Page 1

Rootkits Mittelst채ndische Unternehmen

Eine neue Bedrohung, die Sie ernst nehmen sollten Wie Trend Micro mittelst채ndische Unternehmen sch체tzen kann

Ein Trend Micro Whitepaper I November 2006


ROOTKITS

INHALT I.

WARUM ROOTKITS GEFÄHRLICH SIND..................................................................................

II.

DIE ZUNEHMENDE VERWENDUNG VON ROOTKITS IN VERBINDUNG MIT PROFITORIENTIERTEN BEDROHUNGEN......................................................................... 4

III.

SO FUNKTIONIEREN ROOTKITS................................................................................................

4

IV.

SCHUTZ VOR ROOTKITS..............................................................................................................

5

3

• Funktionen des Betriebssystems umgehen • Systemverhalten überwachen

V.

2

WIE TREND MICRO TECHNOLOGIE VOR ROOTKITS SCHÜTZT......................................

5

VI. ANHANG A: EINE KURZE GESCHICHTE DER ROOTKITS..................................................

5

VII. ANHANG B: ROOTKITS IN AKTION...........................................................................................

6

VIII. ANHANG C: ROOTKITS IM BETRIEBSSYSTEM...................................................................

8

Whitepaper I Rootkits


ROOTKITS

Sie dachten, Ihr Netzwerk sei endlich sicher? WAS IST EIN ROOTKIT?

“Microsoft Sicherheitsexperten warnen vor einer neuen Generation von leistungsfähigen Systemüberwachungsprogrammen, auch ‘Rootkits’ genannt, die mit den herkömmlichen Sicherheitsprodukten kaum erkannt werden und deshalb eine ernsthafte Bedrohung für Unternehmen und Privatpersonen darstellen.” “Grund zur Sorge? Auf jeden Fall!” Computerworld, 17. Februar 2005 In diesem Whitepaper erhalten Sie einen Überblick über die Gefahren, die Rootkits für Sie und Ihr Unternehmen darstellen. Außerdem werden einige einfache Schritte erläutert, mit denen Sie diese neue Bedrohung in Schach halten können.

II. WARUM ROOTKITS GEFÄHRLICH SIND Stellen Sie sich vor, Sie hätten die Eingangstür zu Ihrem Unternehmen sperrangelweit offen gelassen, Zettel mit den Kennwörtern für die Computer an alle Tastaturen geheftet und wären dann für einen Monat in Urlaub gefahren. Anhand dieses Szenarios lassen sich die möglichen Gefahren eines Rootkits am besten veranschaulichen. Ein Eindringling könnte Ihre gesamte Kundendatenbank entwenden und Malware an alle E-Mail-Adressen schicken. Oder Diebe könnten mit Hilfe Ihrer Bankkontodaten große Geldbeträge von Kunden, Lieferanten, Mitarbeitern und sogar aus Ihrem Unternehmen erbeuten. Konkurrenten könnten Ihr geistiges Eigentum, wie z.B. technische Zeichnungen, Quellcode, mathematische Formeln usw., entwenden, das Sie selbst über Jahre hinweg und unter großem finanziellen Aufwand entwickelt haben. Sie können sich also vorstellen, dass ein erfolgreiches Rootkit Ihrem Unternehmen beträchtlichen finanziellen Schaden zufügen kann. Stellen Sie sich vor, ein Angreifer tarnt Spyware mit Rootkits und spioniert damit die persönlichen Daten Ihrer wichtigsten Kunden aus. Im Zuge der Schadensbegrenzung sind Sie möglicherweise gezwungen, die Kunden aus eigener Tasche zu entschädigen. Ein ebenso unerwarteter wie unerfreulicher Kostenaufwand. Die finanziellen Folgen können sogar noch weitreichender sein, wenn einer der betroffenen Kunden Zivilklage erhebt oder Ihr Unternehmen eine Geldbuße an eine Aufsichtsbehörde zahlen muss. Abgesehen von den Kosten ist der Schaden am Ruf Ihres Unternehmens möglicherweise irreparabel. Sie wissen ja, wie schwierig es ist, das Vertrauen der Kunden zu gewinnen und zu erhalten. Eine schwerwiegende Sicherheitsverletzung – und die ganze Arbeit war umsonst.

1

“Im Jahr 2005 war Sony BMG das erste Unternehmen, das Rootkits in Form der DRM-Software XCP für das digitale Rechtemanagement einsetzte. Rootkits werden von Programmierern von Mal- und Spyware verwendet, um ihre illegalen Aktivitäten zu verbergen. Sony nutzte damit eine fragwürdige Technologie zur Verhinderung von Kopien ihrer CDs. Nachdem Proteste laut wurden und eine Klage gegen diese Vorgehensweise angestrengt wurde, entschied man sich, eine Rückrufaktion für die etwa zwei Millionen verkauften CDs zu starten.” Quelle: Wikipedia, Eintrag “Sony BMG Music Entertainment”.

3

Whitepaper I Rootkits

Einfach ausgedrückt ist ein Rootkit eine Software, die Malware auf einem Computer verstecken kann. Praktisch alle mittelständischen Unternehmen verwenden heutzutage Sicherheitsprogramme zum Schutz vor Viren, Würmern, Trojanern und Spyware – also vor allen lästigen Bedrohungen aus dem Internet, die es auf Ihr Netzwerk abgesehen haben. Diese Verteidigungsstrategie ist ausgereift und zuverlässig, und wenn Sie dafür sorgen, dass Ihre Signaturdateien auf dem neuesten Stand sind, bietet sie erstklassigen Schutz vor Bedrohungen von außen. Vielleicht erinnern Sie sich an die Aufregung, als Sony im Jahr 2005 versuchte, seine CDs mit Kopierschutz zu versehen1. In diesem Fall hat ein wohlgesinntes Unternehmen die Gefahren von Rootkits unterschätzt. Rootkits sind eine Tarntechnik, die es bereits so lange wie UNIX-Betriebssysteme gibt. Weitaus bösartigere Zeitgenossen verwenden Rootkits jedoch mit Absicht, um so aus Ihrem Unternehmen Profit zu schlagen. Doch was tun, wenn sich die Bedrohungen geschickt vor der Sicherheits-Software verbergen? Wenn die Sicherheits-Software die Bedrohungen nicht erkennen kann, kann sie auch keine Gegenmaßnahmen ergreifen. Hacker verwenden deshalb heutzutage Rootkits als eines der wichtigsten Tools zur Überwindung Ihrer Systemsicherheit. Sobald die Abwehr durchbrochen ist, haben Hacker ungehinderten Zugriff auf Ihr Unternehmen.


ROOTKITS

II. DIE ZUNEHMENDE VERWENDUNG VON ROOTKITS IN VERBINDUNG MIT PROFITORIENTIERTEN BEDROHUNGEN Zum besseren Verständnis der Motive von Rootkit-Entwicklern ist es sinnvoll, die Entwicklung von Rootkits in den letzten zehn Jahren genauer zu betrachten. Zunächst sollten die Angriffe ein Netzwerk, ein Unternehmen oder einen PC lahm legen. Bei diesen bösartigen Aktionen wurden möglichst viele Computer in kürzester Zeit infiziert, zumeist mit Viren. Was wollten die Verfasser damit erreichen? Aufmerksamkeit, wenn auch nur unter dem vertrautesten Freundeskreis des Verfassers. Die Vorgehensweise ist mit Vandalismus vergleichbar: Ein Mitglied der Gruppe schlägt eine Scheibe ein, um die Akzeptanz und Bewunderung der anderen zu gewinnen. Doch dann kam eine interessante Komponente hinzu: Hacken wurde ein einträgliches Geschäft. Hacker streben nun nicht mehr nach Ruhm, sondern nach Besitz, indem sie Kreditkarten- und Bankkontonummern, geistiges Eigentum sowie Namen und Adressen von Kunden stehlen – alles, was geschäftlichen Wert besitzt oder für finanzielle Zwecke genutzt werden kann. Andere, die früher aus Jux und Dollerei den Warenverkehr im Internet lahm gelegt haben, erpressen jetzt Unternehmen, indem sie den Zugriff auf deren InternetAngebot blockieren. Um im Bild zu bleiben: Die Vandalen von früher sind die Autoknacker von heute. Die zunehmende Verwendung von Spyware und Adware, also bösartigen Programmen, die wichtige Informationen entdecken und an Dritte außerhalb Ihres Unternehmens weiterleiten können, ist eindeutig profitorientiert. Aus diesem Grund wollen diese Programme unerkannt bleiben. Wenn Ihr Unternehmen telefonische Bestellungen annimmt, geben Ihre Kundendienstmitarbeiter wahrscheinlich die Kreditkartennummern Ihrer Kunden in ein Bestell-Managementsystem ein. Nehmen wir an, Ihr Computer ist mit einem Keylogger (einer weniger bekannten Art von Spyware) infiziert, der die Kreditkartennummern heimlich aufzeichnet und sie nach außen an einen Dieb weiterreicht. Je länger der Keylogger unerkannt bleibt, umso mehr Kreditkartennummern kann er entwenden und umso größer ist die Beute. Eine einfache Gleichung. Hier kommen die Rootkits ins Spiel. Der Keylogger wird nicht einfach installiert, sondern in einem Rootkit “verpackt”. Das Rootkit verändert die Betriebssystemdateien des Computers so, dass der Benutzer – und viele Sicherheitslösungen – die Malware nicht erkennen können. Dadurch verbleibt der Keylogger auf Ihrem Computer. In der Zwischenzeit erhalten Ihre Kunden Anrufe von ihrem Kreditkartenunternehmen, das sich nach Lastschriften aus São Paulo oder Bukarest erkundigt. Diese Kunden finden heraus, dass Ihr Unternehmen die Ursache des Problems ist. Das Rootkit hat die Kreditkartennummern nicht ausspioniert, es hat nur die dafür zuständige Spyware versteckt bzw. “getarnt”.

III. SO FUNKTIONIEREN ROOTKITS Rootkits verändern das Betriebssystem, um Spyware zu verbergen. Ein Rootkit kann z.B. den Windows Explorer verändern, der für die Darstellung der Benutzeroberfläche auf dem Bildschirm zuständig ist und Eingaben des Benutzers ermöglicht. In diesem Fall wird die Spyware nicht in der Verzeichnisstruktur angezeigt. Das Rootkit kann aber auch die Sicherheits-Software anhalten, die versucht, die mit der Spyware infizierten Sektoren der Festplatte nach Viren zu durchsuchen, indem es die Suche auf einen anderen, nicht infizierten Teil der Festplatte umleitet. Die Sicherheits-Software schöpft keinen Verdacht, und die Spyware bleibt unbehelligt. Obwohl die Technologie hinter den Rootkits sehr ausgefeilt ist, können sich auch unerfahrene Hacker über öffentlich zugängliche Quellen über deren Nutzung informieren. Der Quellcode für funktionsfähige Rootkits ist im Internet verfügbar. Auch wenn diese “Einsteiger”-Rootkits nicht zur Tarnung optimiert sind, können sie gegen unzureichend geschützte Netzwerke dennoch sehr wirkungsvoll eingesetzt werden.

4

Whitepaper I Rootkits


ROOTKITS

IV. SCHUTZ VOR ROOTKITS Rootkits verbreiten sich in gleicher Weise wie Viren und andere Bedrohungen: per E-Mail, Instant Messaging und Websites – über alle Kanäle, mit denen Sie außerhalb Ihres Unternehmens kommunizieren. Erfreulicherweise ist Trend Micro einer der wenigen Sicherheitsanbieter leistungsfähiger Gateway- und Endgerätelösungen, die Rootkits noch vor dem Angriff auf Ihr Betriebssystem abwehren. Die besten Sicherheitslösungen umfassen zwei wirkungsvolle Strategien, um die Tarnungsmechanismen von Rootkits auszuhebeln: Funktionen des Betriebssystems umgehen Wie bereits erwähnt, verändern Rootkits oft zum Zweck der Tarnung Funktionen des Betriebssystems. Eine Sicherheitslösung zur Abwehr von Rootkits umgeht besonders anfällige Funktionen des Betriebssystems und erstellt stattdessen eine eigene Verzeichnisstruktur, in der die Rootkits und die zugehörige Spyware offen angezeigt werden. Systemverhalten überwachen Durch die zunehmende Verbreitung und Entdeckung von Rootkits erfahren Anbieter von Sicherheitslösungen immer mehr über deren spezifisches Verhalten. Dieses Wissen können sie nutzen, um ihre Sicherheitslösungen mit besseren Funktionen zur Entdeckung von Rootkits auszustatten.

V. WIE TREND MICRO TECHNOLOGIE VOR ROOTKITS SCHÜTZT Trend Micro hat die Funktionsweise der Rootkits eingehend untersucht und zum Schutz Ihrer Daten ausgereifte Methoden zur Erkennung und Entfernung entwickelt. Die Technologie von Trend Micro kann nicht nur beschädigte Ebenen des Betriebssystems oder manipulierte Windows APIs erkennen, sondern auch die Ursache dafür. Mit diesem “Röntgenblick” werden die von Rootkits verwendeten Abwehrmechanismen gezielt durchleuchtet. Sobald die Sicherheits-Software Bedrohungen erkennt, die das Rootkit zu verstecken versucht, kann die Bedrohung entfernt werden. Um Ihr Unternehmen vor dieser wachsenden Bedrohung zu schützen, wenden Sie sich an Ihren Trend Micro Händler oder besuchen Sie unsere Website: www.trendmicro-europe.com.

VI. ANHANG A: EINE KURZE GESCHICHTE DER ROOTKITS Das Verdecken und Verschleiern von Vireninfektionen hat bereits eine lange Geschichte. In den 80er Jahren waren Brain und Frodo die ersten Viren, die das Betriebssystem DOS von IBM veränderten, um die Infektionen vor dem aufmerksamen Benutzer zu verbergen. Der Virus Brain leitete einfach alle Versuche, den Bootsektor des infizierten Datenträgers zu lesen, auf einen anderen Teil des Datenträgers um; der Dateivirus Frodo hingegen veränderte den dir-Befehl so, dass die ursprüngliche Größe der infizierten Dateien angezeigt und somit die Infektion verschleiert wurde. In den nächsten Jahren verwendete Malware, wie z.B. Trojaner, Tarntechniken, um auf den betroffenen Systemen nicht erkannt zu werden und dadurch länger dort zu verbleiben. Anstatt einzelne Funktionen oder eingebaute Betriebssystembefehle zu verändern, veränderten sie die entsprechenden Funktionsaufrufe. Diese Methode ist weitaus wirkungsvoller, da sie alle Anwendungen, die einen bestimmten Funktionsaufruf verwenden, in die Irre führt – auch einige Antiviren-Lösungen. Dieser auch als “Hooking” bezeichnete Prozess kann die Funktion entweder vollständig auf eine Ersatzfunktion umleiten oder, was häufiger der Fall ist, einen Aufruf des bösartigen Codes vor oder nach dem eigentlichen Funktionsaufruf hinzufügen. Auf diese Weise können alle Spuren der Malware-Datei aus dem Rückgabewert der Funktion gelöscht werden. Dadurch ist die Datei im Endeffekt für alle Anwendungen unsichtbar, die die Verzeichnisfunktion des Betriebssystems verwenden.

5

Whitepaper I Rootkits


ROOTKITS

VII. ANHANG B: ROOTKITS IN AKTION Dieser Abschnitt zeigt, wie ein Rootkit vorhandene Malware verbergen kann. Im Beispiel ist BKDR_HACDEF.A-73 ein Virus, der in einem Rootkit verpackt ist. Abbildung 1 zeigt die Windows Verzeichnisliste vor der Ausführung des Rootkits.

Abbildung 1. Verzeichnisliste vor der Ausführung des Rootkits Beachten Sie, dass die Malware-Datei hier noch für den Benutzer sichtbar ist.

Wenn die Malware ausgeführt wird, verändert sie den Windows Funktionsaufruf, der den Inhalt von Verzeichnissen anzeigt. Der Inhalt wird verborgen, siehe Abbildung 2.

Abbildung 2. Verzeichnisliste nach der Ausführung des Rootkits Der Virus wird weder im Windows Explorer noch nach der Eingabe des DIR-Befehls angezeigt.

6

Whitepaper I Rootkits


ROOTKITS

In diesem Fall ist die Datei jedoch nicht vollständig verborgen. Da uns der Dateiname bereits bekannt ist, kann die Datei in Notepad geöffnet werden (ein Windows Tool, das nicht vom Rootkit beeinträchtigt wurde, siehe Abbildung 3).

Abbildung 3. Ansicht des Inhalts der Malware-Datei in Notepad Der Benutzer muss allerdings von der Existenz der Datei wissen und den genauen Dateinamen kennen, um sie mit Notepad zu öffnen.

Außerdem wird der Inhalt von freigegebenen Ordnern oder Laufwerken immer auch auf dem externen Computer angezeigt, siehe Abbildung 4. Die Ursache ist, dass die Aktionen des Rootkits nur den lokalen Computer betreffen und keine Auswirkungen auf die Windows Funktionen des externen Computers haben.

Abbildung 4. Ansicht auf einem externen Computer mit Zugriff auf dieses Verzeichnis Da das Rootkit die Windows Funktionen des externen Systems nicht verändert hat, ist die Malware-Datei von dort aus noch sichtbar.

7

Whitepaper I Rootkits


ROOTKITS

VIII. ANHANG C: ROOTKITS IM BETRIEBSSYSTEM Die Betriebssysteme von heute bieten ein höheres Maß an Sicherheit, da Anwendungen eigenen Bereichen zugeordnet sind und nur eingeschränkt auf kritische Ressourcen zugreifen können. Jeder Anwendung ist ein spezifischer Speicherbereich zugeordnet. Dadurch wird verhindert, dass sie auf den Speicher einer anderen Anwendung zugreift oder daran Änderungen vornimmt. Solche Anwendungen werden auch Benutzermodusprozesse genannt, siehe Abbildung 5. Der zentrale Teil des Betriebssystems sowie die Treiber (Module, die Zugriff auf die Hardware gewähren) werden im Kernel-Modus ausgeführt. Prozesse im Kernel-Modus können auf den gesamten Speicher im System zugreifen und daran – sowie am Betriebssystem selbst – Änderungen vornehmen.

Schicht 3 Schicht 2 Schicht 1 Schicht 0 Kernel-Modus Benutzermodus

Übergang

Abbildung 5. Sicherheitsschichten eines Betriebssystems

Rootkits können entweder im Benutzer- oder im Kernel-Modus arbeiten. Das höchste Ziel eines RootkitEntwicklers ist es, einen Kernel-Modus-Rootkit zu schreiben, da dieser am besten auf das System zugreifen kann. Die Kernel-Programmierung erfordert jedoch Expertenwissen und ein hohes Maß an Erfahrung, das den Horizont vieler Hacker übersteigt. Außerdem ist die Installation und Verbreitung eines Kernel-Modus-Treibers oder -Moduls nicht einfach. Die meisten Rootkits zielen deshalb auf den Benutzermodus ab, genauer gesagt, auf die Windows API. Die Veränderung der Funktionsaufrufe der Windows API ist leichter zu bewerkstelligen und erfordert geringere Programmierkenntnisse. Die Anti-Rootkit-Technologie von Trend Micro wehrt Rootkits ab, indem sie Funktionen des Betriebssystems umgeht. So kann die Sicherheits-Software die Malware enttarnen und entfernen.

Trend Micro ™ Trend Micro Incorporated leistet Pionierarbeit im Bereich ContentSecurity und bei der Bewältigung von Bedrohungen. Das 1988 gegründete Unternehmen bietet Privatpersonen und Unternehmen jeder Größe mehrfach ausgezeichnete Sicherheits-Software, -Hardware und -Services. Der Hauptfirmensitz befindet sich in Tokyo. Trend Micro unterhält Niederlassungen in über 30 Ländern und vertreibt seine Produkte weltweit durch Corporate und ValueAdded-Reseller und Dienstleister. Weitere Informationen und Testversionen aller Produkte von Trend Micro finden Sie auf unserer Website unter www.trendmicro-europe.com. 8

Whitepaper I Rootkits

Trend Micro Deutschland GmbH Central & Eastern Europe Lise-Meitner-Straße 4 D-85716 Unterschleißheim Tel: +49 (0) 89 37479-700 Fax: +49 (0) 89 37479-799 www.trendmicro-europe.com

©2006 by Trend Micro Incorporated. Alle Rechte vorbehalten. Trend Micro, das T-Ball Logo, InterScan, OfficeScan, ScanMail, ServerProtect, Trend Micro Control Manager, TrendLabs und VirusWall sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- und/oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer. Die in diesem Dokument enthaltenen Informationen können sich ohne vorherige Ankündigung ändern. [WP03Rootkits_070104DE]

http://www.pressebox.de/attachment/45857/Trend Micro Whitepaper_Rootkits  

http://www.pressebox.de/attachment/45857/Trend Micro Whitepaper_Rootkits.pdf

Read more
Read more
Similar to
Popular now
Just for you