• IT-Karriere:
  • Services:

Rootkit-Demonstration für Kernel 2.6

Modifizierte Version des auf dem 22C3 vorgestellten Rootkits

Amir Alsbih hat ein Rootkit für den Linux-Kernel 2.6 veröffentlicht, das demonstrieren soll, wie Rootkit-Funktionen unter dem 2.6er-Kernel implementiert werden können. Bereits auf dem 22. Chaos Communication Congress Ende 2005 (22C3) in Berlin hatte er im Rahmen eines Vortrages ein Rootkit vorgestellt, das allerdings nicht veröffentlicht wurde. Eine modifizierte Version steht nun jedoch zum Download bereit.

Artikel veröffentlicht am , Julius Stiebert

Rootkits werden in der Regel nach dem Einbruch in ein Computersystem installiert, um Informationen zu verstecken. Userland-Rootkits tauschen dabei häufig genutzte Systemprogramme wie "ls", "ps" oder "netstat" aus, um so die laufenden Prozesse oder zusätzliche Netzwerkverbindungen vor den Augen des Administrators zu verstecken. Dadurch verändern sich jedoch die MD5-Checksummen der ausgetauschten Programme, so dass solche Rootkits relativ leicht aufgespürt werden können.

Stellenmarkt
  1. VerbaVoice GmbH, München
  2. Atelier Goldner Schnitt GmbH, Münchberg

Rootkits, die im Kernel-Land laufen, sind hingegen nahezu unauffindbar, da im Kernel selbst Informationen über die Manipulation herausgefiltert werden können. Auch forensische Werkzeuge versagen so ihren Dienst. Allerdings existieren auch durchaus gutartige Rootkits, die in der IT-Sicherheitsindustrie angewendet werden - ein Beispiel hierfür ist Sebek.

Für den Kernel 2.6 existierte bisher nur das exemplarische Rootkit "adore-ng", das nicht mehr weiterentwickelt wird und daher nicht mehr mit aktuellen Kernel-Versionen funktioniert. Seit Kernel 2.6 wird die Systemcall-Tabelle nicht mehr exportiert, so dass die Adressen der Systemcalls nicht bekannt sind und damit nicht verändert werden konnten, was die Entwicklung eines Rootkits erschwerte.

Amir Alsbih hatte allerdings zusammen mit dem Hacker "Newroot" auf dem 22C3 ein erstes Rootkit demonstriert, das die Systemcalls manipuliert. Dieses soll jedoch nicht veröffentlicht werden, eine modifizierte Version hat Alsbih nun aber doch zu Demonstrationszwecken veröffentlicht, so dass Entwickler nachvollziehen können, wie sich Systemcalls unter Kernel 2.6 manipulieren lassen.

Das Override getaufte Rootkit kann unter anderem Prozesse und geöffnete Ports verstecken und die versteckten Prozesse auflisten. Ferner lassen sich Dateien verstecken und ein festgelegter Nutzer bekommt direkt vom Kernel Root-Rechte zugewiesen.

Zum Einrichten des Rootkits benötigt der Angreifer zwar ebenfalls Root-Rechte auf dem betroffenen System, diese könnten aber beispielsweise durch die Sicherheitslücke in einem Programm erlangt werden. Daher ist damit zu rechnen, dass auf Basis von Override weitere Rootkits entstehen, die in die freie Wildbahn gelangen und dazu genutzt werden, Schaden anzurichten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,79
  2. 39,99€
  3. 9,49€
  4. (-10%) 53,99€

jsteidl 29. Jan 2006

Aus ermangelung an Alternativen würde ich einer Firma erstrecht nicht trauen. Denn mit...

Svenk 26. Jan 2006

Hallo, Mit dem Unterschied, dass bei Win9x die erste Möglichkeit nicht offen stand...

SvenK 26. Jan 2006

Hallo, wobei meines Erachtens mehr Attacken von blöden Trollen gegen Linux ausgehen als...

lucky 26. Jan 2006

Jo, KIS heisst das Teil, das erschreckende daran ist, dass es so einfach aufgebaut ist...


Folgen Sie uns
       


Minikonsolen im Vergleich - Golem retro

Retro-Faktor, Steuerung, Emulationsqualität: Wir haben sieben Minikonsolen miteinander verglichen.

Minikonsolen im Vergleich - Golem retro Video aufrufen
Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Ölindustrie Der große Haken an Microsofts Klimaplänen
  2. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  3. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10

Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

    •  /