Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Rootkit-Demonstration für Kernel 2.6

Modifizierte Version des auf dem 22C3 vorgestellten Rootkits. Amir Alsbih hat ein Rootkit für den Linux-Kernel 2.6 veröffentlicht, das demonstrieren soll, wie Rootkit-Funktionen unter dem 2.6er-Kernel implementiert werden können. Bereits auf dem 22. Chaos Communication Congress Ende 2005 (22C3) in Berlin hatte er im Rahmen eines Vortrages ein Rootkit vorgestellt, das allerdings nicht veröffentlicht wurde. Eine modifizierte Version steht nun jedoch zum Download bereit.
/ Julius Stiebert
16 Kommentare News folgen (öffnet im neuen Fenster)

Rootkits(öffnet im neuen Fenster) werden in der Regel nach dem Einbruch in ein Computersystem installiert, um Informationen zu verstecken. Userland-Rootkits tauschen dabei häufig genutzte Systemprogramme wie "ls", "ps" oder "netstat" aus, um so die laufenden Prozesse oder zusätzliche Netzwerkverbindungen vor den Augen des Administrators zu verstecken. Dadurch verändern sich jedoch die MD5-Checksummen der ausgetauschten Programme, so dass solche Rootkits relativ leicht aufgespürt werden können.

Rootkits, die im Kernel-Land laufen, sind hingegen nahezu unauffindbar, da im Kernel selbst Informationen über die Manipulation herausgefiltert werden können. Auch forensische Werkzeuge versagen so ihren Dienst. Allerdings existieren auch durchaus gutartige Rootkits, die in der IT-Sicherheitsindustrie angewendet werden – ein Beispiel hierfür ist Sebek(öffnet im neuen Fenster) .

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Mitarbeiter (m/w/d) Notfallmanagement / Informationssicherheit Entgeltgruppe 11 TV-TgDRV / Besoldungsgruppe A12 Deutsche Rentenversicherung Mitteldeutschland, Erfurt,Halle (Saale),Leipzig,Home Office (öffnet im neuen Fenster)
AI Portfolio Manager (d/m/w) Madsack Verlags- und Redaktionsgesellschaft Hannover, Hannover (öffnet im neuen Fenster)
Einkäufer IT-Leistungen (m/w/d) Bayerische Versorgungskammer, München (öffnet im neuen Fenster)
Mitarbeiter Verfahrenssupport Qualitätssicherung Gesundheitswesen (w/m/d) IQTIG - Institut für Qualitätssicherung und Transparenz im Gesundheitswesen, Berlin (öffnet im neuen Fenster)
Fachinformatiker für Systemintegration (m/w/d) ECOWEST Entsorgungsverbund Westfalen GmbH, Ennigerloh (öffnet im neuen Fenster)
Fachinformatiker/in für Systemintegration (w/m/d) - Facility Management Süd Deutsches Zentrum für Luft- und Raumfahrt e. V., Oberpfaffenhofen bei München (öffnet im neuen Fenster)
IT-Managerinnen / IT-Manager (m/w/d): Weiterentwicklung und Betrieb IT-Infrastruktur für die Landesverwaltung NRW Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf,Hagen (öffnet im neuen Fenster)
Mitarbeiter/-in IT-Rechnungswesen (m/w/d) Landeshauptstadt Stuttgart, Stuttgart (öffnet im neuen Fenster)

Für den Kernel 2.6 existierte bisher nur das exemplarische Rootkit "adore-ng", das nicht mehr weiterentwickelt wird und daher nicht mehr mit aktuellen Kernel-Versionen funktioniert. Seit Kernel 2.6 wird die Systemcall-Tabelle nicht mehr exportiert, so dass die Adressen der Systemcalls nicht bekannt sind und damit nicht verändert werden konnten, was die Entwicklung eines Rootkits erschwerte.

Amir Alsbih hatte allerdings zusammen mit dem Hacker "Newroot" auf dem 22C3 ein erstes Rootkit demonstriert(öffnet im neuen Fenster) , das die Systemcalls manipuliert. Dieses soll jedoch nicht veröffentlicht werden, eine modifizierte Version hat Alsbih nun aber doch zu Demonstrationszwecken veröffentlicht(öffnet im neuen Fenster) , so dass Entwickler nachvollziehen können, wie sich Systemcalls unter Kernel 2.6 manipulieren lassen.

Das Override getaufte Rootkit kann unter anderem Prozesse und geöffnete Ports verstecken und die versteckten Prozesse auflisten. Ferner lassen sich Dateien verstecken und ein festgelegter Nutzer bekommt direkt vom Kernel Root-Rechte zugewiesen.

Zum Einrichten des Rootkits benötigt der Angreifer zwar ebenfalls Root-Rechte auf dem betroffenen System, diese könnten aber beispielsweise durch die Sicherheitslücke in einem Programm erlangt werden. Daher ist damit zu rechnen, dass auf Basis von Override weitere Rootkits entstehen, die in die freie Wildbahn gelangen und dazu genutzt werden, Schaden anzurichten.

Zur Startseite 16 Kommentare

Relevante Themen

Open SourceLinuxSoftwareBetriebssystemeSecuritySicherheitslückeWissen