Rootkit ist eine Sammlung von Software die dem User ermöglicht unerlaubten Zugriff auf Programme oder ganze Netzwerke zu bekommen, ohne das Wissen oder die Zustimmung des Owners. Schwer zu verfolgen und verwendet um Malware und Viren zu deployen – als MSP müssen Sie die Risiken verstehen, ebenso wie die Möglichkeiten Rootkit in den Umgebungen Ihrer Kunden zu erkennen. Glücklicherweise haben wir alles Wichtige für Sie zusammengefasst!
Woher kommt der Begriff „Rootkit“?
Sie können das Wort Rootkit unterteilen um die Etymologie zu verstehen: Root (Wurzel) als eine Art „Wurzel“-User des Accounts, also als der Admin mit den meisten Rechten. Kit (Werkzeugkoffer) ist die Applikation selbst die den Zugriff erlaubt. Ursprünglich hatten Rootkits nichts „kriminelles“ an sich. Es war nur das Werkzeug das Administratoren erlaubte auf Maschinen oder Netzwerke zuzugreifen. Heute jedoch sind Rootkits assoziiert mit Malware und kriminellen Energien und beschreibt meist Malware die nicht ohne weiteres von anderen Tools oder Usern entdeckt werden kann.
Welche Arten von Rootkits gibt es?
Es gibt viele unterschiedliche Arten und alle verwenden unterschiedliche Ansätze um dasselbe Ziel zu erreichen: Totale Kontrolle über eine Maschine, ein System oder ein Netzwerk. Beispielsweise gibt es Rootkits die Hardware attackieren und etwas so scheinbar unschuldiges wie Ihren Router anvisieren. Es gibt auch bootloader Rootkits, die die Sicherheitsmechanismen umgehen wenn das Betriebssystem geladen wird, oder Application Rootkits, die eine Applikation wie Excel oder Notepad mit einem Rootkit-Infizierten Programm ersetzen. Die Applikation sieht vielleicht sogar gleich aus, aber ein guter Antivirus kann erkennen, dass diese Applikation bösartig ist.
Die gefährlichste Art von Rootkits sind die Kernel-Modus Rootkits, die auf dem Kernel Level agieren. Diese werden verwendet um Systemeinstellungen und Betriebssystemeinstellungen zu ändern, indem sie das Herz des Betriebssystems angreifen. In letzter Zeit werden virtuelle Rootkits immer populärer unter Angreifern. Diese Hosten die Betriebssysteme als Virtuelle Maschine (VM) in der Cloud und sind schwer zu entdecken. Wir lieben die Grafik von Bitdefender, die die unterschiedlichen Studen von Rootkits darstellt und beschreibt, wie sie für kriminelle Aktivitäten genutzt werden.
Wie können Kriminelle Rootkits nutzen?
Stellen Sie sich Rootkits als Unsichtbarkeitsumhänge vor, die das Verhalten von Angreifern verschleiern. Mit einem Rootkit und je nach Art des Rootkits können Kriminelle:
- Malware injizieren: Ein Rootkit erlaubt einem Angreifer die eigene Software auf Ihrem Computer oder Netzwerk zu installieren. Das können Viren, Würmer, Ransomware-Angriffe, Spyware oder sonstiges sein. Diese Malware ist schwer zu finden, insbesondere wenn ihr Ziel ist Energie für Krypto Mining abzuzapfen. Ein Rootkit kann außerdem eine Hintertür in der Umgebung öffnen, durch welche Angreifer ganz einfach durch spazieren können.
- Remote Zugriff erhalten: Remote Zugriff Betrügereien werden zunehmend beliebter und erlauben Angreifern persönliche (oft finanzielle) Daten zu stehlen oder die Operation des Systems zu unterbinden. Diese Angriffe beginnen meist mit einem Malware Warnungs-Popup auf Ihrer Maschine, die ganz einfach mit Rootkits gefaked werden können. Wenn Sie dann der Remote Access Software zustimmen, erlauben Sie tiefen Zugriff.
- Sicherheitseinstellungen ändern: Da Rootkits im System sind, kann es Ihre Einstellungen ändern, sodass es Sicherheitsteams schwer fällt sie zu finden. Während sich die Privilegien der Rootkits selbst nicht ausweiten, können sie kriminelle User mit besserem Zugang und Authorisierung ausstatten.
- Datenklau: Durch spezielle Software können Rootkits Schwachstellen ausnutzen um Daten von Ihrer Umgebung oder der Ihrer Kunden zu stehlen oder zu löschen. So genannte Payload Rootkits sind sogar extra darauf ausgelegt um Passwörter oder Zugangsdaten zur Bank zu stehlen.
- Privatsphäre umgehen: Natürlich sind diese Daten eng verknüpft mit der Privatsphäre. Während Angreifer sensible Daten verkaufen, kann diese Herangehensweise sogar große Strafzahlungen für Sie nach sich ziehen oder Imageschaden.
Wie erkennen Sie ob Sie einem Rootkit Angriff ausgesetzt sind?
Rootkit Angriffe sind schwer zu erkennen und bekannt dafür unter dem Radar von selbst den besten Sicherheitstools zu fliegen. Allerdings gibt es einige Möglichkeiten um zu erkennen, ob ein solcher Angriff gerade stattfindet. Beispielsweise wenn Sie seltsame Aktivitäten auf Ihrer Maschine wahrnehmen. Das können Windowseinstellungen sein, die sich ohne Ihre Zustimmung ändern, selbst wenn sie harmlos wirken, wie die Veränderung der Hintergrundbilder oder Startleiste Programme.
Das kann natürlich aber auch gefährlicher werden, wie der Stop von Antivirus und Antimalware Programmen ohne Ihre Zustimmung. Sie sollten außerdem auf verminderte Leistung achten, die bedeuten kann, dass eine Rootkit Infektion Ihre Maschine verlangsamt. Natürlich kann ein Rootkit Angriff auch dazu führen, dass Sie völlig von Ihrem Computer ausgesperrt sind, oder Tastatur und Mouse nicht merh funktionieren.
Wie kann ich mich davor schützen?
Zuerst sollten Sie sicherstellen, dass Sie eine aktuelle Sicherheitslösung verwenden. Atera lässt sich mit Bitdefender integrieren, der eine robuste anti-Rootkit Lösung anbietet, ebenso wie Webroot-.
Da Rootkits häufig von den traditionellen Sicherheitstools nicht erkannt werden, ist es wichtig, dass Sie ein robustes Patch Management haben, damit Ihre Soft- und Hardware immer auf dem letzten Stand ist. Gemeinsam mit hoher Leistungsfähigkeit ist das Ihre erste Verteidigungslinie. Erstellen Sie Baselines für die Leistung aller Ihrer Maschinen und Systeme, damit Sie über Anomalien benachrichtigt werden, ebenso wie über Änderungen, selbst wenn Ihre Kunden diese nicht bemerken. Diese könnten die ersten (oder einzigen) Hinweise auf Rootkits sein.
Natürlich ist es auch wichtig die Awareness zu erhöhen und die Mitarbeiter über die Existenz und das Verhalten von Rootkits aufzuklären, damit Ihre Kunden wissen worauf sie achten sollten und alles ungewöhnliche sofort melden, selbst wenn es irrelevant erscheint. Sie könnten damit starten, ihnen diesen Artikel zu schicken!
Weitere Artikel
IT Audit – Das alles muss unbedingt rein!
Ein IT-Audit sollte Hardware, Software, Sicherheit, Compliance und mehr umfassen. Atera schlüsselt es in diesem hilfreichen Artikel auf.
Jetzt lesenWie entwickeln KMU eine digitale Roadmap?
Auch wenn Firmen das gleiche Geschäftsmodell haben, unterscheiden sie sich oft in Struktur, Größe oder Unternehmensphilosophie.
Jetzt lesenWie lange hält eine Tastatur?
Wie lange hält eine Tastatur im Schnitt, und sind mechanische Tastaturen besser als gewöhnliche Tastaturen?
Jetzt lesenWie lange hält ein Router?
Wie lange hält ein Router? Ganz allgemein beträgt die Lebensdauer der Router etwa zwei bis drei Jahren bei Low End Routern, während die High End Router häufig auch über zehn Jahre lang gut funktionieren können.
Jetzt lesenStärken Sie Ihr IT-Team mit KI-gestützter IT
Nutzen Sie die Leistung der KI, um Ihre IT-Effizienz zu 10-fachen. Befreien Sie Ihr Unternehmen von den Einschränkungen der gestrigen IT-Tools.