Rootkits sind Schadprogramme (Malware), die sich in einem System einnisten können. Der Name setzt sich aus «Root» und «Kit» zusammen, Root ist das Level des Zugriffs, in Unix Systemen hat man als Root Vollzugriff. Als «Kit» wird die schädliche Anwendung bezeichnet, die auf dem System installiert wird.
Rootkits können über verschiedene Wege auf einem Zielsystem installiert werden. Einige Beispiele, wie Rootkits installiert werden, sind:
- Phishing: Bei Phishing wird eine gefälschte E-Mail an einen Empfänger versandt und meistens befindet sich darin ein Dokument oder ein Link, von dem dann schädliche Dateien oder Makros heruntergeladen und ausgeführt werden.
- Schwachstellen in Programmen: Über Schwachstellen oder Lücken in Programmen werden die Rootkits eingeschleust. Dies kommt insbesondere vor, wenn Programme veraltet sind. Es ist daher wichtig, seine Systeme und installierte Software immer auf dem neusten Stand zu halten.
- Legitime Dateien: Rootkits können auch hinter eigentlich legitimen Dateien wie PDFs oder ähnlichem implementiert werden.
Die verschiedenen Arten von Rootkits
- Hardware- oder Firmware-Rootkits: Diese können auf der Festplatte, dem Router oder auch direkt im BIOS installiert sein. Sie beeinflussen nicht das Betriebssystem direkt, sondern die Firmware des Geräts. Darauf werden dann die schädlichen Prozesse installiert. Da diese Art von Rootkit die Hardware befällt, können etwa Tastatureingaben aufgezeichnet werden, um Onlineaktivitäten und Zugangsdaten auszuspionieren.
- Speicher-Rootkits: Diese werden in den RAM (Arbeitsspeicher) des Geräts eingebettet. Sie können jedoch nicht einfach ohne Weiteres schädlichen Code einschleusen, da sie sich nur im RAM befinden. Es kann sogar sein, dass ein solches Rootkit einfach nur durch einen Neustart entfernt wird. Dazu müsste es aber sehr schlecht abgesichert sein.
- Bootloader-Rootkits: Der Bootloader ist dazu da, das Betriebssystem auf einem Gerät zu starten. Dies passiert nach einem Neustart oder wenn das Gerät generell gestartet wird. Das Rootkit tauscht den Bootloader durch eine abgeänderte Version des Bootloaders aus. Dadurch wird es schon vor dem Start des Betriebssystems gestartet.
- Kernel basierte Rootkits: Diese zählen mit zu den gefährlichsten Rootkits. Sie können die ganze Funktion des Betriebssystems ändern, indem ungewollter Code eingeschleust wird. So versuchen Angreifer zum Beispiel auf Dateien auf der Festplatte zuzugreifen, um wichtige Dokumente zu stehlen.
- Virtuelle Rootkits: Wie Kernel basierte Rootkits können auch virtuelle Rootkits auf das Betriebssystem zugreifen. Jedoch muss dazu der Kernel nicht geändert werden. Das Rootkit lädt sich selbst eine Ebene unter dem Betriebssystem und hostet dies dann als virtuelles System. Es kann dadurch die Hardwareaufrufe des ursprünglichen Systems übernehmen.
- Anwendungs-Rootkits: Sie verstecken sich hinter einer legitimen Anwendung wie Google Chrome. Wenn du jedoch chrome.exe startest, wird nicht nur Chrome ausgeführt, sondern auch das Rootkit. Dadurch bekommt der Angreifer Zugriff auf das Gerät. Dies sollte jedoch auch einfacher erkannt werden von Antiviren-Programmen.