Bei einem Rootkit handelt es sich um ein bösartiges Softwareprogramm, das Cyberkriminellen hilft, ein System zu infiltrieren und die Kontrolle zu übernehmen. Hacker nutzen Rootkits, um Spionage zu betreiben, Daten zu stehlen und andere Malware wie Ransomware einzuschleusen – und das alles, ohne Spuren zu hinterlassen. Sobald ein Rootkit auf einem Gerät installiert ist, kann es Systemverbindungen abfangen, Software und Prozesse ersetzen und Teil eines größeren Exploit-Kits sein, das andere Module wie Keylogger, Malware für Datendiebstahl oder Werkzeuge für das Mining von Kryptowährungen enthält.
Die Entwicklung dieser Programme ist keinesfalls trivial und erfordert Zeit und Geld. Daher werden die meisten Rootkit-basierten Angriffe mit professionellen APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht, die über die nötigen Fähigkeiten und Ressourcen verfügen. Adressiert werden damit vor allem „hochwertige“ Ziele. Angriffe sind dann in der Regel entweder finanziell motiviert oder auf Spionage ausgerichtet.
Eine Studie, die sowohl die Entwicklung als auch Verwendung von Rootkits zur Durchführung von Cyberangriffen untersuchte, ergab, dass Cyberkriminelle in 56 Prozent der Fälle diese Software verwenden, um hochrangige Persönlichkeiten wie Beamte mit entsprechendem Status, Diplomaten oder Vertreter bestimmter Organisationen anzugreifen. Vor allem Regierungseinrichtungen sind davon betroffen (44 Prozent), gefolgt von Forschungsinstituten (38 Prozent), Telekommunikationsbetreibern (25 Prozent), Industrieunternehmen (19 Prozent) und Finanzorganisationen (19 Prozent).
Die Studie zeigt auch, dass Rootkits häufig durch Social-Engineering-Taktiken verbreitet werden, insbesondere Phishing (69 Prozent) und die Ausnutzung von Schwachstellen (62 Prozent) versprechen hierbei Erfolg.
Rootkit-Typen
Es gibt drei Arten von Rootkits, die nach dem Grad der erlangten Zugriffsrechte klassifiziert werden:
- Rootkits im Kernel-Modus: Diese Art von Rootkits arbeitet auf der Kernel-Ebene, hat also die gleichen Rechte wie das Betriebssystem. Einschlägige Rootkits sind als Gerätetreiber oder ladbare Module konzipiert. Ihre Entwicklung ist kompliziert, da ein Fehler im Quellcode die Stabilität des Systems beeinträchtigen kann, wodurch die Malware nachverfolgbar wird.
- Rootkits im Benutzermodus: Diese Art von Rootkits ist einfacher zu entwickeln als die zuvor genannte Variante. Ihr Design setzt weniger Präzision und Wissen voraus. Darum werden sie in der Regel für großflächigere Angriffe verwendet. Die Rootkits arbeiten mit weniger Berechtigungen. Sie sind jedoch in der Lage, Systemaufrufe abzufangen und die von APIs und Anwendungen zurückgegebenen Werte zu ersetzen, um auf diese Weise die Kontrolle über den Rechner zu erlangen.
- Kombinierte Rootkits: Diese kombinieren die Eigenschaften von Benutzermodus- und Kernel-Modus-Rootkits und wirken dadurch auf beiden Ebenen.
Eines der bekanntesten Beispiele für eine Rootkit-Kampagne geht auf das Jahr 2021 zurück. Hierbei wurden sowohl ein Mitarbeiter eines Luft- und Raumfahrtunternehmens in den Niederlanden als auch ein politischer Journalist aus Belgien Ziel einer von der nordkoreanischen Lazarus-Gruppe initiierten Spearphishing-Aktion. Beide wurden mit Stellenangeboten für ein renommiertes Unternehmen kontaktiert und erhielten im Zuge dessen Dokumente zugeschickt – einmal geschah dies via E-Mail, einmal per LinkedIn. Das Öffnen dieser Dateien löste in beiden Fällen eine Reihe von Angriffen aus. Nach Angaben der damaligen Ermittler entfaltete im Zuge dessen vor allem ein Rootkit-Modul Wirkung, das eine Schwachstelle in Dell-Gerätetreibern ausnutzte und den Hackern Lese- und Schreibrechte auf Kernel-Ebene verschaffte.
Wie können sich Unternehmen vor dieser Art von Angriffen schützen?
Obwohl Rootkits darauf ausgerichtet sind, unter dem Radar der Erkennung zu fliegen, gibt es Lösungen, die entsprechende Angriffe nicht nur identifizieren, sondern auch eindämmen und blockieren können. WatchGuard Firebox-Appliances verfügen in dem Zusammenhang über gleich mehrere moderne Funktionen:
- APT Blocker: Die Sandbox-Technologie erkennt das Rootkit, noch bevor es auf das System zugreift. Das Verhalten einer verdächtigen Datei wird genau analysiert. Dafür wird diese nach Identifizierung an eine cloudbasierte Sandbox gesendet, die die Ausführung emuliert und den Code der Datei aufs Kleinste überprüft. Sobald sich herausstellt, dass ein Verdacht begründet war, wird die Datei automatisch blockiert und das Netzwerk ist geschützt.
- KI-basierte Malware-Abwehr: Mithilfe von künstlicher Intelligenz werden Millionen von Dateien in ihre grundlegenden Komponenten zerlegt, um diese anschließend in unterschiedlichster Kombination zu analysieren und auf Hinweise für schädliche Absichten abzusuchen. Wenn dabei Malware zutage tritt, wird die Ausführung der Datei rechtzeitig gestoppt.
- Transparenz via Cloud: Bei Rootkit-Angriffen ist es wichtig, tote Winkel im Netzwerk aufzulösen. Nur so lassen sich Anomalien stichhaltig analysieren. Die WatchGuard-Plattform gewährleistet, dass alle Detailinformationen zentral zusammenfließen und zielführend widergespiegelt werden.
Cyberkriminelle beweisen beim Einsatz moderner Bedrohungen sehr viel Einfallsreichtum – dennoch lassen sich ihre Attacken vereiteln. Der Schlüssel liegt darin, Unternehmensnetzwerke mit geeigneten Lösungen zu schützen, die Rootkit-Angriffe stoppen, bevor es zu spät ist.