Scholz, B. (2009). Understanding rootkits : a threat analysis covering rootkits from user-mode to hypervisor-level [Diploma Thesis, Technische Universität Wien]. reposiTUm. http://hdl.handle.net/20.500.12708/185676
E188 - Institut für Softwaretechnik und Interaktive Systeme
-
Date (published):
2009
-
Number of Pages:
83
-
Keywords:
Rootkits; IT-Security
de
Abstract:
In den vergangenen Jahren haben sich Universitäten und Forschungseinrichtungen vielfach mit den Techniken auseinandergesetzt, die von Hackern verwendet werden um in Computersysteme einzubrechen: Nicht nur die relativ kleine Gemeinde von IT-Sicherheitsspezialisten, sondern auch breitere Kreise von Computernutzern wurden über Buffer-Overflows, gängige Konfigurationsfehler in populären Softwareprodukten und die Gefahren von Social-Engineering Angriffen informiert. Weit weniger öffentliche Beachtung haben jedoch die Techniken erfahren, die es Hackern ermöglichen ihre Präsenz auf einem bereits übernommenen Host zu verschleiern. Sogenannte Rootkits - Werkzeuge, die es einem Angreifer erlauben seine eigenen Aktionen auf einem kompromittierten System vor den legitimen Eigentümern zu verbergen - haben eine ebenso rasante wie stille Entwicklung durchlebt. Während sich die erste Generation von Rootkits noch auf der selben Berechtigungsebene wie andere Endbenutzerprogramme bewegte, operieren moderne Rootkits längst auf einer höheren Ebene: im System-Kernel von Windows- und Linux-Betriebssystemen. Neue Entwicklungen, wie beispielsweise fortgeschrittene Virtualisierungs- Technologien, die von der aktuellen Generation von AMD- und Intel-CPUs unterstützt werden, bilden die technische Basis für eine brandneue Generation von Rootkits mit atemberaubenden Möglichkeiten. Sogenannte Hypervisor-Rootkits sind in der Lage kompromittierte Computer vollständig in eine virtuelle Maschine zu verschieben, und auf diese Art und Weise jedwede Aktion des "gefangenen" Hosts zu kontrollieren. Im Rahmen dieser Diplomarbeit wird die Evolution von Rootkits von den ersten User-Mode Rootkits über Kernel-Basierte Rootkits bis zu den neuesten Prototypen von Hypervisor-Rootkits beschrieben. Die Funktionsweise dieser Tools wird erläutert und Möglichkeiten, aber auch Grenzen der jeweiligen Rootkit-Art aufgezeigt. Abschließend wird der Grad der Gefährdung des Endbenutzers durch die verschiedenen Rootkit-Arten betrachtet. Um der Gefahr, die von modernen Rootkits ausgeht, Herr zu werden, ist die Sensibilisierung von IT-Spezialisten und Key-Usern ein unabdingbarer Schritt. Aus diesem Grund wurde im Rahmen dieser Masterarbeit ein Übungsbeispiel erstellt, mit dessen Hilfe der Umgang mit einer realistischen "in-the-wild" Rootkit-Infektion anhand einer Virtuellen Maschine geübt werden kann. Die in der Arbeit beschriebenen Techniken zur Entdeckung und Entfernung von Rootkits können praxisnah angewandt werden. Ziel dieses Ansatzes ist es, durch "learning-by-doing" einen höheren Lerneffekt zu erzielen als dies bei theorielastingen Schulungen möglich wäre. Die der Arbeit beigelegten Schulungsmaterialien wurden für ein technisch versiertes Publikum erstellt und eigenen sich zum Einsatz in universitären IT-Security-Kursen sowie für praxisorientierte IT-Schulungen, zu deren Zielgruppe IT-Spezialisten gehören.