Whatsapp Freisteller

Wie komplexe Angriffe abgewehrt werden können

Von: Thomas Bär
Letzte Aktualisierung:
2_01978784_1978785.jpg
Manchmal „benehmen” sich auch ganz normale Rechner merkwürdig - dann beginnen die Systemprofis von Angriffen via Rootkit, mittels Keylogger oder über Backdoors zu reden.

Aachen. Manchmal „benehmen” sich auch ganz normale Rechner merkwürdig - dann beginnen die Systemprofis von Angriffen via Rootkit, mittels Keylogger oder über Backdoors zu reden.

Jeder Anwender weiß in der Zwischenzeit, wie er sich zu verhalten hat, wenn seine Antivirus-Software einen Schädlingsbefall oder auch nur eine möglicherweise verdächtige Datei in der E-Mail meldet. Doch gibt es immer wieder Fälle, in denen sich der Rechner einfach nur „seltsam benimmt”.

Viele Nutzer werden beispielsweise aufmerksam, wenn das System scheinbar grundlos (und nicht vom Anwender initiiert) eine Online-Verbindung aufbaut oder unter anscheinend großer Systemlast immer langsamer wird - obwohl aktuell nicht mit dem Computer gearbeitet wird.

Das ist der Zeitpunkt, an dem nicht nur die IT-Profis anfangen von Gefahren wie Rootkits, Keyloggern oder auch sogenannten Backdoors zu sprechen. Wir wollen in diesem Bericht zeigen, was sich hinter all diesen Begriffen verbirgt, wie groß die Gefahren sind und was Administratoren und Anwender dagegen tun können.

Der Begriff Rootkit Tel.aus der Welt der Unix-Systeme. Dort trägt der Systemadministrator - der auf den traditionellen Unix-Derivaten mit uneingeschränkten Zugriffsmöglichkeiten auf sämtliche Bereiche des Systems ausgestattet war - den Namen „root”. Mit dem Namen Rootkit werden Softwaresammlungen bezeichnet, mit deren Hilfe es möglich ist, unbemerkt ein Betriebssystem zu manipulieren.

Dabei arbeiten diese Werkzeuge und eingeschleusten Programme direkt im Kern des Betriebssystems, teilweise ersetzen sie sogar unbemerkt Standardfunktionen und deren Aufrufe durch eigene Routinen: Schon diese sehr vereinfachte Darstellung zeigt, wie schwer es sein kann, einen solchen Eindringling zu entdecken und dann vollständig aus einem System zu entfernen.

Im Jahr 2005 gelangten die Rootkits in das Bewusstsein einer breiteren Öffentlichkeit, als der japanische Hersteller Sony mittels seiner CDs/DVDs einen sogenannten Kopierschutz auf die Rechner brachte, der mit den Techniken der Rootkits arbeitete und die Systeme unbemerkt von den Nutzern manipulierte.

Mark Russinovich von Microsoft hat diesen Fall damals öffentlich gemacht - er ist heute noch einen der profiliertesten Experten, wenn es um Rootkits und deren Beseitigung geht. Wer sich für die technischen Hintergründe im Detail interessiert, kann mehr dazu in einem englischsprachigen Video auf den Seiten von Microsoft erfahren.

Es manipuliert Systemdateien, sodass ein Angreifer unbemerkt in das System eindringen und es weiter kompromittieren kann;

Es „versteckt” sowohl Dateien als auch Prozesse vor den normalen Systemwerkzeugen, damit die Schadroutinen ungehindert arbeiten können;

Es ersetzt beispielsweise Funktionsaufrufe, die direkt mit dem Systemkern zusammenarbeiten durch eigene Routinen oder manipuliert wichtige Treiberdateien, um so ebenfalls unbemerkt arbeiten zu können.

Zunächst einmal sollten Administratoren oder Anwender feststellen, ob es sich bei dem diagnostizierten Problem wirklich um einen „Befall” durch ein Rootkit handelt. Das ist schon deshalb wichtig, weil sich echte Rootkits in der Regel so tief in ein System einnisten, dass eine hundertprozentige Entfernung nur durch eine komplette Neuinstallation des Systems garantiert werden kann.

Oft werden aber auch harmlose Systemaktivitäten oder bekannte Programme wie Skype von Anwendern als Rootkit missdeutet, da bei ihnen Dateien zum Einsatz kommen, die vor der normalen Ansicht versteckt werden. So nutzt auch das Dateisystem NTFS der Windows-Rechner standardmäßig solche versteckten Dateien, die normalerweise auch im Windows Explorer nicht angezeigt werden. Deshalb gilt bei einem vermuteten Rootkit auf einem Rechner:

Entsprechende Testprogramme ausführen, die grundsätzlich feststellen, ob sich ein Rootkit auf dem System befindet;

Wer Windows XP oder einen Server bis Windows Server 2003 einsetzt, kann auf den RootkitRevealer von Mark Russinovich zurückgreifen. Die Auswertung der Ergebnisse erfordert allerdings Systemkenntnisse;

Für modernere Windows-Systeme wie Windows 7 und die 64-Bit-Versionen empfiehlt sich eine der freien Lösungen, wie sie unter anderem von Sophos unter der Bezeichnung Sophos Anti-Rootkit zum Download angeboten werden (diese Lösung ist leider auch nicht mehr ganz neu, soll aber im Februar 2012 in einer überarbeiteten Version zur Verfügung stehen);

Auf dem aktuellen Stand ist hingegen die Lösung TDSSKiller vom Hersteller Kaspersky: Sie kann auf 32- und auf 64-Bit-Systemen eingesetzt werden. Das Programm findet und bekämpft auch sogenannte Bootkits, die sich im Bootsektor eines Rechners einnisten und so von normalen Anti-Malware-Lösungen nicht gefunden werden;

Auch empfehlenswert: F-Secure Blacklight - ein an sich sehr gutes Programm, das aber leider nur Systeme bis Windows Vista in der 32-Bit-Version unterstützt (XP wird auch in der 64-Bit-Version unterstützt).

Achtung: Werden diese Untersuchungen so durchgeführt, dass sie dabei auch sämtliche Festplatten und Dateisysteme durchsuchen, so werden viele versteckte Dateien gefunden, die aber nicht unbedingt Teile eines Rootkits sind, sondern von ganz normalen Anwendungen verwendet werden.

Unsere Erfahrungen zeigen, dass oftmals bereits von einem Rootkit gesprochen wird, wenn in Wirklichkeit doch ganz andere Ursachen (wie etwa falsch installierte Treiber oder schlecht konfigurierte Systemeinstellungen) für ein unvermutetes Systemverhalten verantwortlich sind.

Deshalb gilt: zunächst erst einmal Ruhe bewahren und das System genau analysieren. Hat einer der zuvor genannten Hilfsprogramme eine unbekannte oder offensichtlich verborgene Datei entdeckt, sollten Anwender auch hier mit Umsicht an das Entfernen dieser vermeintlichen Malware gehen - oft wird ein System erst durch diese Reparaturversuche nachhaltig beschädigt.

Trotzdem dürfen die Gefahren der Rootkits nicht unterschätzt werden: So hat zwar auch Microsoft etwas gegen diese Art der Angriffe getan, indem bei modernen Windows-Systemen nur noch signierte Treiberdateien erlaubt sind und dieser Schutz gerade auf den 64-Bit-Versionen entsprechend rigoros durchgesetzt wird. Allerdings wurde im Mai 2011 ein erstes Rootkit entdeckt, das genau auf die 64-Bit-Systeme spezialisiert ist - es gelangt durch eine veraltete Java-Version auf die Systeme.

Erfahrene Anwender können mit spezielleren Tools wie SanityCheck, das für den privaten Gebrauch in einer kostenlosen Version zur Verfügung steht, oder auch GMER (Freeware) tiefer in die System eindringen und nach Ursachen und Verursachern suchen. Wer bei einem nachgewiesenen Fall eines Befalls durch ein Rootkit aber ganz sicher gehen will, sollte sich zur Neuinstallation des Systems entschließen - ein weiterer Grund, immer ein sauberes und aktuelles Systemimage bereitzuhalten.

Die nächste hier von uns vorgestellte Bedrohung kann in ihrer grundsätzlichen Arbeitsweise einige Ähnlichkeiten mit den zuvor geschilderten Rootkits aufweisen: Auch die sogenannten Keylogger verstecken ihre Aktivitäten nach Möglichkeit sowohl vor den Anwendern als auch vor den Kontrollmechanismen des Betriebssystems.

Grundsätzlich werden mit Hilfe dieser Software dann alle Tastatureingaben häufig auch andere Dinge wie besuchte Webseiten aufgezeichnet und dann entweder abgespeichert oder gleich an den Initiator des Programms weitergeleitet.

Man unterscheidet in der Regel zwischen Hardware-Keyloggern, bei denen die Geräte direkt in der Tastatur installiert werden und so alle Eingaben abfangen, und Software-Keyloggern, die sich in den Tastaturtreiber des Betriebssystems einklinken.

Hier hilft die Verwendung einer so genannten virtuellen Tastatur, wie sie von vielen Anti-Malware-Programmen mitgeliefert wird, aber auch standardmäßig auf den Windows-Systemen zur Verfügung steht. Im Verzeichnis System32, das sich unterhalb des Windows-Verzeichnisses befindet, können Anwender eine Datei mit der Bezeichnung „osk.exe” (für On-Screen-Keyboard) finden, die ein entsprechendes Programm auf den Bildschirm bringt.

Nein, in solch einem Fall hilft eine solche Anwendung definitiv nicht, da sie auf den gleichen Tastaturtreiber zugreift, den auch die normale Tastatur verwendet. Hier können dann in der Regel die normalen Anti-Virus-Programme helfen. Auch spezielle Schutzprogramme wie Spybot Search & Destroy bieten in der Regel einen guten Schutz gegen diese Form der Spionage auf dem PC.

Wer sich im Internet etwas umsieht, wird schnell feststellen, dass sehr viele Anbieter existieren, die diese Art von Programmen euphemistisch als „Monitor-Programme” bewerben und sie besorgten Eltern als ideale Schutzmaßnahme zur Überwachung der Tätigkeiten ihrer Kinder anpreisen. Auch in amerikanischen Firmen kommen solche Programme durchaus zum Einsatz, da es dort keine Arbeitsplatzschutzgesetze wie in Deutschland gibt, die Arbeitnehmer vor dieser Art der konstanten Überwachung schützen.

Wir raten grundsätzlich davon ab, derartige Programme auf einem System zu installieren - selbst bei noch so lauteren Absichten kann sich der Anwender letztendlich nie sicher sein, ob der Anbieter dieser Programme wirklich keine zusätzliche Software installiert, die seinen eigenen Zwecken dient. Wenn sich Anwender nicht selbst eine derartige freie Lösung wie den Free Keylogger auf die Rechner holen, werden sie in der Regel durch Antivirus- und Anti-Malware-Programme vor dieser Bedrohung geschützt.

Ob es sinnvoll ist, mit Hilfe dieser Programme Familienmitglieder oder andere Nutzer des eigenen Rechner auszuspionieren, sollte jeder Anwender selbst entscheiden - im Firmenumfeld gibt es auf jeden Fall arbeitsrechtliche Einschränkungen, die hier unbedingt zu beachten sind.

Wird über Angriffe auf Rechnersystem geredet, kommen immer wieder auch die Back- oder Trapdoors zur Sprache. Im Gegensatz zu den zuvor vorgestellten Bedrohungen muss es sich hierbei nicht unbedingt um eine Software handeln, die durch einen Download oder über eine Website auf den Rechner gebracht wird. Bei diesen Hintertüren handelt es sich um Lücken oder Zugänge in Programmen oder auch in Hardwarekomponenten, die einen Zugang zu den entsprechenden Systemen gewähren, ohne dass diese als unberechtigte Zugriffe entdeckt werden.

Neben der klassischen Backdoor, die ein Programmierer in seine Anwendung eingebaut hat, um so immer wieder darauf zugreifen zu können, sind es in häufig einfach Standardpasswörter, die solche unberechtigten Zugriffe ermöglichen: Anbieter von Routern und anderen Appliances statten ihre Geräte in der Regel mit Standardpasswörtern aus, um so den Kunden einen leichten ersten Zugriff auf die Geräte zu gewähren - Passwörter, die leider allzu oft nie verändert werden.

Überprüfen Sie regelmäßig alle Geräte und System, auf die von außen zugegriffen werden kann;

Stellen Sie sicher, dass auf keinem System die Standard-Passwörter des Herstellers zum Einsatz kommen - auch wenn es zunächst noch so praktisch erscheint;

Schutz vor Programmen mit „eingebauter Hintertür” bietet der ausschließliche Einsatz von Anwendungen aus seriösen Quellen: Renommierte Softwarehersteller werden sich in der Regel solche unseriösen Methoden nicht leisten;

Wer ein erhöhtes Schutzbedürfnis hat, sollte nur Programme verwenden, bei denen er auch Zugriff auf den Quellcode besitzt - so kann er selbst sicherstellen, dass der Entwickler keine Hintertüren implementiert hat. Hier besitzen Open-Source-Lösungen einen unbestrittenen Vorteil!

Schließlich sollen in diesem Zusammenhang die so genannten Backdoor-Trojaner nicht unerwähnt bleiben: Bei dieser Art des Angriffs wird ein Trojaner auf einem System installiert, mit dessen Hilfe ein Hintereingang auf dem System installiert beziehungsweise geöffnet wird, über den ein Angreifer dann dieses System fernsteuern kann. Zudem wird über diese Art von Programmen natürlich auch Schadsoftware eingeschleust, ausgeführt und weiterverbreitet.

Durch die Darstellung all dieser Bedrohungen wird schnell klar, dass neben den üblichen Antiviren-Programmen auf den Systemen zusätzliche Schutzprograme zum Einsatz kommen sollten, die solche Gefahren gezielt aufspüren können. Dazu gibt es beispielsweise das Programm "Cleaning Essentials" des Anbieters Comodo, das zu freien Download bereitsteht.

Zudem hat sich die für den privaten Gebrauch ebenfalls kostenfreie Lösung Threatfire auf unseren Systemen immer wieder bewährt. Neben dem großen Vorteil, dass diese Lösung der Firma PC Tools vollständig lokalisiert in deutscher Sprache zur Verfügung steht, liefert der Anbieter umfangreichen Informationen hinzu.

Die Software arbeitet verhaltensbasiert und soll so auch weitaus leichter dazu in der Lage sein, neue Angriffe oder Gefahren wie Rootkits, Keylogger und Trojaner schneller und genauer zu erkennen. Sehr gut hat es uns dabei gefallen, dass sich die Software entsprechend fein granuliert konfigurieren lässt - sodass die Anwender auch vor allzu häufigen Nachrichten „verschont” bleiben.

Jeder Administrator wird bestätigen können, dass eine Schutzsoftware, die ihre Anwender mit Meldungen bombardiert, schnell ignoriert oder noch schlimmer ganz abgeschaltet wird. Durch die kontinuierliche Überprüfung mittels der Verhaltensanalyse benötigt die Software allerdings ein gewisses Maß an Systemleistung: Wir raten davon ab, diese Lösung auf Netbooks oder sehr alten Systemen einzusetzen, da dies zu einer deutlichen Beeinträchtigung der Systemleistung führen kann.

© IDG / In Zusammenarbeit mit computerwoche.de
Leserkommentare

Leserkommentare (0)

Sie schreiben unter dem Namen:



Diskutieren Sie mit!

Damit Sie Artikel kommentieren können, müssen Sie sich einmalig registrieren — bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Beachten Sie unsere Diskussionsregeln, die Netiquette.

Homepage aktualisiert

Finden Sie jetzt neue aktuelle Informationen auf unserer Startseite

Wieder zur Homepage

Die Homepage wurde aktualisiert