Was ist ein Rootkit?

Für macOS, Windows, Linux sowie andere Betriebssysteme gibt es die unterschiedlichste Malware. Eine Art der Schadsoftware ist das sogenannte „Rootkit“. Was ein Rootkit ist, welche Möglichkeiten den Hacker/innen damit zur Verfügung stehen und welche Schäden angerichtet werden können, das habe ich euch in diesem Ratgeber zusammengefasst. Habt ihr noch Fragen oder Anmerkungen zum Thema, dann lasst gern einen Kommentar da.

Was ist ein Rootkit? Welchen Schaden kann diese Malware anrichten? Welche Rootkits kann man entfernen? Und was ist eine Backdoor? Die Antworten auf diese Fragen bekommt ihr hier!

Was ist ein Rootkit? Welchen Schaden kann diese Malware anrichten? Welche Rootkits kann man entfernen? Und was ist eine Backdoor? Die Antworten auf diese Fragen bekommt ihr hier!

Was bedeutet der Begriff Rootkit?

Rootkit setzt sich aus den Worten Root und Kit zusammen. Passende Übersetzungen wären daher „Admin-Baukasten“ oder „Vollzugriff-Werkzeuge“. Mit dem Begriff wird also zum Ausdruck gebracht, dass die eingesetzte Software den Angreifer/innen den vollen Zugriff auf das System und / oder Netzwerk gibt. Zudem ermöglicht das Rootkit, die Spuren des Angriffs zu verschleiern. Der Start des Systems, der Login in Konten, die Installation von weiterer Schadsoftware und dergleichen mehr können aus den Logs gelöscht und hinzugefügte bzw. veränderte Dateien versteckt werden. So kann ein Rootkit-Angriff für die Geschädigten unbemerkt ablaufen.

Sir Apfelot auf SteadyHQ unterstützen

Rootkit-Einsatz als Vorbereitung einer Backdoor

Neben dem einmaligen Einsatz des Rootkits gibt es nicht nur die Möglichkeit, es mehrfach zu verwenden, um immer wieder Zugriff auf das anvisierte System zu erhalten. Auch kann bei einem Rootkit-Angriff durch weitere Malware oder die Anpassung bestehender Software eine sogenannte Backdoor geschaffen werden. Der Begriff „Backdoor“ kann dabei direkt als Hintertür übersetzt werden. Diese Hintertür im System erlaubt es den Hacker/innen dann, zukünftig durch geringeren Aufwand einzudringen – wenn auch mit möglicherweise weniger Handlungsmöglichkeiten. Haben die einzelnen Angriffe aber ein spezielles Ziel, kann die Backdoor darauf zugeschnitten werden.

Mögliche Ziele einer Rootkit-Attacke

Der Administrator/in-Zugang zum System kann auf verschiedene Arten ausgenutzt werden. So lässt sich Zugriff auf das ganze System eines Büros, einer Firma oder auch von Servern verschaffen. Auf einzelnen Rechnern, egal ob privat oder für einen Beruf genutzt, ist das ebenso möglich. Anschließend kann das System verändert, Software hinzugefügt oder Informationen abgegriffen werden. Hier ein paar mögliche Ziele einer Rootkit-Attacke:

  • Kopieren und Ableiten von Daten, Zugangsdaten, Dateien und weiteren Informationen
  • Installation von Viren, um das System zum Erliegen zu bringen und Daten zu zerstören
  • Installation von Spyware / Stalkerware, um Tastatureingaben, Audio, Video u. ä. abzugreifen
  • Nutzung der gekaperten Anlage für weitere Angriffe (z. B. DDoS-Angriffe auf Webdienste)
  • Platzieren von Backdoors, etwa eine Shell als Schnittstelle an Netzwerkports

Abgrenzung zum Trojanischen Pferd

Ein Rootkit ermöglicht den aktiven Zugang zum System, sodass die Angreifer/innen sich selber darin umsehen und Veränderungen vornehmen können. Und genau das grenzt den Administrator/in-Baukasten vom Trojanischen Pferd ab. Letzteres wird den Nutzer/innen untergejubelt, sodass sie es als vermeintlich brauchbares Programm ausführen und ihm damit ermöglichen, automatisch weitere Malware, Backdoors o. ä. zu installieren. Für die Suche nach speziellen Informationen oder die Anpassung des Angriffs auf bestimmte Systemfaktoren ist eine solche automatisch handelnde Schadsoftware also nicht geeignet. Das Trojanische Pferd kann auch seine Spuren im Vergleich nur bedingt verwischen.

Wie kann man ein Rootkit vom Computer entfernen?

Es gibt verschiedene Arten von Rootkits, die mal einfach, mal schwierig loszuwerden sind. Speicher-Rootkits zum Beispiel setzen sich nur in den Arbeitsspeicher. Wird der Computer neugestartet, dann sind sie aus diesem gelöscht. Andere Formen, zum Beispiel Userland-Rootkits, werden entfernt, indem man das Betriebssystem neu installiert. Sie setzen sich mit DLL-Dateien und API-Methoden fest, welche im neu aufgesetzten System nicht mehr vorhanden sind. Schwieriger ist es bei Kernel- und BIOS-Rootkits. Vor allem letztere sind nicht von Systemänderungen betroffen und können nicht mit 100-prozentiger Sicherheit entfernt werden. Empfohlen wird ein präventiver, hardwareseitiger Schreibschutz zur Vorbeugung einer Infizierung.

Jailbreak und Rooten: Gewolltes Eindringen in ein Betriebssystem

Nicht direkt verwandt, aber durchaus verschwägert mit dem Thema Rootkit, sind die Themen Jailbreak (iOS) und Rooten (Android). Denn dabei werden ebenfalls bestimmte Lese- und vor allem Schreib-Rechte auf einem Gerät (Smartphone, Tablet, etc.) erlangt, um Anpassungen vorzunehmen oder ein anderes Betriebssystem aufzuspielen. Da Apple sein Angebot proprietär hält und bisher kein Sideloading für iPhone-Apps außerhalb des App Stores ermöglicht, wurde für iOS der Begriff „Jailbreak“ (Gefängnisausbruch) geprägt. An Android-Geräten spricht man meist vom „Rooten“ (Einwurzeln). Bei beiden ist das Ziel, mehr Freiheiten für Anpassungen und App-Installationen zu haben. Heutzutage ist das aber weniger gefragt als noch bei den ersten iPhone-Generationen.


Hat dir der Artikel gefallen und helfen dir die Anleitungen im Blog? Dann würde ich mich freuen, wenn du das Blog über eine Steady-Mitgliedschaft oder bei Patreon unterstützen würdest.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.