Hat ein Angreifer einen Computer erobert, will er sich vor Entdeckung schützen. Rootkits helfen ihm dabei: Sie verbergen Dateien und Prozesse vor den Blicken des Admin und installieren Hintertüren. Die Grundlagen dieser Softwaregattung zu kennen hilft den Admins dabei, Schlupfwinkel auszuleuchten.

Computer und ihre Programme sollen dem Anwender Arbeit abnehmen und beim Lösen von Aufgaben helfen. Allerdings haben sich in den vergangenen zwei Jahrzehnten mehrere Kategorien von Software entwickelt, die das genaue Gegenteil bewirken. Sie spionieren Daten aus, zerstören sie oder missbrauchen den Rechner für ihre eigenen Zwecke, vorbei am Wunsch des Benutzers.

Artenvielfalt

Diese Schadprogramme, auch Malware genannt (aus dem Englischen: malicious = boshaft/arglistig und Software), treten in mehreren Varianten auf. Die üblichen Kategorien nennt Ed Skoudis [1]: Backdoors (Hintertüren), Trojanische Pferde, Rootkits, Spyware, Viren und Würmer. Tabelle 1 erklärt die Unterschiede näher. Oft treten auch Mischformen auf, wenn beispielsweise Rootkits andere Schadsoftware enthalten.

Für viele Cracker gehören Rootkits zu den wichtigsten Werkzeugen und Hilfsmitteln: Sie verschleiern die Anwesenheit des Angreifers auf einem bereits kompromittierten System und geben ihm auch künftig privilegierten Zugriff [3]. Dennoch finden Rootkits zu Unrecht ähnlich wenig Beachtung wie Backdoors oder Trojanische Pferde – nur Spyware, Viren und Würmer sind statistisch genauer erfasst (etwa vom BSI, [2]).

Tarnen und täuschen

Im zeitlichen Ablauf stehen Installation und Nutzung eines Rootkits weit hinten, auf jeden Fall nach dem Einbruch: Reine Rootkits attackieren den Rechner nicht, sie sorgen nur dafür, dass sich der Cracker bequem einrichten kann. Um dessen Anwesenheit und Aktionen nach dem Einbruch zu verbergen, erfüllt ein Rootkit mehrere Aufgaben. Moderne Varianten erlauben es dem Benutzer, Informationen (Dateien, Verzeichnisse, Prozesse, Netzwerkverbindungen, Benutzerkonten) vor dem Administrator zu verbergen und deren Integrität und Authentizität zu unterwandern (siehe den “Rechts-Rat” in diesem Heft).

Zudem hinterlassen Rootkits oft Hintertüren (Backdoors, Abbildung 1). Durch sie gelangt der Cracker jederzeit wieder unbemerkt in den Rechner – selbst wenn die Sicherheitslücke längst geschlossen ist, durch die er das System erfolgreich geknackt hatte. Ebenfalls wichtig: Die meisten Varianten beseitigen die digitalen Angriffsspuren, die der Einbruch hinterlässt. Manche Rootkits attackieren von hier aus weitere IT-Systeme.

Spezialistenteam

Meist bestehen Rootkits aus vielen Einzelprogrammen. Mit ihnen kontrolliert und manipuliert der Angreifer den Rechner, ohne dass sein Opfer es merkt. Trotz aller Vielfalt gibt es einige Standardkomponenten in fast jedem Kit. Etwa einen Sniffer, der den Netzwerkverkehr mitliest und protokolliert. Damit gelangt der Angreifer an sensible Informationen, etwa unverschlüsselt übertragene Benutzernamen und Passwörter, mit deren Hilfe er in weitere Systeme eindringt. Ist eine Hintertür eingerichtet, fällt Authentifizierung als Barriere aus.

Für das Cracker-Werkzeug ist es wichtig, seine Hintertür gut zu verbergen. Eine beliebte Strategie dafür ist es, wichtige Systemkomponenten durch manipulierte Versionen auszutauschen (Trojaner). Sie funktionieren nach außen scheinbar ordnungsgemäß, enthalten jedoch getarnte Schadroutinen, die sich mit einem geheimen Mechanismus aktivieren.

Abbildung 1: Auf diversen Webseiten befinden sich Dutzende von fertig konfigurierten Hintertüren sowie Rootkits für Linux und diverse Unix-Varianten. Die Skript-Kiddies müssen sie nur noch herunterladen und auf den kompromittierten Systemen installieren.

Wie bei einem realen Einbruch entstehen auch bei einem Einbruch in Computer Spuren, beispielsweise Einträge in den Protokolldateien. So genannte Logcleaner entfernen die Einbruchsspuren automatisiert aus einer Vielzahl von Protokolldateien. Sie müssen dazu gründlich vorgehen, um eine Rekonstruktion des Angriffs und die Identifizierung des Täters zu vermeiden.

Beliebte Zugaben sind Installationsprogramme, mit denen ein Angreifer (teils mit einem komfortablen grafischen Interface) in Sekundenschnelle bösartige Software in das System einschleust. Dank der einfachen Anwendung gelingt das sogar unerfahrenen und technisch wenig versierten Angreifern.

Für Jedermann

Zu dieser Entwicklung passt, dass Rootkits oft verblüffend gut verständliche und ausführliche Anleitungen mitbringen. Die Programme in einem Rootkit liegen häufig im Quellcode vor, sodass versierte Angreifer sie im Sinne des Open-Source-Gedankens an ihre eigenen Wünsche und Gegebenheiten anpassen. Jüngst sind sogar Rootkits aufgetaucht (zum Beispiel Sinar [4] und Knark), die eigene Exploits mitbringen. Damit erhöhen die Nutzer ihre Privilegien: Dieser Vorgang nennt sich Privilege Escalation.

Mehr Rechte

Exploits [5] sind kleine bösartige Programme, oft mit reichlich trickreichem Assembler-Code. Sie nutzen gezielt bekannte Schwachstellen eines Programms aus, um zusätzliche Rechte zu ergattern. Nach einem Angriff aus der Ferne muss ein Einbrecher – je nach Systemberechtigung, mit der ein angegriffener Dienst läuft – weitere Schwachstellen ausnutzen, bis er den höchsten Benutzerstatus erreicht. Sein Ziel: Administrator unter Microsoft Windows oder Root-Berechtigung unter Unix/Linux.

Insbesondere vor dem Hintergrund der historischen Entwicklung (siehe Kasten “Historie”) ist die gezielte Kopplung von Exploits mit einem Rootkit eher ungewöhnlich. Normalerweise handelt es sich um zwei strikt getrennte Bestandteile im Arsenal des Bösen. Sie bedingen sich zwar gegenseitig, dennoch hat bis zum Erscheinen des Sinar-Rootkits [4] kein Autor beide Funktionalitäten vollständig kombiniert.

Die explosive Kombination verschlimmert die Bedrohungslage für Systemadministratoren. Selbst unerfahrene Angreifer (so genannte Skript-Kiddies) richten dank der automatisierten Werkzeuge großen Schaden an, ohne die Funktionsweise der Rootkits zu verstehen.

Abbildung 2: Das Betriebssystemkonzept teilt die Zugriffsprivilegien in Ringe auf. Kernel-relevante Prozesse laufen im mittleren Ring und erhalten privilegierten Zugriff auf die Hardware. Einige Rootkits benutzen diesen Bereich, um sich zu verstecken.

Admins dürfen sich den Luxus der Unwissenheit nicht leisten. Sie müssen die Techniken der Rootkits kennen und verstehen. Zu unterscheiden sind nach [3]:

• Kernel-basierte Rootkits
• Rootkits auf Anwendungsebene

Erstere untergraben elementare Systemteile und manipulieren die interne Funktionsweise. Ein solches Rootkit erhält unbegrenzten Zugriff auf Speicherverwaltung, Prozessmanagement sowie Geräte- und Dateiverwaltung. Typisch für diese Klasse ist das Adore-Rootkit. Es funktioniert mit den Linux-Kernelversionen 2.2, 2.4 und 2.6 (Adore-NG).

Im Gegensatz dazu agiert ein anwendungsbasiertes Rootkit auf dem äußeren Systemring (Abbildung 2). Es überschreibt wichtige Systemdateien mit trojanisierten Varianten oder manipuliert andere Systemprozesse. Dazu klinkt es sich in deren Prozessraum ein und überschreibt oder ersetzt die vom Prozess genutzten Ressourcen (Bibliotheken oder ausführbare Dateien).

Fallbeispiel

Das Adore-Rootkit stammt von Mitgliedern der Hackergruppe Team Teso [14], die es ursprünglich für den Linux-Kernel 2.2 und 2.4 veröffentlichten. Ein eigenes Kernelmodul nimmt tiefgreifende Systemmanipulationen vor. Die aktuelle Version Adore-NG 0.53 vom 21. April 2005 [15] arbeitet auch mit Kernel 2.6. Ähnlich wie aktuelle Windows-Rootkits versteckt Adore folgende Informationen:

• Systemprozesse
• Dateien und Verzeichnisse
• Netzwerkverbindungen
• Hintertüren

Das folgende Beispiel verwendet Gentoo Linux mit Kernel 2.6.8. Adore lässt sich mit einem simplen »make«-Aufruf aus den Quellen übersetzen. Details zu den im Makefile eventuell nötigen Anpassungen verraten die Dateien »README« und »README.26«.

Abbildung 3: Das Adore-Rootkit arbeitet auf Kernelebene. Das nötige Kernelmodul versteckt sich dabei geschickt vor den Blicken der ahnungslosen Administratoren.

Versteckspiel

Um das Rootkit zu aktivieren, muss ein Anwender mit Root-Rechten das Modul laden: »insmod adore-ng-2.6.ko«. Interessanterweise taucht es danach nicht in der Liste der geladenen Kernelmodule auf, wie die Ausgabe des »lsmod«-Befehls beweist (Abbildung 3).

Dass das Modul trotz unverfänglicher Modulliste im Kernelspace geladen und aktiv ist, zeigt das von Adore mitgelieferte Programm »ava«. Es dient als Userspace-Kontrolleinheit für das Kernelmodul. In bester Unix-Tradition gib es sogar Hinweise zu seiner Benutzung. Wer es per »./ava« ohne jeden Parameter aufruft, erfährt Folgendes:

Usage: ./ava {h,u,r,R,i,v,U} [file or PID]
I       print info (secret UID etc)
h       hide file
u       unhide file
r       execute as root
R       remove PID forever
U       uninstall adore
i       make PID invisible
v       make PID visible

Um allgemeine Informationen zur lokalen Installation des Adore-Rootkits abzurufen, stellt die Software den Parameter »I« (Print Info) bereit.

Selbstauskunft

Der Aufruf »./ava I« informiert den Benutzer über die Versionsnummer:

Checking for adore 0.12 or higher ...
Adore 1.53 installed. Good luck.
ELITE_UID: 2618748389, ELITE_GID=U
4063569279, ADORE_KEY=fgjgggfd
CURRENT_ADORE=53

Die Ausgabe enthält auch das so genannte magische Passwort (»ADORE_KEY=fgjgggfd«). Das braucht der Benutzer, wenn er das Adore-Rootkit anspricht. Die Benutzer- und Gruppenkennung definiert der Rootkit-Anwender bei der Installation mit Hilfe der beiden Parameter »ELITE_UID« und »ELITE_GID«.

Abbildung 4: Mit Adore-NG verstecken Angreifer ihre Dateien (etwa Logdateien mit Benutzerpasswörtern) vor Anwendern. Dank des Kernelmoduls ist es nicht nötig, den »ls«-Befehl selbst zu manipulieren.

Adore-NG ist in der Lage, Dateien und Verzeichnisse wirksam zu verstecken, wie Abbildung 4 zeigt. Der Angreifer kopiert in diesem Beispiel die Systemshell auf eine neue Datei namens »/tmp/backdoor« und gibt ihr ein S-Bit – dank dieses Tricks läuft sie beim nächsten Aufruf wieder mit Root-Rechten, egal wer sie startet. Solche Hintertüren finden gute Admins sehr schnell. Mit »./ava h Dateiname« versteckt der Angreifer daher seine Hinterlassenschaft.

Nur für Kenner

Das folgende »ls -la /tmp« belegt: Die Datei ist unsichtbar. Nur wer ihren exakten Namen weiß, erkennt, dass die Datei existiert (»ls /tmp/backdoor«). Auch andere Kommandos wie »file« finden die verborgene Datei. Allerdings wissen die Opfer in der Regel den Namen der versteckten Dateien nicht.

Als weiteres Feature schützt Adore Systemprozesse vor der Entdeckung. In Abbildung 5 hat der Angreifer den Prozess mit der ID 6511 vor dem Kommando »ps« verborgen. Mit Hilfe des Programms Ava lässt sich bei genauer Kenntnis der Prozesskennung ein verborgener Prozess wieder sichtbar machen (»./ava v PID«). Ohne diese PID ist eine Entdeckung sehr unwahrscheinlich. Ein gewöhnlicher »pstree«-Aufruf zeigt keine Spuren.

Abbildung 5: Neben Dateien bewahrt Adore auch komplette Prozesse vor neugierigen Blicken. Der Angreifer bleibt bei seinen Aktivitäten ungestört.

Gefahr Rootkit

Rootkits sind heute eine ernst zu nehmende Gefahr für moderne Computersysteme. Sie bedrohen die Sicherheit, Vertraulichkeit und Integrität der gespeicherten Daten und Informationen und fallen folglich in den Bereich der Computerkriminalität (siehe “Rechts-Rat” in diesem Heft). Vor allem die Vielzahl, der Funktionsumfang und die Entwicklungsgeschwindigkeit der inzwischen verfügbaren Rootkits (Abbildung 6) liefern Grund zur Sorge. Unternehmen und deren Mitarbeiter befinden sich im Wettlauf mit den Rootkit-Entwicklern.

Abbildung 6: Sicherheitsbewusste Sysadmins sollten sich stets über bekannte Rootkits informieren. Die Werkzeuge ihrer Gegner zu kennen hilft ihnen dabei, die eigenen Systeme vor Angriffen zu schützen.

Der schnelle Releasezyklus neuer Versionen schürt den Wettstreit und ähnelt dem bereits seit Jahren bekannten Kampf der Viren- mit der Antivirenindustrie. Diverse Techniken und Maßnahmen helfen bereits jetzt bei der Erkennung, Analyse und Abwehr von Rootkits – der beste Schutz ist aber, schon den initialen Angriff abzuwehren. (mwe/fjl)