im Kernel-Modus können Angreifer problemlos mit den Computern ihrer Opfer fahren.
-
Rootkit im Benutzermodus:
Die Rootkits in dieser Klasse werden als normale oder reguläre Programme ausgeführt. Sie arbeiten in der Regel in derselben Umgebung, in der Anwendungen ausgeführt werden. Aus diesem Grund werden sie von einigen Sicherheitsexperten als Anwendungsstammkits bezeichnet.
Rootkits im Benutzermodus sind relativ einfacher bereitzustellen (als Rootkits im Kernelmodus), können jedoch weniger. Sie richten weniger Schaden an als Kernel-Rootkits. Theoretisch fällt es Sicherheitsanwendungen auch leichter, mit Rootkits im Benutzermodus umzugehen (im Vergleich zu anderen Formen oder Klassen von Rootkits).
-
Bootkit (Boot-Rootkit):
Bootkits sind Rootkits, die die Fähigkeiten regulärer Rootkits erweitern oder verbessern, indem sie den Master Boot Record infizieren. Kleine Programme, die beim Systemstart aktiviert werden, bilden den Master Boot Record (der manchmal als MBR abgekürzt wird). Ein Bootkit ist im Grunde ein Programm, das das System angreift und den normalen Bootloader durch eine gehackte Version ersetzt. Ein solches Rootkit wird bereits aktiviert, bevor das Betriebssystem eines Computers gestartet und beruhigt wird.
Angesichts des Infektionsmodus von Bootkits können Angreifer sie in beständigeren Angriffsformen einsetzen, da sie so konfiguriert sind, dass sie ausgeführt werden, wenn ein System eingeschaltet wird (auch nach einem defensiven Reset). Darüber hinaus bleiben sie im Systemspeicher aktiv. Dies ist ein Ort, der von Sicherheitsanwendungen oder IT-Teams selten auf Bedrohungen überprüft wird.
-
Speicher-Rootkit:
Ein Speicher-Rootkit ist eine Art Rootkit, das im RAM eines Computers versteckt ist (eine Abkürzung für Random Access Memory, was mit temporärem Speicher identisch ist). Diese Rootkits (einmal im Speicher) führen dann schädliche Vorgänge im Hintergrund aus (ohne dass Benutzer davon erfahren).
Glücklicherweise haben Memory Rootkits in der Regel eine kurze Lebensdauer. Sie können nur für eine Sitzung im RAM Ihres Computers gespeichert werden. Wenn Sie Ihren PC neu starten, verschwinden sie - zumindest theoretisch sollten sie verschwinden. In einigen Szenarien reicht der Neustartprozess jedoch nicht aus. Benutzer müssen möglicherweise einige Arbeiten ausführen, um Speicher-Rootkits zu entfernen.
-
Hardware- oder Firmware-Rootkit:
Hardware- oder Firmware-Rootkits erhalten ihren Namen von dem Ort, an dem sie auf Computern installiert sind.
Es ist bekannt, dass diese Rootkits Software nutzen, die in die Firmware auf Systemen eingebettet ist. Firmware bezieht sich auf die spezielle Programmklasse, die Steuerung oder Anweisungen auf niedriger Ebene für bestimmte Hardware (oder Geräte) bereitstellt. Auf Ihrem Laptop befindet sich beispielsweise eine Firmware (normalerweise das BIOS), die vom Hersteller geladen wurde. Auch Ihr Router verfügt über Firmware.
Da Firmware-Rootkits auf Geräten wie Routern und Laufwerken vorhanden sein können, können sie sehr lange verborgen bleiben, da diese Hardwaregeräte selten auf Codeintegrität überprüft oder überprüft werden (wenn sie überhaupt überprüft werden). Wenn Hacker Ihren Router oder Ihr Laufwerk mit einem Rootkit infizieren, können sie Daten abfangen, die durch das Gerät fließen.
So schützen Sie sich vor Rootkits (Tipps für Benutzer)
Selbst die besten Sicherheitsprogramme kämpfen immer noch gegen Rootkits. Sie sollten also besser alles tun, um zu verhindern, dass Rootkits überhaupt auf Ihren Computer gelangen. Es ist nicht so schwer, in Sicherheit zu bleiben.
Wenn Sie die besten Sicherheitspraktiken einhalten, verringert sich die Wahrscheinlichkeit, dass Ihr Computer mit einem Rootkit infiziert wird, erheblich. Hier sind einige davon:
-
Laden Sie alle Updates herunter und installieren Sie sie:
Sie können es sich einfach nicht leisten, Updates für irgendetwas zu ignorieren. Ja, wir verstehen, dass Aktualisierungen von Anwendungen ärgerlich sein können und Aktualisierungen Ihres Betriebssystems störend sein können, aber Sie können nicht ohne sie auskommen. Wenn Sie Ihre Programme und Ihr Betriebssystem auf dem neuesten Stand halten, erhalten Sie Patches zu Sicherheitslücken oder Sicherheitslücken, die Angreifer ausnutzen, um Rootkits in Ihren Computer einzufügen. Wenn die Lücken und Schwachstellen geschlossen werden, ist Ihr PC besser dafür geeignet.
-
Achten Sie auf Phishing-E-Mails:
Phishing-E-Mails werden in der Regel von Betrügern gesendet, die Sie dazu verleiten möchten, Ihre persönlichen Informationen oder vertraulichen Daten (z. B. Anmeldedaten oder Kennwörter) bereitzustellen. Einige Phishing-E-Mails ermutigen Benutzer jedoch, Software herunterzuladen und zu installieren (die normalerweise bösartig oder schädlich ist).
Solche E-Mails sehen möglicherweise so aus, als ob sie von einem legitimen Absender oder einer vertrauenswürdigen Person stammen. Sie müssen also auf sie achten. Antworte nicht auf sie. Klicken Sie nicht auf etwas darin (Links, Anhänge usw.).
-
Achten Sie auf Drive-by-Downloads und unbeabsichtigte Installationen:
Hier möchten wir, dass Sie auf die Inhalte achten, die auf Ihren Computer heruntergeladen werden. Sie möchten keine schädlichen Dateien oder fehlerhaften Anwendungen erhalten, die schädliche Programme installieren. Sie müssen auch die von Ihnen installierten Apps berücksichtigen, da einige legitime Anwendungen mit anderen Programmen gebündelt sind (die schädlich sein können).
Im Idealfall sollten Sie nur die offiziellen Versionen von Programmen von offiziellen Seiten oder Download-Centern herunterladen, während der Installation die richtigen Entscheidungen treffen und die Installationsprozesse für alle Apps beachten.
-
Installieren Sie ein Schutzprogramm:
Wenn ein Rootkit in Ihren Computer gelangen soll, hängt sein Eintrag wahrscheinlich mit dem Vorhandensein oder Vorhandensein eines anderen Schadprogramms auf Ihrem Computer zusammen. Es besteht die Möglichkeit, dass eine gute Antiviren- oder Antimalwareanwendung die ursprüngliche Bedrohung erkennt, bevor ein Rootkit eingeführt oder aktiviert wird.
Sie können Anti-Malware erhalten. Sie sollten der empfohlenen Anwendung vertrauen, da gute Sicherheitsprogramme immer noch Ihre beste Verteidigung gegen alle Arten von Bedrohungen darstellen.
So erkennen Sie Rootkits (und einige Tipps für Organisationen und IT-Administratoren)
Es gibt nur wenige Dienstprogramme, die Rootkits erkennen und entfernen können. Sogar die kompetenten Sicherheitsanwendungen (von denen bekannt ist, dass sie mit solchen Schadprogrammen umgehen) haben manchmal Schwierigkeiten oder können die Arbeit nicht ordnungsgemäß ausführen. Fehler beim Entfernen von Rootkits treten häufiger auf, wenn die Malware vorhanden ist und auf Kernelebene ausgeführt wird (Rootkits im Kernelmodus).
Manchmal ist die Neuinstallation des Betriebssystems auf einem Computer das einzige, was getan werden kann, um ein Rootkit zu entfernen. Wenn Sie mit Firmware-Rootkits arbeiten, müssen Sie möglicherweise einige Hardwareteile im betroffenen Gerät austauschen oder spezielle Geräte erwerben.
Für einen der besten Rootkit-Erkennungsprozesse müssen Benutzer Scans der obersten Ebene für Rootkits ausführen. Mit 'Scan der obersten Ebene' ist ein Scan gemeint, der von einem separaten sauberen System ausgeführt wird, während der infizierte Computer ausgeschaltet ist. Theoretisch sollte ein solcher Scan ausreichen, um nach Signaturen zu suchen, die von Angreifern hinterlassen wurden, und in der Lage sein, ein Foulspiel im Netzwerk zu identifizieren oder zu erkennen.
Sie können auch eine Speicherauszugsanalyse verwenden, um Rootkits zu erkennen, insbesondere wenn Sie den Verdacht haben, dass ein Bootkit beteiligt ist, das sich für den Betrieb an den Systemspeicher klammert. Wenn sich im Netzwerk eines normalen Computers ein Rootkit befindet, wird es wahrscheinlich nicht ausgeblendet, wenn Befehle ausgeführt werden, bei denen Speicher verwendet wird. Der Managed Service Provider (MSP) kann die Anweisungen anzeigen, die das Schadprogramm sendet .
Die Verhaltensanalyse ist ein weiteres zuverlässiges Verfahren oder eine Methode, die manchmal zum Erkennen oder Verfolgen von Rootkits verwendet wird. Anstatt hier direkt nach einem Rootkit zu suchen, indem Sie den Systemspeicher überprüfen oder Angriffssignaturen beobachten, müssen Sie auf dem Computer nach Rootkit-Symptomen suchen. Dinge wie langsame Betriebsgeschwindigkeiten (erheblich langsamer als normal), ungerader Netzwerkverkehr (der nicht vorhanden sein sollte) und andere häufig abweichende Verhaltensmuster sollten Rootkits verraten.
Manager-Dienstanbieter können das Prinzip der geringsten Berechtigungen (PoLP) als spezielle Strategie in den Systemen ihrer Kunden einsetzen, um die Auswirkungen einer Rootkit-Infektion zu bewältigen oder zu mildern. Wenn PoLP verwendet wird, sind Systeme so konfiguriert, dass jedes Modul in einem Netzwerk eingeschränkt wird. Dies bedeutet, dass einzelne Module nur auf die Informationen und Ressourcen zugreifen können, die sie für ihre Arbeit benötigen (bestimmte Zwecke).
Nun, das vorgeschlagene Setup gewährleistet eine strengere Sicherheit zwischen den Armen eines Netzwerks. Es reicht auch aus, um die Installation von schädlicher Software auf Netzwerkkernen durch nicht autorisierte Benutzer zu blockieren. Dies verhindert, dass Rootkits einbrechen und Probleme verursachen.
Glücklicherweise sind Rootkits im Durchschnitt rückläufig (im Vergleich zum Volumen anderer Schadprogramme, die sich in den letzten Jahren vermehrt haben), da Entwickler die Sicherheit in Betriebssystemen kontinuierlich verbessern. Die Endpunktabwehr wird immer stärker und eine größere Anzahl von CPUs (oder Prozessoren) wird für die Verwendung integrierter Kernelschutzmodi entwickelt. Derzeit sind jedoch noch Rootkits vorhanden, die identifiziert, beendet und entfernt werden müssen, wo immer sie gefunden werden.