Rootkits direkt am Gateway abwehren

Backdoor-Funktionalität macht Rootkits gefährlich

(06.09.06) - Die Komplexität von Rootkits nimmt bedrohliche Ausmaße an. Aktuelle Studien beweisen, dass die Anzahl solcher sogenannten Stealth-Technologie-Angriffe allein im vergangenen Jahr um 900 Prozent gestiegen ist. Clearswift verfügt mit "Mimesweeper" über ein Produkt, das Rootkits bereits am Internet-Gateway enttarnt und das Computersystem vor diesen Einbrechern schützt.

Ein Rootkit ist eine Art Werkzeugkasten, der sich unbemerkten und zumeist illegalen Zutritt in ein Computersystem verschafft. Dort angekommen ist die Aufgabe der Rootkits die mitgeführte bösartige Malware vor ihren Häschern, der Antivirensoftware zu verstecken und zukünftige Logins des illegalen Eindringlings vor dem Administrator und dem User zu verbergen. Ähnlich wie ein Trojanisches Pferd eignen sie sich vor Ort die Rechte des Systemadministrators "root" an (daher der Name Rootkit). Ist dies geschehen, hat der Angreifer nahezu unbegrenzten Zugriff auf das System.

"Rootkits verfügen über eine sogenannte Backdoor-Funktionalität", erklärt Michael Scheffler, Sales Director für Central & Eastern Europe bei Clearswift. "Das bedeutet sie verstecken nicht nur Logins, Prozesse und Logs, sondern enthalten auch oft eine Software, die Daten von Terminals, Netzwerk-verbindungen und sogar der Tastatur abgreifen kann. Dazu können Backdoors kommen, die es dem Angreifer zukünftig vereinfachen, auf das infizierte System zuzugreifen." Gefährdet sind in erster Linie PCs, Workstations oder Systeme, die von Endbenutzern verwendet werden.

In der Vergangenheit sind bereits verschiedene große Unternehmen aufgrund von Rootkits in die Schlagzeilen geraten. Sony BMG musste beispielsweise diverse Music-CDs zurückrufen, nachdem bekannt wurde, dass der Sony-Kopierschutz für die Musik-CDs sich mit Methoden eines Rootkits in Windows-Systeme einnistet. Ähnliche Erfahrungen musste die Firma Kinowelt machen. Sie verkauften in Deutschland DVDs mit einem Kopierschutz, der unter Windows ebenfalls unbemerkt ein Rootkit zum Verstecken von Prozessen installiert.

Die Mimesweeper-Produktfamilie von Clearswift ist eine Lösung die unmittelbar am Gateway aktiv wird, also am Übergang von Internet zum Intranet. Mimesweeper ist in der Lage über seine eingebundenen Virenscanner und über das Blocken von schadhaften Programmcodes (ausführbare Dateitypen, Scripte usw.) zu verhindern, dass diese Rootkits in das Intranet und somit auf den Rechner der Endbenutzer gelangen. Die Handschellen rasten ein und die Rootkits gelangen in die Quarantäne-Station von Mimesweeper. (Clearswift: ra)