Rootkit-Malware bezeichnet Software, mit der böswillige Akteure die Kontrolle über ein Computernetzwerk oder eine Anwendung erlangen. Nach der Aktivierung richtet das böswillige Programm ein Backdoor-Exploit ein und überträgt möglicherweise weitere Malware, z. B. Ransomware, Bots, Keylogger oder Trojaner. Rootkits sind schwer zu erkennen und können deshalb über Jahre bestehen bleiben. Das ist zum Teil darauf zurückzuführen, dass sie manche Virenschutz- und Malware-Scan-Software blockieren können.

Arten von Rootkits

Bekannte Rootkits können in breitere Familien eingeteilt werden, es gibt aber auch viele Hybridvarianten. Die wesentlichen Familien sind:

Firmware-Rootkits

Ein Firmware-Rootkit zielt auf die Software ab, die bestimmten Hardware-Komponenten zugrunde liegt. Es dockt an die Software an, die während des Startprozesses vor dem Starten des Betriebssystems ausgeführt wird. Diese Rootkits sind besonders gut getarnt, weil sie auch bei Neuinstallation des Betriebssystems aktiv bleiben können.

Die Nutzung von Firmware-Rootkits hat zugenommen, seit die Technologie von unveränderbarer BIOS-Software zu remote aktualisierbarer BIOS-Software übergegangen ist. Cloud-Computing-Systeme, bei denen mehrere virtuelle Maschinen auf einem einzigen physischen System ausgeführt werden, sind ebenfalls anfällig.

Beispiele für Firmware-Rootkits:

  • UEFI-Rootkit
  • Cloaker
  • VGA-Rootkit

Kernel-Modus-Rootkits

Ein Kernel-Modus-Rootkit ist eine raffinierte Malware, die Code zum Betriebssystem hinzufügen oder Betriebssystemcode löschen und bearbeiten kann. Solche Rootkits sind schwer zu erstellen und wenn sie fehlerhaft sind, wird die Leistung des Computers stark beeinträchtigt. Das einzig Positive daran: Ein fehlerhaftes Kernel-Modus-Rootkit hinterlässt Spuren, die eine Virenschutzlösung erkennt.

Beispiele für Kernel-Modus-Rootkits:

  • Spicy Hot Pot
  • FU
  • Knark

Bootloader-Rootkits

Das Ziel von Bootloader-Rootkits, die zusammen mit dem Betriebssystem gestartet werden, sind der Master Boot Record (MBR, der erste Code, der beim Starten eines Computers ausgeführt wird) oder der Volume Boot Record (VBR, enthält den zum Initiieren des Startprozesses erforderlichen Code oder den Code zum Laden eines Betriebssystems oder einer Anwendung). Bootloader-Rootkits hängen sich an einen dieser Datensätze an und tauchen deshalb in einer Standard-Dateisystemansicht nicht auf. Für Virenschutz- oder Rootkit-Entfernungslösungen sind sie schwer zu erkennen.

Beispiele für Bootloader-Rootkits:

  • Stoned Bootkit
  • Olmasco
  • Rovnix

Virtualisierte Rootkits

Im Gegensatz zu Kernel-Modus-Rootkits, die gleichzeitig mit dem angegriffenen System gestartet werden, werden virtualisierte Rootkits vor dem Betriebssystem gestartet. Sie verankern sich tief im Computer und sind extrem schwer – wenn nicht sogar unmöglich – zu entfernen.

User-Modus-Rootkits

User-Modus-Rootkits verändern das Verhalten von APIs. Sie können Administratoren falsche Informationen ausgeben, Systemaufrufe abfangen, Prozessausgaben filtern und andere Maßnahmen ergreifen, um ihre Anwesenheit zu verschleiern. Da User-Modus-Rootkits aber auf Anwendungen statt Betriebssysteme oder andere kritische Prozesse abzielen, hinterlassen sie Spuren, auf die Virenschutz- oder Rootkit-Entfernungslösungen reagieren. Rootkits dieser Art sind nicht so schwer zu entfernen wie andere Arten von Rootkit-Malware.

Beispiele für User-Modus-Rootkits:

  • Vanquish
  • Hacker Defender
  • Aphex

Arbeitsspeicher-Rootkits

Arbeitsspeicher-Rootkits werden in den RAM geladen und bleiben daher nur solange bestehen, bis der RAM-Inhalt beim Neustart des Systems gelöscht wird. Wenn diese Rootkits aktiv sind, belegen sie die Ressourcen des Zielsystems und reduzieren dementsprechend seine RAM-Leistung.

Beispiel für Arbeitsspeicher-Rootkit: Spicy Hot Pot

CrowdStrike hat einen interessanten Rootkit-Fall aufgedeckt, bei dem das Rootkit den Browser kapert, um die Startseiten von Benutzern in eine durch den Angreifer kontrollierte Seite zu ändern. Dieser Ansatz unterscheidet sich von typischen Browser-Hijackern, die böswillige ausführbare Dateien oder Registrierungsschlüssel verwenden, um die Startseiten von Benutzern zu ändern.

Das Rootkit

Diese Spicy Hot Pot genannte Malware lädt Speicher-Dumps von Benutzersystemen auf die Server seiner Betreiber und fügt eine lokale Update-Funktion ein, mit der sichergestellt wird, dass die Malware immer auf dem aktuellen Stand bleiben kann. Als Verbesserung im Vergleich zu früheren Browser-Hijackern nutzt Spicy Hot Pot einen weiteren Schritt, um unentdeckt zu bleiben: Die Malware legt zwei Kernel-Modus-Treiber auf der Festplatte ab und diese installieren sich während des Malware-Infektionsprozesses selbst.

Diese böswilligen Treiber haben verschiedene Funktionen, z. B.:

  • Verhindern, dass Sicherheitssoftware Callback-Funktionen abfängt
  • Erfassen von Speicher-Dumps, die auf dem Computersystem aus einem bestimmten Verzeichnis heraus erstellt wurden
  • Möglichkeit für böswillige Akteure, die Malware nach Belieben zu aktualisieren
  • Abfangen und Verändern von E/A-Anfragen von Benutzern
  • Abfangen der Versuche von Administratoren, böswillige Dateien anzuzeigen, sodass sie auch bei Verwendung von Rootkit-Scannern effektiv verborgen bleiben

Erkennung

Spicy Hot Pot wurde aufgedeckt, als das CrowdStrike Falcon Complete™-Team auf eine verdächtige Binärdatei aufmerksam wurde, die Ausführungsversuche in der Windows 10-Umgebung eines Kunden initiierte. Untersuchungen ergaben, dass die Binärdatei mit einem Browser-Hijacking-Rootkit verknüpft war. Das Rootkit platzierte sieben ausführbare Dateien und zwei böswillige Treiber auf dem Kundensystem, bevor es den Ruhezustand des angegriffenen Rechners deaktivierte. Die auf der Festplatte abgelegten Kernel-Treiber waren für Benutzer nicht sichtbar, da das Rootkit die Anzeige der Malware-Dateien verhinderte.

Untersuchung

Das CrowdStrike-Team erkannte, dass es sich bei dem Rootkit um eine bereits 2019 beobachtete Malware handelte, von der seitdem mehrere Varianten erstellt wurden. CrowdStrike konnte die Aktionen der Malware simulieren und entdeckte dabei die Anwesenheit einer Variante, die noch stärker verbreitet war als das untersuchte Rootkit. Sie hatte einen vier Jahre alten Erstellungszeitstempel, was darauf hindeutete, dass Spicy Hot Pot auf einem älteren Kompromittierungstool basierte, das wahrscheinlich von seinem Ersteller neu verpackt und verteilt worden war.

Von den neun Dateien, die das Spicy Hot Pot-Rootkit abgelegt hatte, verfügten acht über Signaturen unterschiedlicher Signaturzertifikate, die für eine einzige Entität ausgestellt wurden. Diese Signaturzertifikate hatten zurückliegende Ablaufdaten von 10 Jahren bis eine Minute, aber alle waren abgelaufen. Trotz der Tatsache, dass sie abgelaufen waren, konnten sie aufgrund von Ausnahmen für die Treibersignatur-Erzwingung dennoch erfolgreich installiert werden.

Das CrowdStrike-Team verglich dann das erste Signaturzertifikat mit einem öffentlichen Repository für Malware-Varianten und fand hunderte individuelle Malware-Varianten, die mit Spicy Hot Pot verbunden waren. Der Malware-Betreiber hatte also kein Problem damit, diese Zertifikate weiter zu verwenden, und wird wahrscheinlich auch nicht so bald damit aufhören.

Obwohl Spicy Hot Pot die E/A-Anfragen von Benutzern filtert, um seine Dateien zu verbergen, konnte CrowdStrike Falcon mittels Telemetrie die in die Malware programmierten Infizierungsaktionen aufdecken und Falcon Real Time Response (RTR) gelang es, die Kernel-Treiber und abgelegten Binärdateien auf dem angegriffenen System ausfindig zu machen.

Behebung

Wie bei anderen Rootkits können die Kernel-Filter-Treiber von Spicy Hot Pot nicht durch Benutzer gestoppt werden. Ein böswilliger Treiber verhindert das Entfernen von Registrierungsschlüsseln, Services oder des Treibers selbst. Daher kann sich die Entfernung per Remote-Zugriff als schwierig erweisen. Wie üblich erfordert das Entfernen von Rootkit-Malware oft das Abschalten des Rechners oder das Starten im abgesicherten Modus – beides ist remote allerdings nicht möglich. CrowdStrike hat aber eine Möglichkeit gefunden, Spicy Hot Pot an der Ausführung beim Start zu hindern, wodurch der Weg für die Remote-Beseitigung frei gemacht wurde.

Spicy Hot Pot legt böswillige Treiber im WindowsApps-Ordner ab. Durch Umbenennen des Ordners wurden die Filtertreiber sichtbar gemacht, da der von den böswilligen Treibern referenzierte Pfad nicht mehr existierte und die Treiber daher nicht geladen werden konnten. Anschließend war es möglich, die mit dem Spicy Hot Pot-Rootkit verbundenen Services und Registrierungsschlüssel zu entfernen.

Wie können Sie sich vor Rootkits schützen?

Rootkits verbreiten sich auf die gleiche Weise wie jede andere Malware, d. h. über E-Mails, USB-Laufwerke, Schwachstellen usw. Zum Schutz ihrer Endgeräte sollten Unternehmen alle Standardpraktiken für den Endgeräteschutz nutzen, einschließlich Schulungen zur Sicherheitssensibilisierung, Programme für die Schwachstellenverwaltung und Gerätekontrollen. Mit diesen Schritten werden etliche Malware-Varianten daran gehindert, in die Infrastruktur zu gelangen. Leider lässt sich aber nicht jede Malware auf diese Weise stoppen – und diese Schritte dienen auch nicht der Beseitigung.

Die meisten Endgeräteschutz-Lösungen konzentrieren sich auf das lokale Betriebssystem und die darauf aufsetzenden Anwendungen. Fortschritte in diesem Bereich wie Machine Learning, endpunktbasierte Detektion und Reaktion sowie Verhaltensanalysen erschweren Cyberkriminellen das Erreichen ihrer Ziele. Deshalb haben sich böswillige Akteure den Computing-Ebenen unterhalb des Betriebssystems zugewandt – also der Software, die der Hardware zugrunde liegt. Rootkit-Malware ist auf dem Vormarsch.

Der beste Schutz vor Rootkit-Malware ist eine Endgeräteschutz-Lösung, die fortschrittliche Technologie wie künstliche Intelligenz, Telemetrie und Funktionen zur Echtzeitreaktion nutzt, mit denen schwer erkennbare Rootkits identifiziert und bereits vor der Ausführung gestoppt werden können. Ein weiterer wichtiger Mechanismus ist die kontinuierliche, Audit-konforme Überwachung des BIOS aller Endgeräte, um Kernel-Rootkit-Angriffe zu vermeiden. Dank all dieser Möglichkeiten können Unternehmen Angriffe noch vor deren Aktivierung stoppen und sogar schlummernde Bedrohungen erkennen, die sich in den Tiefen ihrer Computing-Ebenen verbergen.