Tipp

FAQ: Rootkit-Erkennung und Malware-Entfernung

Redaktion SearchEnterpriseDesktop.com

Seit Jahren müssen IT-Administratoren dafür sorgen, dass sie über die immer neuen Bedrohungen für Windows-Systeme in Unternehmen auf dem Laufenden bleiben. Die Angriffe reichen von lästigen Blue Screens und Proofs of Concept bis zu Keyloggern und Spyware, die gezielt auf den Diebstahl von wichtigen Geschäftsdaten ausgelegt sind. Die folgenden Experten-Tipps zum Schutz vor Rootkits können Ihnen dabei helfen, Ihre Desktop-Rechner, Netzwerke und mobilen Geräte zu sichern. Dieses Wissen sollte, zusammen mit Antivirus-Tools, Passwörtern, Rootkit-Erkennung und Best Practices für die Entfernung Teil des Werkzeugkastens jedes Desktop-Administrators sein.

    Kostenlose Registrierung notwendig

    • Um diesen Artikel vollständig zu lesen, melden Sie sich bitte kostenlos an. Falls Sie schon ein Mitlgied sind, loggen Sie sich einfach oben links auf der Webseite an.

      Mit dem Absenden bestätige ich, dass ich die Bedingungen und die Einverständniserklärung gelesen habe und diese akzeptiere.

Was ist ein Rootkit?

Rootkits sind Werkzeuge oder Programme, mit denen sich Administrator-Zugriff auf Computer oder Netzwerke erlangen lässt. Sie können Zugriff auf das BIOS eines Systems ermöglichen und werden nicht immer in böswilliger Absicht entwickelt. Trotzdem können Angriffe mit BIOS-Rootkits dazu führen, dass eine Festplatte komplett gelöscht und mit einem neuen Image versehen werden muss.

Tatsächlich können Rootkits aus überraschenden Quellen stammen und ebenso störend sein wie Viren oder Spyware. So fand der Sicherheitsexperte Mark Russinovich vor einigen Jahren heraus, dass die Komponente für Digital Rights Management (DRM) auf einer Audio-CD von Sony ein Rootkit auf seinem Computer installiert hatte.

„Dies schafft Gelegenheiten für Viren-Schreiber“, sagt Mikko Hypponen, Leiter der Antivirus-Forschung bei dem finnischen Unternehmen F-Secure Corp. „Diese Rootkits lassen sich mit jeglicher Malware nutzen, was dann dazu führt, dass Firmen wie wir es schwerer haben, bösartige Aktivitäten von legitimen zu unterscheiden“.

Außer für Windows-Systeme mit 64 Bit wurde auch für virtuelle Maschinen und Smartphones gezeigt, dass sie anfällig für Rootkits sind. Also sollte es sich lohnen, Best Practices für die Rootkit-Erkennung und -Entfernung zu kennen und zu beachten.

Wie lässt sich ein Rootkit entdecken?

Rootkit-Technologien sind bereits an vielen Orten in Erscheinung getreten, unter anderem in kommerziellen Sicherheitsprodukten und scheinbar harmlosen Erweiterungen für Anwendungen. Rootkit-Installationen auf einem Computer zu finden und zu entfernen, ist keine exakte Wissenschaft, weil sie auf vielerlei Arten dorthin gelangen können. Noch gibt es kein Tool, das alle Rootkits und Rootkit-artiges Verhalten korrekt identifizieren könnte.

Beim Feststellen, ob hinter den Kulissen ein Rootkit aktiv ist, helfen Werkzeuge zur Systemprozess-Analyse wie der ProcessExplorer von Sysinternals oder, noch besser, ein Netzwerk-Analysator. Wahrscheinlich werden Sie überrascht darüber sein, was Ihre Programme alles machen und was alles über Ihren Netzwerk-Adapter läuft. Möglicherweise stellen Sie dabei auch fest, dass Sie ein überlastetes System mit zu wenig Arbeitsspeicher oder einer stark fragmentierten Festplatte betreiben. Überprüfen Sie Ihre System-Konfiguration und starten Sie einen Rootkit-Scan.

1. Durchsuchen Sie den System-Arbeitsspeicher. Beobachten Sie alle Ingress-Punkte beim Invoke eines Prozesses und achten Sie auf importierte Library-Aufrufe (von Dynamic Link Libraries), die abgefangen oder umgeleitet werden könnten. Der Nachteil bei diesem Ansatz zur Rootkit-Erkennung besteht darin, dass er mühsam und zeitaufwendig ist und nicht alle Möglichkeiten abdeckt, wie ein Rootkit in ein System gelangen kann.

2. Suchen Sie die Wahrheit – unehrliche APIs entlarven. Eine der Anwendungen zur Rootkit-Entdeckung unter Windows ist Rootkit Revealer von den Windows-Sicherheitsanalysten Bryce Cogswell und Mark Russinovich. Dieses schlanke Binary durchsucht die Orte von Dateisystemen und Registry-Zweige nach Informationen, die vor dem Application Programming Interface (API) von Windows, dem Master File Table und dem Verzeichnis-Index verborgen sind. Ein weiteres Tool stammt von Jamie Butler, dem Autor des Buches „Subverting the Windows Kernel: Rootkits“: VICE sucht systematisch nach Hooks in APIs, Call-Tabellen und Funktionszeigern.

3. Bleiben Sie bezüglich Software für Viren- und Malware-Schutz auf dem Laufenden. Sicherheitsanbieter wie F-Secure bieten Standalone-Tools für Rootkit-Erkennung, und selbst Microsoft hat in sein Malicious Software Removal Tool Funktionen zur Rootkit-Erkennnug eingebaut. Als Teil Ihres Sicherheitskonzepts ist es wichtig, dass Sie das beste verfügbare Scan-Werkzeug verwenden, manchmal aber werden Sie auch manuelle Suchen vornehmen müssen.

4. Halten Sie Ihren Firewall-Schutz aktuell. Um einen möglichen Angriff effektiv zu verschleiern, muss ein Hacker nach der Kompromittierung einer Maschine erneut auf diese zugreifen können. Firewalls beheben zwar keine Risiken auf Anwendungsebene, doch wenn sie den Wiederzugriff auf den Computer eines Opfers verhindern, können sie für Angreifer eine große Hürde darstellen.

5. Härten Sie Ihre Workstation oder Server gegen Angriffe. Dieser proaktive Schritt kann einen Angreifer von vornherein davon abhalten, ein Rootkit auf Ihrem System zu installieren. Die National Security Agency der USA veröffentlicht Richtlinien zur Härtung von Windows-Umgebungen.

Wie lassen sich Rootkits entfernen?

Rootkits sind auf den Hosts der Opfer relativ leicht zu installieren. Einem entschlossenen Hacker stehen dafür eine Reihe von Methoden zur Verfügung: von der Ausnutzung von Windows-Schwachstellen über das Knacken eines Passworts bis hin zur Erlangung von physischem Zugriff auf ein System. Ebenfalls möglich ist ein Phishing-Angriff, bei dem ein Hacker einen Nutzer dazu bringt, eine ausführbare Datei in einem E-Mail-Anhang oder hinter einem Hyperlink anzuklicken. Wenn sie dann einmal installiert sind, ist es nicht so einfach, Rootkits wieder loszuwerden.

Weil Rootkits als Bedrohung nicht derart weit verbreitet sind wie Viren oder Spyware, ist ihre Entfernung weitgehend ein reaktiver Prozess. Wenn Sie eines gefunden haben, müssen Sie kontaminierte Windows-Dateien säubern und nach der Entfernung noch einmal prüfen, ob die Aktion wirklich erfolgreich war.

Welche Werkzeuge zur Rootkit-Entfernung gibt es?

Microsoft-Werkzeuge wie die Verschlüsselungsfunktion, Microsoft Security Essentials und BitLocker können bei der Entfernung von Rootkits helfen. Zusätzlich soll Windows 8 nach Microsoft-Angaben bessere Sicherheitstechniken enthalten.

Neben den oben erwähnten Werkzeugen von F-Secure und Sysinternals gibt es außerdem mehrere Tools von Drittanbietern zur Entfernung von Rootkits aus Windows-Systemen. Sophos Anti-Rootkit zum Beispiel hat eine Installationsroutine, nach der das Executable von Hand ausgeführt werden muss. Es bietet mehr Nutzer-Interaktivität als BlackLight, scannt Ihr System aber langsamer. Ein weiteres Werkzeug ist der Rootkit Hook Analyzer. Probieren Sie alle durch und entscheiden Sie dann, welche(s) davon am besten zu Ihren Anforderungen passt.

Warum braucht man für die Rootkit-Entfernung Backups?

Denken Sie daran: Ordentliche Backups machen es leichter, Systeme nach der Entfernung von Rootkits und Botnets wiederherzustellen. Die Entfernung eines Rootkits mit einem Säuberungswerkzeug kann Windows in einem instabilen oder nicht betriebsbereiten Zustand hinterlassen, sagt der Sicherheitsexperte Kevin Beaver – je nachdem, welche Dateien infiziert waren und dann gesäubert wurden. Oder noch schlimmer: Ein gut programmiertes Rootkit könnte den Entfernungsprozess bemerken und sich selbst zerstören, und Ihre Daten mit sich nehmen.

Lesen Sie die aktuellen Bedienungsanleitungen für Ihre Scanning-Tools, um zu erfahren, welche besonderen Schritte vor, während und nach der Säuberung vorzunehmen sind. Wenn Sie dann ein Rootkit gefunden und entfernt haben, scannen Sie das System nach dem Neustart noch einmal. So können Sie ganz sicher sein, dass es vollständig gesäubert wurde und die Malware nicht zurückgekehrt ist. Hinzu kommt wie üblich: Am besten ist es in Bezug auf Windows-Sicherheitsgefahren immer noch, zu verhindern, dass Malware überhaupt auf Enterprise-Systeme und Systeme gelangt, die mit Unternehmensnetzwerken verbunden sind.

Sie sind immer noch etwas paranoid in Bezug auf Rootkit-Infektionen und wollen ganz sichergehen, dass Ihr System frei davon ist? Die beste und sicherste Methode ist es dann, die Windows-Festplatte neu zu partitionieren, zu formatieren und das System neu aufzuspielen. Die Wiederherstellung von Windows kann viele Probleme bereiten. Doch wenn Sie es wirklich ernst meinen, sollten Sie davor nicht zurückschrecken.

Artikel wurde zuletzt im Juli 2012 aktualisiert

Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.

    Haftungsausschluss: Unser Tipp-Austausch ist ein Forum, in welchem Sie technische Beratung und Fachkenntnisse mit Ihrem Peers teilen können, sowie auch von anderen IT-Profis lernen können. TechTarget bietet die Infrastruktur, um dieses Teilen von Informationen zu erleichtern. Wie auch immer, wir können nicht die Genauigkeit oder die Gültigkeit des vorgelegten Materials garantieren. Sie stimmen zu, dass Ihre Benutzung von dem „Fragen Sie den Experten“ Service, sowie auch Ihr Vertrauen von jeglichen Fragen, Antworten, Informationen oder anderen empfangenen Materialien von dieser Webseite auf Ihre eigenes Risiko läuft.