Ein hinterhältiges Sicherheitsproblem, ignoriert von den bösen Jungs

Frank Boldewin hatte zu seiner Zeit eine Menge bösartiger Software gesehen, aber niemals so etwas wie Rustock.C.

Rustock.C ist ein Rootkit, um Windows-PCs zu infizieren und sie zu unwissenden Spam-Servern zu machen das installiert sich auf dem Windows-Betriebssystem und verwendet dann eine Vielzahl von ausgefeilten Techniken, die es nahezu unmöglich machen, zu erkennen oder sogar zu analysieren.

Als er Anfang dieses Jahres anfing, den Code zu betrachten, würde es einfach seinen Computer zum Absturz bringen. Es gab eine Verschlüsselung auf Treiberebene, die entschlüsselt werden musste, und sie wurde in Assemblersprache geschrieben, unter Verwendung der "Spaghetti-Code-Struktur", die es für Boldewin extrem schwierig machte herauszufinden, was die Software tatsächlich tat.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Das Analysieren eines Rootkits ist normalerweise eine Abendarbeit für jemanden mit den technischen Fähigkeiten von Boldewin. Bei Rustock.C hat es jedoch Tage gedauert, bis er herausgefunden hatte, wie die Software funktionierte.

Weil Boldewin, ein Sicherheitsforscher des deutschen IT-Dienstleisters GAD, so schwer zu erkennen ist, glaubt er, dass es Rustock.C gab für fast ein Jahr, bevor Antivirus-Produkte begannen, es zu erkennen.

Dies ist die Geschichte mit Rootkits. Sie sind hinterhältig. Aber sind sie eine große Bedrohung?

Ende 2005 entdeckte Mark Russinovich das berühmteste Rootkit. Ein Windows-Sicherheitsexperte, Russinovich war eines Tages verblüfft, als er ein Rootkit auf seinem PC entdeckte. Nach einigen Nachforschungen stellte er schließlich fest, dass die Kopierschutzsoftware von Sony BMG Music Entertainment tatsächlich Rootkit-Techniken verwendete, um sich auf Computern zu verstecken. Sonys Software war nicht darauf ausgelegt, irgendeinen Schaden anzurichten, aber sie war praktisch nicht zu entdecken und extrem schwer zu entfernen.

Sonys Rootkit wurde zu einem großen PR-Desaster für das Unternehmen, das Millionen in Rechtsstreitigkeiten mit Nutzern austrug, die von der Software betroffen waren.

Drei Jahre später hält Russinovich, ein Technical Fellow bei Microsoft, immer noch das Rootkit, das Computerbenutzern die meisten Probleme bereitet.

Aber das Sony-Rootkit hat auch den Antivirus-Herstellern Probleme gemeldet. Die Tatsache, dass keiner von ihnen diese Software für etwa ein Jahr bemerkt hatte, war ein ernstes blaues Auge für die Sicherheitsindustrie.

Obwohl sie vor Jahren auf Unix-Maschinen gestartet wurden, wurden zum Zeitpunkt des Sony-Fiaskos Rootkits berücksichtigt die nächste große Bedrohung für Antivirus-Anbieter. Sicherheitsforscher erkundeten den Einsatz von Virtualisierungstechnologie, um Rootkits zu verstecken, und diskutierten darüber, ob eines Tages ein völlig undetektierbares Rootkit erstellt werden könnte.

Russinovich sagt nun, dass Rootkits ihrem Hype nicht gerecht geworden sind. "Sie sind nicht so weit verbreitet wie alle erwartet haben", sagte er in einem Interview.

"Malware funktioniert heute ganz anders als damals, als der Rootkit-Wahn andauerte", sagte er. "Dann … Malware würde Popups über Ihren Desktop werfen und Ihren Browser übernehmen. Heute sehen wir eine völlig andere Art von Malware."

Die heutige Malware läuft leise im Hintergrund, spammen oder hosting seine fiesen Websites ohne die Das Opfer merkt immer, was vor sich geht. Ironischerweise sind die ausgereiftesten Rootkits auf Kernel-Ebene oft so unglaublich aufdringlich, dass sie auf sich aufmerksam machen, sagen die Sicherheitsexperten.

"Es ist extrem schwierig, Code für Ihren Kernel zu schreiben, der das nicht tut stürzen Sie Ihren Computer ", sagte Alfred Huger, Vice President des Security Response Teams von Symantec. "Ihre Software kann ziemlich leicht auf jemand anderen übertreten."

Obwohl Rootkits für Unix-Benutzer immer noch ein Problem darstellen, sind sie auf Windows-PCs nicht weit verbreitet.

Rootkits machen weit weniger als 1 Prozent von allen aus die versuchten Infektionen, die Symantec in diesen Tagen verfolgt. Was Rustock.C betrifft, so hat Symantec trotz seiner technischen Raffinesse nur etwa 300 Mal in freier Wildbahn entdeckt.

"Im Großen und Ganzen ist das Malware-Spektrum ein sehr kleines Stück, und es ist heute von begrenztem Risiko", sagte Huger.

Nicht alle sind jedoch mit den Ergebnissen von Symantec einverstanden. Thierry Zoller, Direktor für Produktsicherheit bei n.runs, sagt, dass Rustock.C weit verbreitet über das berüchtigte Russian Business Network verbreitet wurde und dass Infektionen höchstwahrscheinlich Zehntausende sind.

"Rootkits wurden verwendet, um Zugang zu einem kompromittiert Ziel so lange wie möglich und hatte nie das Ziel, weit verbreitet werden ", sagte er in einem Interview über Instant Messaging durchgeführt.

Am Ende können Kriminelle Rootkits aus einem sehr einfachen Grund vermeiden: Sie tun es einfach nicht Brauchen Sie sie.

Hacker haben statt raffinierter Rootkit-Techniken stattdessen neue Techniken entwickelt, die es Antivirus-Anbietern erschweren, den Unterschied zwischen ihrer Software und legitimen Programmen zu erkennen. Zum Beispiel machen sie tausende verschiedene Versionen eines Schadprogramms, wobei sie jedes Mal den Code durcheinander bringen, so dass Antivirus-Produkte es schwer haben, sie zu erkennen.

So hat Symantec in der zweiten Hälfte des Jahres 2007 fast eine halbe Million erfasst neue Arten von bösartigem Code, 136 Prozent von der ersten Hälfte des Jahres. Sicherheitsexperten sagen, dass diese Situation im Jahr 2008 noch schlimmer ist.

"Die Dinge, über die wir rennen, sind nicht so kompliziert", sagte Greg Hoglund, CEO von HBGary, einem Unternehmen, das Software verkauft, um Kunden bei Computereinbrüchen zu helfen. "Der größte Teil der Malware, die es heutzutage gibt … versucht nicht, sich zu verstecken."

Zum Beispiel wurde einer der Kunden von HB Gary kürzlich von einem gezielten Angriff getroffen. Die Bösen wussten genau, was sie wollten, und nachdem sie in das Netzwerk eingedrungen waren, überfielen sie die Informationen, bevor das Vorfallteam des Unternehmens überhaupt dorthin gelangen konnte, sagte Hoglund. "Es war sehr klar, dass die Angreifer wussten, dass sie so schnell mit den Daten davonkommen würden, dass sie sich nicht einmal verstecken mussten."