‘Aktives’ Rootkit verwischt seine Spuren

Ein ‘aktives’ Rootkit haben zwei Sicherheitsexperten auf der Konferenz ‘Black Hat Briefings’ in Las Vegas vorgestellt. Ein Rootkit ist eine Software-Sammlung, mit der ein Hacker nach dem Einbruch in einen Computer seine künftigen Logins verbirgt. Dabei agiert der Einbrecher als Administrator (Root).

James Butler, Director of Engineering beim kalifornischen Sicherheitsunternehmen HBGary, und Sherri Sparks, Studentin an der University of Central Florida, zeigten das Proof-of-Concept eines Rootkits, dass in die Offensive geht, um seine Spuren zu verwischen. ‘Shadow Walker’ ist ein Abkömmling des Kernel-Rootkits ‘FU’ und nutzt DKOM-Techniken (Direct Kernel Object Manipulation), um sich vor einer Entdeckung mit dem ‘Windows Event Viewer’ zu verbergen. Die Malware mache eine forensische Analyse “virtuell unmöglich” und verstecke zudem Gerätetreiber, sagte Butler gegenüber dem US-Branchendienst Eweek.

Shadow Walker verberge sich selbst und die Änderungen, die es am System mache, sagte Sparks. Das Rootkit kontrolliere dabei, welche Inhalte des Arbeitsspeichers sichtbar seien. Der Anwender merke davon nichts, die Performance sei nicht beeinträchtigt. Der beste Weg, um Rootkits wie Shadow Walker zu entdecken, sei der Einsatz von Hardware-Memory-Scannern, die Zugriff auf den physiklischen Arbeitsspeicher haben, so Sparks.

Derweil gibt es erste Berichte, nach denen Spyware-Autoren ihre Malware zunehmend mit Rootkit-Funktionaliäten ausstatten. Die Spyware-Schreiber versuchten damit, installierte Spionage-Programme zu aktualisieren und gelöschte Spyware neu zu installieren, hieß es.