Barracuda full logo

Malware 101: Dateisystemumgehung – Rootkits und Bootkits

Themen:
7. Dez.. 2023
|
Jonathan Tanner

Auch wenn Anti-Malware-Lösungen für Endpunkte ein leistungsstarkes Werkzeug zum Erkennen und Stoppen von Malware sein können, unterliegen sie dennoch den Regeln und Einschränkungen, die für die gesamte auf einem System ausgeführte Software gelten. Auch Malware ist in der Regel an diese Regeln und Beschränkungen gebunden, aber Malware-Autoren halten sich nicht gerne an die Regeln und der effektivste Weg, diese Regeln zu überwinden (abgesehen vom Ausnutzen von Fehlern in der Software), besteht darin, die Regeln umzuschreiben. Noch effektiver ist es, tief im System zu verbleiben, am selben Ort wie die Regeln.

Wie Rootkits und Bootkits in Malware verwendet werden

Rootkits werden auf der höchsten Berechtigungsebene auf einem System ausgeführt – Root oder Admin. Diese Zugriffsebene kann es der Malware ermöglichen, das System zu kontrollieren, einschließlich jeglicher Anti-Malware-Software und sogar der Signale, auf die sich Anti-Malware-Software verlässt, um die Malware-Erkennung zu erleichtern. Diese Zugriffsebene ermöglicht es einer erfolgreichen Rootkit-Infektion auch, Spuren der Infektion zu beseitigen, indem Systemwarnungen oder Protokolle geändert werden, die auf das Vorhandensein des Rootkits hingewiesen haben könnten. Darüber hinaus kann die Malware mit dieser Zugriffsebene jede Datei auf dem System verändern, einschließlich der Dateien, die den Kern des Betriebssystems bilden – den Kernel. Manchmal betten sich Rootkits auch in die Firmware ein – die Software, die in Hardwarekomponenten integriert ist und es ihnen ermöglicht, zu funktionieren und sich mit den Systemen zu verbinden, an die sie angeschlossen sind.

Eine bestimmte Art von Rootkit ist sowohl üblich als auch spezifisch genug, um eine eigene Klassifizierung zu rechtfertigen – das Bootkit. Bootkits infizieren den Bootsektor – den Code, der zum Booten des Systems und Laden des Betriebssystems verwendet wird, z. B. den Master Boot Record (MBR). Dadurch wird nicht nur sichergestellt, dass der Schadcode vor dem Betriebssystem ausgeführt wird, sondern auch, dass das Bootkit von Standardprozessen des Betriebssystems nicht erkannt wird. Die Elk Cloner- und Michaelangelo-Viren, die in einem früheren Artikel erwähnt wurden, waren ebenfalls Bootkits, da sie sich im Bootsektor versteckten. Nicht jedes Bootkit ist jedoch ein Bootsektorvirus, da sich ein Virus auf andere Dateien überträgt, während ein Bootkit sich einfach im Bootsektor befindet, um sich der Erkennung zu entziehen und die Abhilfe zu erschweren.

Wie sich die Sicherheit angepasst hat, um zu versuchen, Rootkits und Bootkits zu stoppen

Bootkits sind im Laufe der Jahre seltener geworden, da neue Sicherheitsmaßnahmen wie der sichere Start durch neuere BIOS-Spezifikationen wie UEFI es schwieriger gemacht haben, den Bootsektor zu infizieren. Diese Schutzmaßnahmen erzwingen die Codesignierung aller am Bootsektor vorgenommenen Aktualisierungen. Diese Sicherheit kann jedoch in den BIOS-Einstellungen deaktiviert werden, sodass sie nicht immer auf allen Systemen wirksam ist. Einige Endpunktschutz- und Anti-Malware-Angebote haben sich im Laufe der Jahre auch an Rootkits und Bootkits angepasst, um Benutzer besser zu schützen. Durch die Verwendung heuristischer Daten, Speicherauszüge und in manchen Fällen sogar die Umwandlung der Schutzsoftware in ein Rootkit, um einen besseren Schutz vor solcher Malware zu ermöglichen, hat sich die Erkennungsfähigkeit von Rootkits verbessert.

Natürlich können Rootkits die Schutzsoftware einfach deaktivieren, wenn sie so programmiert sind. Daher ist es in manchen Fällen effektiver, mit einem externen Tool oder einem Betriebssystem, das live gebootet wird, nach Rootkits zu suchen – gebootet von einem externen Medium wie einer CD-ROM oder einem USB-Stick, ohne das installierte Betriebssystem zu starten.

Um sich effektiv zu verstecken und die von einem System erzeugten Signale zu verändern, ist ein hohes Maß an Wissen darüber erforderlich, wie das System selbst funktioniert. Das macht das Schreiben eines effektiven Rootkits zu einer schwierigen Aufgabe, zu der nicht alle Malware-Autoren in der Lage sind. Für Personen mit diesem Wissens- und Fähigkeitsniveau können die Ergebnisse jedoch äußerst effektiv sein. Insbesondere Firmware-Rootkits können nicht nur besonders schwer zu erkennen, sondern auch zu beheben sein. In einigen Fällen erfordert die Behebung den vollständigen Austausch der Hardwarekomponente. In anderen Fällen und bei Kernel-Rootkits ist oft eine Neuinstallation der gesamten Systemsoftware von Grund auf erforderlich.

Wie erfolgreiche Angriffe umfunktioniert und wiederverwendet werden

Während Malware im Allgemeinen dann am effektivsten ist, wenn sie von Grund auf neu erstellt wird und keine Codefragmente enthält, die möglicherweise bereits durch Signaturscans erkannt werden, ist es bei komplexer Malware wie Rootkits nicht ungewöhnlich, dass Malware-Autoren weit verbreitete und effektive Malware-Samples als Grundlage für ihre eigene Malware verwenden. Der Stuxnet-Wurm, bei dem es sich ebenfalls um ein Rootkit handelte, war nicht nur eines der berüchtigtsten Rootkits der Geschichte, sondern wurde aufgrund seiner Komplexität auch häufig bei der Entwicklung anderer Malware – insbesondere Duqu und Flame – wiederverwendet. Die von ihm genutzten und und in Umlauf gebrachten Zero-Day-Exploits wurden sogar noch häufiger wiederverwendet.

Da es für Malware keine Urheberrechtsbeschränkungen gibt – und die Autoren von Malware würden sich gar nicht erst an solche Beschränkungen halten, wenn es sie gäbe – ist es nicht ungewöhnlich, dass Malware in neue Varianten umgewandelt wird oder dass Komponenten davon wiederverwendet werden. Gelegentlich sickert sogar der Quellcode für eine bestimmte Variante durch oder wird veröffentlicht, was zu neuen Varianten führt, die darauf basieren.

Evasion ist eine besonders wertvolle Malware-Kategorie für diejenigen, die Malware schreiben. Der Einsatz von Umgehungstechniken hilft dabei, Sicherheitssoftware zu umgehen, was wiederum die Erfolgsaussichten der Malware insgesamt erhöht. Selbst die ausgeklügeltsten Ziele nützen nichts, wenn die Malware blockiert wird, bevor sie sie erreichen kann. Während viele Kampagnen eher auf auf die Menge als auf Raffinesse setzen, um die Ziele der Angreifer zu erreichen, werden fortgeschrittenere Angreifer mit spezifischeren Zielen wie Advanced Persistent Threats (APTs) oft die Zeit und den Aufwand investieren, um sich der Entdeckung zu entziehen, insbesondere wenn die Malware nur wenige oder sogar nur ein einziges Unternehmen angreift.

Die anderen Artikel der Reihe Malware 101 finden Sie hier

 

Jonathan Tanner

Jonathan ist ein Senior Security Researcher bei Barracuda Networks. Hier können Sie ihn auf LinkedIn kontaktieren.

Verwandte Beiträge:
Malware 101: Erkennung und Behebung
Malware 101: Erkennung und Behebung
 Malware 101: Prävention
Malware 101: Prävention
 Malware-Grundlagen: Umgehung des Dateisystems – nur im Speicher und in der Registrierung
Malware-Grundlagen: Umgehung des Dateisystems – nur im Speicher und in der Registrierung
Malware 101: Logikbomben verwenden, um der Entdeckung zu entgehen
Malware 101: Logikbomben verwenden, um der Entdeckung zu entgehen

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.