Kernel-Guard soll gegen Rootkits schützen

Kernel-Modul verhindert das Laden von weiteren Modulen. Nach seiner Rootkit-Demonstration für den Linux-Kernel 2.6 stellt der Informatikstudent Amir Alsbih nun auch eine Gegenmaßnahme bereit. "Kernel-Guard" verhindert das Laden weiterer Module, selbst wenn ein Nutzer über Root-Rechte verfügt. Rootkits können somit nicht mehr installiert werden.

27. Januar 2006 um 12:18 Uhr / Julius Stiebert

36 Kommentare News folgen (öffnet im neuen Fenster)

Bisher war es schwierig, Kernel-Rootkits unter dem Linux-Kernel 2.6 zu implementieren, da dieser die Systemcall-Tabelle nicht mehr exportiert. Die Adressen der Systemcalls sind daher nicht bekannt und können nicht manipuliert werden. Im Vorfeld des 22C3 schafften es Amir Alsbih und "Newroot" dann aber doch, ein entsprechendes Rootkit zu entwickeln, eine überarbeitete Version veröffentlichte Alsbih mittlerweile.

Nun hat er mit " Kernel-Guard(öffnet im neuen Fenster) " auch ein Modul vorgestellt, dass Systeme mit Kernel 2.6 vor Rootkits schützen soll und dabei selbst eine Art gutartiges Rootkit ist. Kernel-Guard verhindert das Laden weiterer Module, auch durch den Root-Nutzer. Wird es nach allen benötigten Modulen noch beim Bootvorgang geladen, soll das System so abgesichert sein, da ein Angreifer sein Rootkit nicht installieren kann – zumindest so lange das System nicht neu gestartet wird und dabei Kernel-Guard nicht mehr lädt.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Homeoffice-Snitching: Microsoft Teams trackt Standort über WLAN ab Dezember 2025

zum Ratgeber

Seminar: Social Engineering Angriffe abwehren: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Successfully Landing Your New Job - Master Your Next Job Interview (E-learning in English)

zum Kurs

Damit eignet es sich vor allem für Server, die mit einer festgelegten Konfiguration laufen, bei der das Nachladen von Modulen nicht notwendig ist, die so aber gegen Angriffe geschützt werden können.

Zur Startseite 36 Kommentare

Reklame Hier geht es zu Linux: Das umfassende Handbuch bei Amazon

Rootkit-Demonstration für Kernel 2.6

Modifizierte Version des auf dem 22C3 vorgestellten Rootkits. Amir Alsbih hat ein Rootkit für den Linux-Kernel 2.6 veröffentlicht, das demonstrieren soll, wie Rootkit-Funktionen unter dem 2.6er-Kernel implementiert werden können. Bereits auf dem 22. Chaos Communication Congress Ende 2005 (22C3) in Berlin hatte er im Rahmen eines Vortrages ein Rootkit vorgestellt, das allerdings nicht veröffentlicht wurde. Eine modifizierte Version steht nun jedoch zum Download bereit.

Norton SystemWorks enthält Rootkit-Funktion

Symantec bietet Patch zur Abschaltung der Rootkit-Fähigkeit. In der Sicherheitssoftware-Lösung Norton SystemWorks steckt - wie jetzt bekannt wurde - eine Rootkit-Funktion, über die Angreifer schadhaften Programmcode verbergen könnten. Virenscanner oder andere Schutzsoftware kann die Schadsoftware nicht erkennen, weil das betreffende Verzeichnis vor dem gesamten Windows-System verborgen wird. Solche Rootkit-Fähigkeiten haben kürzlich den Plattenkonzern Sony BMG massiv unter Druck gesetzt.

Relevante Themen