• IT-Karriere:
  • Services:

Rootkit-Demonstration für Kernel 2.6

Modifizierte Version des auf dem 22C3 vorgestellten Rootkits

Amir Alsbih hat ein Rootkit für den Linux-Kernel 2.6 veröffentlicht, das demonstrieren soll, wie Rootkit-Funktionen unter dem 2.6er-Kernel implementiert werden können. Bereits auf dem 22. Chaos Communication Congress Ende 2005 (22C3) in Berlin hatte er im Rahmen eines Vortrages ein Rootkit vorgestellt, das allerdings nicht veröffentlicht wurde. Eine modifizierte Version steht nun jedoch zum Download bereit.

Artikel veröffentlicht am , Julius Stiebert

Rootkits werden in der Regel nach dem Einbruch in ein Computersystem installiert, um Informationen zu verstecken. Userland-Rootkits tauschen dabei häufig genutzte Systemprogramme wie "ls", "ps" oder "netstat" aus, um so die laufenden Prozesse oder zusätzliche Netzwerkverbindungen vor den Augen des Administrators zu verstecken. Dadurch verändern sich jedoch die MD5-Checksummen der ausgetauschten Programme, so dass solche Rootkits relativ leicht aufgespürt werden können.

Stellenmarkt
  1. über duerenhoff GmbH, Wiesbaden
  2. Netlution GmbH, Mannheim

Rootkits, die im Kernel-Land laufen, sind hingegen nahezu unauffindbar, da im Kernel selbst Informationen über die Manipulation herausgefiltert werden können. Auch forensische Werkzeuge versagen so ihren Dienst. Allerdings existieren auch durchaus gutartige Rootkits, die in der IT-Sicherheitsindustrie angewendet werden - ein Beispiel hierfür ist Sebek.

Für den Kernel 2.6 existierte bisher nur das exemplarische Rootkit "adore-ng", das nicht mehr weiterentwickelt wird und daher nicht mehr mit aktuellen Kernel-Versionen funktioniert. Seit Kernel 2.6 wird die Systemcall-Tabelle nicht mehr exportiert, so dass die Adressen der Systemcalls nicht bekannt sind und damit nicht verändert werden konnten, was die Entwicklung eines Rootkits erschwerte.

Amir Alsbih hatte allerdings zusammen mit dem Hacker "Newroot" auf dem 22C3 ein erstes Rootkit demonstriert, das die Systemcalls manipuliert. Dieses soll jedoch nicht veröffentlicht werden, eine modifizierte Version hat Alsbih nun aber doch zu Demonstrationszwecken veröffentlicht, so dass Entwickler nachvollziehen können, wie sich Systemcalls unter Kernel 2.6 manipulieren lassen.

Das Override getaufte Rootkit kann unter anderem Prozesse und geöffnete Ports verstecken und die versteckten Prozesse auflisten. Ferner lassen sich Dateien verstecken und ein festgelegter Nutzer bekommt direkt vom Kernel Root-Rechte zugewiesen.

Zum Einrichten des Rootkits benötigt der Angreifer zwar ebenfalls Root-Rechte auf dem betroffenen System, diese könnten aber beispielsweise durch die Sicherheitslücke in einem Programm erlangt werden. Daher ist damit zu rechnen, dass auf Basis von Override weitere Rootkits entstehen, die in die freie Wildbahn gelangen und dazu genutzt werden, Schaden anzurichten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • ohne Tracking
  • mit ausgeschaltetem Javascript


Anzeige
Hardware-Angebote
  1. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  2. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  3. 1.199,00€

jsteidl 29. Jan 2006

Aus ermangelung an Alternativen würde ich einer Firma erstrecht nicht trauen. Denn mit...

Svenk 26. Jan 2006

Hallo, Mit dem Unterschied, dass bei Win9x die erste Möglichkeit nicht offen stand...

SvenK 26. Jan 2006

Hallo, wobei meines Erachtens mehr Attacken von blöden Trollen gegen Linux ausgehen als...

lucky 26. Jan 2006

Jo, KIS heisst das Teil, das erschreckende daran ist, dass es so einfach aufgebaut ist...


Folgen Sie uns
       


Nintendo Ring Fit Adventure angespielt

Mit Ring Fit Adventure können Spieler auf der Nintendo Switch einen Drachen bekämpfen - und dabei gleichzeitig Sport machen.

Nintendo Ring Fit Adventure angespielt Video aufrufen
Frauen in der IT: Ist Logik von Natur aus Männersache?
Frauen in der IT
Ist Logik von Natur aus Männersache?

Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
Von Valerie Lux

  1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
  3. IT-Freelancer Paradiesische Zustände

Death Stranding im Test: Paketbote trifft Postapokalypse
Death Stranding im Test
Paketbote trifft Postapokalypse

Seltsam, aber super: Der Held in Death Stranding ist ein mit Frachtsendungen überladener Kurier und Weltenretter. Mit ebenso absurden wie erstklassig umgesetzten Ideen hat Hideo Kojima ein tolles Spiel für PS4 und Windows-PC (erst 2020) geschaffen, das viel mehr bietet als Filmspektakel.
Von Peter Steinlechner

  1. PC-Version Death Stranding erscheint gleichzeitig bei Epic und Steam
  2. Kojima Productions Death Stranding erscheint auch für Windows-PC

ZFS erklärt: Ein Dateisystem, alle Funktionen
ZFS erklärt
Ein Dateisystem, alle Funktionen

Um für möglichst redundante und sichere Daten zu sorgen, ist längst keine teure Hardware mehr nötig. Ein Grund dafür ist das Dateisystem ZFS. Es bietet Snapshots, sichere Checksummen, eigene Raid-Level und andere sinnvolle Funktionen - kann aber zu Anfang überfordern.
Von Oliver Nickel

  1. Dateisystem OpenZFS soll einheitliches Repository bekommen
  2. Dateisystem ZFS on Linux unterstützt native Verschlüsselung

    •  /