Gefährlicher Trend im Web: Spyware-Rootkits auf dem Vormarsch

Rootkits eines der wichtigsten Sicherheitsthemen des Jahres

(03.12.05) - MessageLabs warnt vor immer raffinierteren Spyware-Methoden. Eine erhebliche Bedrohung stellen derzeit Rootkits dar, die sich im System einnisten und von Anti-Malware-Tools nur schwer lokalisiert werden können. Enthalten diese Rootkits Spyware, können sie lange Zeit unentdeckt persönliche Daten oder das Surfverhalten des betroffenen Benutzers ausspionieren.

Ein Rootkit ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computer-system auf dem kompromittierten System installiert wird, um zukünftige Logins des Eindringlings zu verbergen, Prozesse zu verstecken, Daten zu kopieren und Eingaben mitzuschneiden. Der Begriff ist heute nicht mehr allein auf Unix-basierte Betriebssysteme beschränkt, da es inzwischen Werkzeugkästen gibt, die ähnliche Funktionalität auch für Nicht-Unix-Systeme bieten, auch wenn diese keinen root-Login des Administrators haben. Die Tarnungsfunktion des Rootkit erfolgt hier vor allem hinsichtlich parallel laufender Antivirensoftware, vor denen die Dateien und Prozesse des Angreifers versteckt werden.

Im Allgemeinen geht es Verbreitern von Spyware darum, sich über eine Hintertür Zugang zum System zu verschaffen. Bislang wurden hierzu Trojaner im Anwendungs-Speicheradressraum abgelegt, wo sie von effektiven Anti-Malware-Tools aber entdeckt werden konnten.

Ein zunehmendes Problem besteht darin, dass Datenspione zur Installation ihrer Programme auf fremden Rechnern immer häufiger auf Rootkits zurückgreifen. Diese installieren sich nicht im Speicheradressraum für Applikationen, wo unter anderem auch die Office-Programme abgelegt sind, sondern im Speicheradressraum des Betriebssystems. Dort gehen sie jedoch leicht unter und werden von Filter-Tools oftmals als harmlose Peripherie-Treiber fehl interpretiert.

Was die Sache noch gefährlicher macht: Ist ein solches ausgeklügeltes Spyware-Programm erst einmal auf dem Rechner, kann es auch später nicht mehr so leicht identifiziert werden, weil es automatisch seine Spuren verwischt. Das hat zur Folge, dass Spyware viel effektiver und langfristiger wirkt, weil Anti-Malware-Tools das gefährliche Programm nicht erkennen. Die Kombi-nation aus Spyware und Rootkits ist in Hinsicht auf Datenspionage noch bedrohlicher als bislang beobachtete Spyware-Aktivitäten. Nicht umsonst werden Rootkits, die es auf Windows-Rechner abgesehen haben, unter Sicherheitsexperten als eines der wichtigsten Sicherheitsthemen des Jahres gehandelt.

Aufwändige Gegenmaßnahmen

Was die Bekämpfung besonders gut versteckter Spyware zusätzlich erschwert, ist das Problem, dass manche Anwendungen (solange sie aktiv sind) immer wieder neue Malware auf das System nachladen. Ebenfalls nicht unüblich ist es, dass die Spyware-Verbreiter von Zeit zu Zeit - ebenfalls vom rechtmäßigen Benutzer unbemerkt - überprüfen, ob ihre Anwendung noch aktiv ist. Falls nicht, wird sie von einem Backup-Speicherort oder als Internet-Download erneut installiert. Selbst wenn ein Viren-Scanner die Spyware aufspürt und beseitigt, steht der Nachschub schon bereit. Auf diese Weise soll die langfristige Kontrolle über den gekaperten Rechner sichergestellt werden. Augrund der Komplexität von Betriebssystemen haben Hacker viele Möglichkeiten ihre Programme zu verstecken, die noch dazu direkt auf Betriebssystemfunktionen zugreifen können.

Aggressive Malware-Filter, die alles überwachen, was auf den Rechner installiert wird, schaffen Abhilfe - je aggressiver deren Filter-Funktion jedoch ist, desto höher wird der Anteil an "False Positives" sein (also Programmen und Treibern, die erwünscht sind, aber ebenfalls blockiert werden). Im Kampf gegen Spyware-Rootkits empfiehlt sich daher der Einsatz proaktiver Erkennungsmethoden, die auch neue Varianten erkennen. Um eine hohe Sicherheit zu erzielen, sind jedoch aufwändige heuristische Methoden nötig. (MessageLabs: ra)