• IT-Karriere:
  • Services:

Rootkit-Demonstration für Kernel 2.6

Modifizierte Version des auf dem 22C3 vorgestellten Rootkits

Amir Alsbih hat ein Rootkit für den Linux-Kernel 2.6 veröffentlicht, das demonstrieren soll, wie Rootkit-Funktionen unter dem 2.6er-Kernel implementiert werden können. Bereits auf dem 22. Chaos Communication Congress Ende 2005 (22C3) in Berlin hatte er im Rahmen eines Vortrages ein Rootkit vorgestellt, das allerdings nicht veröffentlicht wurde. Eine modifizierte Version steht nun jedoch zum Download bereit.

Artikel veröffentlicht am , Julius Stiebert

Rootkits werden in der Regel nach dem Einbruch in ein Computersystem installiert, um Informationen zu verstecken. Userland-Rootkits tauschen dabei häufig genutzte Systemprogramme wie "ls", "ps" oder "netstat" aus, um so die laufenden Prozesse oder zusätzliche Netzwerkverbindungen vor den Augen des Administrators zu verstecken. Dadurch verändern sich jedoch die MD5-Checksummen der ausgetauschten Programme, so dass solche Rootkits relativ leicht aufgespürt werden können.

Stellenmarkt
  1. über duerenhoff GmbH, Eschborn
  2. meap GmbH, Witten

Rootkits, die im Kernel-Land laufen, sind hingegen nahezu unauffindbar, da im Kernel selbst Informationen über die Manipulation herausgefiltert werden können. Auch forensische Werkzeuge versagen so ihren Dienst. Allerdings existieren auch durchaus gutartige Rootkits, die in der IT-Sicherheitsindustrie angewendet werden - ein Beispiel hierfür ist Sebek.

Für den Kernel 2.6 existierte bisher nur das exemplarische Rootkit "adore-ng", das nicht mehr weiterentwickelt wird und daher nicht mehr mit aktuellen Kernel-Versionen funktioniert. Seit Kernel 2.6 wird die Systemcall-Tabelle nicht mehr exportiert, so dass die Adressen der Systemcalls nicht bekannt sind und damit nicht verändert werden konnten, was die Entwicklung eines Rootkits erschwerte.

Amir Alsbih hatte allerdings zusammen mit dem Hacker "Newroot" auf dem 22C3 ein erstes Rootkit demonstriert, das die Systemcalls manipuliert. Dieses soll jedoch nicht veröffentlicht werden, eine modifizierte Version hat Alsbih nun aber doch zu Demonstrationszwecken veröffentlicht, so dass Entwickler nachvollziehen können, wie sich Systemcalls unter Kernel 2.6 manipulieren lassen.

Das Override getaufte Rootkit kann unter anderem Prozesse und geöffnete Ports verstecken und die versteckten Prozesse auflisten. Ferner lassen sich Dateien verstecken und ein festgelegter Nutzer bekommt direkt vom Kernel Root-Rechte zugewiesen.

Zum Einrichten des Rootkits benötigt der Angreifer zwar ebenfalls Root-Rechte auf dem betroffenen System, diese könnten aber beispielsweise durch die Sicherheitslücke in einem Programm erlangt werden. Daher ist damit zu rechnen, dass auf Basis von Override weitere Rootkits entstehen, die in die freie Wildbahn gelangen und dazu genutzt werden, Schaden anzurichten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 35,99€
  2. (u. a. Elite Dangerous für 5,99€, Planet Zoo für 19,99€, Struggling für 5,99€, LostWinds...
  3. 18,99€

jsteidl 29. Jan 2006

Aus ermangelung an Alternativen würde ich einer Firma erstrecht nicht trauen. Denn mit...

Svenk 26. Jan 2006

Hallo, Mit dem Unterschied, dass bei Win9x die erste Möglichkeit nicht offen stand...

SvenK 26. Jan 2006

Hallo, wobei meines Erachtens mehr Attacken von blöden Trollen gegen Linux ausgehen als...

lucky 26. Jan 2006

Jo, KIS heisst das Teil, das erschreckende daran ist, dass es so einfach aufgebaut ist...


Folgen Sie uns
       


Mini-PCs von Asus, Apple und Zotac im Test - Fazit

Wir haben uns den Mac Mini und zwei Alternativen von Asus und Zotac angesehen. Es ist interessant, wie leistungsfähig die Kontrahenten sind.

Mini-PCs von Asus, Apple und Zotac im Test - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /