Was ist RootkitRevealer: Funktionsweise, Verwendung und Anzeichen von Rootkits

Informatec Digital » Sicherheit » Was ist RootkitRevealer: Funktionsweise, Verwendung und Anzeichen von Rootkits

RootkitRevealer ist eines dieser legendären Dienstprogramme, die jeder Windows-Profi kennen sollte. Es wurde vom Sysinternals-Team unter der Leitung von Mark Russinovich entwickelt und ist, obwohl es schon vor Jahren auf den Markt kam, nach wie vor eine Referenz für das Verständnis der Rootkit-Erkennung. Diskrepanzen durch Rootkits zwischen dem, was das System anzeigt und dem, was sich tatsächlich auf der Festplatte befindet.

Im Gegensatz zu anderen Scannern sucht dieser Scanner nicht nach Signaturen oder Mustern: Er vergleicht die allgemeine Ansicht der Windows-API mit den Rohdaten der Festplatte und der Registrierung. Diese scheinbar einfache Idee deckt das Potenzial von Schadsoftware auf, das System auszunutzen. Dateien, Schlüssel oder Werte verbergen Betrug beim Pfad der Systemaufrufe.

Was ist RootkitRevealer und auf welchen Systemen funktioniert es?

Es ist ein fortschrittliches Tool zum Erkennen von Anzeichen von Rootkits sowohl in Benutzermodus wie im Kernelmodus. Es wurde für Windows XP und Windows Server 2003 (32-Bit) erstellt und wird allgemein als kostenlos aufgeführt, ist in englischer Sprache und misst etwa 231 KB. Viele Auflistungen gaben damals auch an, dass es mit Windows NT/2000/XP/Vista kompatibel sei.

Die reine Befehlszeilenversion wurde schließlich entfernt, weil einige Malware-Autoren begannen, den Namen der ausführbaren Datei zu überwachen. Um dies zu verhindern, startet das Programm als Dienst von einer zufällig benannten Kopie seiner selbst, was es schwierig macht, es anhand des Namens zu erkennen und eine 100 % Konsolenschnittstelle.

Was ist ein Rootkit? Schlüsselkonzepte

Der Begriff Rootkit bezeichnet Techniken und Mechanismen, die es Schadsoftware (Viren, Trojaner, Spyware usw.) ermöglichen, vor dem Benutzer und Sicherheitstools verbergenEs gibt mehrere Familien: persistent (übersteht Neustarts), speicherresident (verschwindet beim Neustart), Benutzermodus und Kernelmodus sowie andere moderne Varianten.

Ein Rootkit im Benutzermodus kann Funktionen wie FindFirstFile/FindNextFile oder die systemeigenen Enumeratoren abfangen und so Einträge leaken, die Ihre Dateien, Prozesse oder geänderte Registrierungsschlüssel. Explorer, Eingabeaufforderung oder Registrierungs-Editoren sehen also nicht, was tatsächlich da ist.

Kernel-Mode-Rootkits gehen noch weiter: Sie können nicht nur die native API abfangen, sondern auch Kernel-Strukturen direkt manipulieren, indem sie beispielsweise ihren Prozess aus der Liste der aktiven Prozesse entfernen, sodass wird nicht im Task-Manager oder Process Explorer angezeigt auch wenn es läuft.

Es gibt hybride (teilweise benutzer- und teils kernelbasierte), Firmware- (BIOS/UEFI und andere Komponenten), Boot- oder Bootkit- (MBR/UEFI), virtuelle (das echte Betriebssystem wird in einer virtuellen Maschine platziert) und speicherbasierte (nicht persistente) Bootkits. Letztere können besonders schwer zu finden sein, während Firmware und Bootkits auch nach einer Neuinstallation des Betriebssystems bestehen bleiben. Betriebssystem von Grund auf neu.

So funktioniert RootkitRevealer

RKR vergleicht zwei Snapshots: die Windows-API-Ansicht (auf hoher Ebene) und die Rohdaten der Volume- und Registry-Strukturen auf niedriger Ebene. Wenn ein Rootkit Aufrufe auf hoher Ebene manipuliert, um etwas zu verbergen, wird diese Manipulation aufgedeckt, da die Daten auf der Festplatte und in der Registry nicht mit den Angaben der API übereinstimmen. Dies führt zu diagnostizierbare Diskrepanzen.

Theoretisch könnte ein Rootkit auch versuchen, sich vor RootkitRevealer zu verstecken, indem es dessen Rohdaten abfängt und die Daten im laufenden Betrieb neu schreibt. Dazu müsste es die Formate NTFS, FAT und Registry genau kennen und Strukturen ändern können, ohne Inkonsistenzen oder offensichtliche Nebenwirkungen zu verursachen. großer technischer Aufwand was selten beobachtet wurde. Trotzdem gibt es keinen narrensicheren „Universaldetektor“: Selbst ein Boot aus einer externen Umgebung (z. B. mit dem beste Linux-Distributionen) könnten durch speziell entwickelte Geräte sabotiert werden anspruchsvoll und ausdauerndIn der Praxis besteht der robusteste Ansatz darin, Online-Analyse mit Offline-Verifizierung in vertrauenswürdigen Umgebungen zu kombinieren.

Anforderungen, bewährte Verfahren und Ausführung

Zur Ausführung benötigt das Konto die Berechtigungen „Dateien und Verzeichnisse sichern“, „Treiber laden“ und „Volumewartung“ (unter Windows XP und höher verfügen Administratoren standardmäßig über diese Berechtigungen). Um Fehlalarme zu minimieren, wird empfohlen, den Scan mit dem System im Standby-Modus ohne geöffnete Anwendungen.

Um den Scan manuell auszuführen, drücken Sie einfach die Scan-Schaltfläche. Während des Vorgangs meldet das Programm den Fortschritt und listet etwaige Abweichungen auf. Es gibt zwei relevante Optionen: „Dateien vor NTFS-Metadaten verbergen“ (standardmäßig aktiviert, um die von NTFS verborgenen Standardmetadaten nicht anzuzeigen) und „Scan-Protokoll“ (standardmäßig aktiviert; wenn Sie diese Option deaktivieren, wird der Scan übersprungen). Windows-Registrierung).

Zur Automatisierung unterstützt es Parameter, die Ihnen das Starten, Anmelden und Beenden ohne Eingriff ermöglichen: rootkitrevealer outputfile]. Die Option -a startet und endet automatisch; -c das Ergebnis in CSV ausgeben; -m zeigt NTFS-Metadaten an; und -r deaktiviert das Scannen der Registrierung. Die Ausgabedatei muss in einem zugängliches lokales Volume.

Remote-Ausführung ist mit PsExec möglich. Beispiel: psexec \\remote -c rootkitrevealer.exe -a c:\windows\system32\rootkit.log. Mit -c, der Fortschritt wird nicht angezeigt und Abweichungen werden in CSV gedruckt, was den Import erleichtert in Datenbanken oder Skripten.

Interpretation der Ergebnisse und typische Abweichungen

Diskrepanzen beim „Versteckt vor der Windows-API“ treten am häufigsten auf, wenn ein Rootkit Einträge verbirgt. Wenn Sie die Anzeige von NTFS-Metadaten nicht aktiviert haben, werden Sie Diskrepanzen feststellen, weil NTFS seine internen Dateien vor der API verbirgt. $MFT oder $SecureEinige Antivirenprogramme speichern Daten auch in alternativen Streams und verbergen sie, was zu ähnlichen Fehlern führt.

Dies sind einige der in NTFS (Windows Server 2003) definierten Standardmetadaten: $AttrDef, $BadClus, $BadClus:$Bad, $BitMap, $Boot, $LogFile, $Mft, $MftMirr, $Secure, $UpCase, $Volume, $Extend, $Extend\$Reparse, $Extend\$ObjId, $Extend\$UsnJrnl, $Extend\$UsnJrnl:$Max, $Extend\$Quota.

RKR korreliert drei Quellen im Dateisystem: Windows API, die Master File Table (MFT) und Verzeichnisindizes auf der Festplatte. Kombinationen wie „Sichtbar in API, aber nicht im Index oder in der MFT“, „Sichtbar in MFT, aber nicht in API“ usw. können auftreten, insbesondere wenn während des Scans eine Datei erstellt oder gelöscht wird und eine Zeitinkonsistenzfenster.

Beispiel für die Erstellung beim Scannen: C:\newfile.txt, 8 Byte groß, mit der Meldung „Sichtbar in der API, aber nicht im Index oder MFT“. Diese Fälle weisen nicht unbedingt auf Rootkits hin, sondern auf gleichzeitige Änderungen während der Untersuchung.

Wenn „Zugriff verweigert“ angezeigt wird, stimmt etwas nicht: RootkitRevealer verwendet Mechanismen, um auf Dateien, Verzeichnisse oder Schlüssel zuzugreifen. Daher sollte diese Meldung unter normalen Bedingungen nicht erscheinen. normale Ausführung.

In der Registry gibt es mehrere interessante Diskrepanzen: „Die Länge der Windows-API stimmt nicht mit den Rohdaten überein“ (möglicher Versuch, den tatsächlichen Inhalt zu verbergen), „Typkonflikt“ (z. B. wird REG_SZ angegeben, es handelt sich jedoch um REG_BINARY), „Schlüsselname enthält eingebettete NULL-Werte“ (bekannte Technik, die den Unterschied zwischen NULL-terminierten Zeichenfolgen und Zeichenfolgen mit einer Anzahl ausnutzt). Für den letzteren Fall bietet das Dienstprogramm RegDelNull von Sysinternals hilft beim Bereinigen von Schlüsseln mit eingebetteten NULL-Werten.

„Datenkonflikte“ können auftreten, wenn sich ein Wert während des Scans ändert (z. B. SQL Server-Betriebszeiten wie HKLM\SOFTWARE\Microsoft\Microsoft SQL Server\RECOVERYMANAGER\MSSQLServer\uptime_time_utc). Sie müssen bestätigen, dass der Wert zu legitime Komponenten die Daten in Echtzeit aktualisieren.

Ein anschauliches Beispiel hierfür ist das HackerDefender-Rootkit: Seine Dienste und Treiber waren für die Windows-API unsichtbar, waren jedoch beim Lesen der Rohdaten der Registrierungsstruktur vorhanden. Dasselbe galt für seine Dateien, die nicht direkt vom Dateisystem gescannt wurden. ja, es wurde auf der Festplatte erkannt.

Häufige Fehler und Probleme mit rootkitrevealer.exe in forensischen Umgebungen

Einige forensische Kits (z. B. WinTaylor) listen typische Fehler im Zusammenhang mit rootkitrevealer.exe, wie etwa: „Keine gültige Win32-Anwendung“, „Nicht gefunden“, „Anwendungsfehler“ oder „Problem beim Starten“. Diese Meldungen treten normalerweise während der Installation, beim Starten oder Herunterfahren des Systems oder aufgrund von Konflikten mit anderen Anwendungen auf. Anträge von Bewohnern.

Zu den häufigsten Ursachen zählen fehlende oder beschädigte Dateien, ungültige Registrierungseinträge, Malware-Infektionen, unvollständige Deinstallationen oder Konflikte mit anderer Software. Die Ursache kann ein beschädigter Registrierungseintrag, ein versehentliches Löschen durch ein anderes Tool, ein fehlgeschlagener Download oder ein frühere Infektion das ändert die Binärdatei.

Als Kuriosität des Inventars dokumentieren einige Listings die ausführbare Datei mit einer ungefähren Größe von 334.720 Bytes und Hashes wie SHA‑1 und MD5 (z. B. SHA‑1 d39e8a3fe92adc7d7fbc5293edf8a7b965484a59, MD5 ee738fe9bcdd605821002cec8c7206db) und CRC32 98b1af0b; sie beziehen sich auch auf die Version 2.1 in seiner Container-App und Kategorie „Forensisches Toolkit/Betriebssystem“.

Rootkit-Erkennungs- und Reaktionsmethoden

Das Erkennen eines Rootkits ist nicht immer trivial. Neben spezifischen Tools werden Techniken wie die Signaturanalyse bekannter Bedrohungen, der Kaltvergleich von Strukturen, die Speichersuche nach Hooks und Änderungen sowie die Überprüfung von Speicherabbildern nach Abstürzen kombiniert, um Folgendes zu identifizieren: verdächtige ModuleEs ist auch üblich, sich auf Präventionssysteme (IPS) um das Netzwerk zu schützen und Infektionsvektoren zu reduzieren.

Zu den spezialisierten Dienstprogrammen gehören GMER (versteckte Prozesse und Kernel-Änderungen), Kaspersky TDSSKiller (insbesondere Kernel-Bootkits und Rootkits), Malwarebytes Anti-Rootkit, Microsoft Defender Offline (Scannen vor dem Windows-Start) und RogueKiller. Führen Sie sie von einem USB-Stick aus. zuverlässiger Start oder im abgesicherten Modus die Ausweichfläche reduziert.

Bei Boot- oder Firmware-Bedrohungen ist es ratsam, Rettungsmedien wie Kaspersky Rescue Disk zu verwenden, den MBR mit bootrec /fixmbr Aktualisieren/flashen Sie gegebenenfalls und in schweren Fällen das BIOS/UEFI auf eine saubere Version des Herstellers, um Persistenz auf niedriger Ebene.

Überwachung mit Sysinternals ist Gold wert: Process Monitor (ProcMon) für Prozess- und Dateiaktivität, Autoruns zur Überprüfung, was beim Start geladen wird und RootkitRevealer für Abweichungen zwischen hohem und niedrigem Niveau. SIEM-Plattformen wie Wazuh und Telemetrie in Unternehmensumgebungen kann unerwartetes Netzwerkverhalten oder Integritätsänderungen aufdecken.

Wenn die Infektion bestätigt ist, ist die sinnvolle Reihenfolge: Trennen Sie die Maschine vom Netzwerk, scannen Sie die externe Umgebung, beurteilen Sie die Boot-/Firmware-Integrität und, wenn es keine Garantien gibt, sichern Sie die Daten, löschen Sie die Festplatte vollständig (Tools wie DBAN) und installieren Sie sie von einem verifizierten Medium neu. Aktivieren Sie anschließend Maßnahmen wie Secure Boot und TPM.

Prävention: Sinnvoller Schutz vor Rootkits

Prävention ist der Schlüssel. Halten Sie Ihr System auf dem neuesten Stand, patchen Sie Software von Drittanbietern, vermeiden Sie ausführbare Dateien aus zweifelhaften Quellen und verwenden Sie keine Cracks oder Keygens: Sie sind ein beliebtes Ziel für Bündelung. Dropper und Loader von Rootkits.

Deaktiviert den USB-Autostart, scannt externe Laufwerke vor dem Öffnen und begrenzt oder blockiert in Geschäftsumgebungen Ports und erzwingt Firewalls wenn es sinnvoll ist. Es funktioniert mit nicht privilegierten Benutzerkonten, wendet das Prinzip der geringsten Privilegien an und erfordert Administratoranmeldeinformationen für kritische Änderungen, wodurch die Wahrscheinlichkeit von stille Anstiege.

Aktivieren Sie auf kompatibler Hardware SICHERES BOOTEN und TPM von UEFI zum Schutz der Boot-Kette und der Schlüsselversiegelung. Führen Sie regelmäßig Offline- oder unveränderliche Backups durch und verwenden Sie Snapshots/Wiederherstellungspunkte, um die Wiederherstellung im Notfall zu verkürzen. schafft es, sich einzuschleichen.

So werden Rootkits installiert: Dropper, Loader und Vektoren

Angreifer verbreiten Rootkits oft als kombinierte Bedrohungen: einen „Dropper“, der das Paket ausliefert, und einen „Loader“, der Schwachstellen (wie Pufferüberläufe) ausnutzt, um das Implantat dort zu platzieren, wo es nicht hingehört. Dies wird getarnt als Phishing-E-Mail, gefälschte Installationsprogramme oder betrügerische Updates.

Zu den klassischen Vektoren zählen das Entführen von Messaging-Clients zur Verbreitung bösartiger Links, das Trojanisieren von Software auf Download-Portalen, die Verwendung anderer Malware als Träger und das Einbetten in Rich-Content-Dokumente (z. B. bestimmte PDFs), die beim Öffnen den Angriff auslösen. automatischer Dropper.

Angriffszeichen und Erkennungshinweise

Das Ziel eines Rootkits besteht darin, es „unauffällig“ zu machen. Konfigurationsänderungen ohne Benutzereingriff, ungewöhnliche Netzwerkunterbrechungen durch versteckten Datenverkehr, unbekannte Prozesse, Dienste, die nicht beendet werden können, und Sicherheitstools können jedoch beobachtet werden. ohne Erklärung deaktiviert.

Ein weiterer Hinweis sind widersprüchliche Informationen zwischen Dienstprogrammen, die Dateien, Prozesse oder Registrierungsschlüssel über unterschiedliche Pfade auflisten (API vs. Raw Read). Hier kommen Ansätze wie RootkitRevealer zum Einsatz: Dasselbe Objekt, das sich auf der Festplatte befindet und für die API nicht. deutet auf Manipulation hin.

Haupttypen von Rootkits

Benutzermodus: Sie arbeiten auf Prozess- und Bibliotheksebene. Sie sind stabiler und relativ leicht zu erkennen, obwohl sie Dateien, Prozesse und Schlüssel verbergen können. Ein klassisches historisches Beispiel: HackerDefender.

Kernelmodus: Sie leben im Kern, haben die totale Kontrolle und sind sehr heimlich; sie sind schwer auszurotten und neigen dazu, Instabilität zu verursachen, wenn sie schlecht konzipiert sind. Beispiele für Familien: TDL/Alureon in seiner Entwicklung.

Hybriden: Sie kombinieren Benutzer- und Kernel-Komponenten, um Tarnung und Stabilität in Einklang zu bringen, was sie bei Angreifern aufgrund ihrer praktische Vielseitigkeit.

Firmware/Bootkits: Sie infizieren das BIOS/UEFI oder den Bootsektor (MBR/UEFI), um vor dem Betriebssystem geladen zu werden. Technologien wie Secure Boot haben viele klassische Bootkits überflüssig gemacht, es sind jedoch neue aufgetaucht. UEFI-Implantate modern

Virtuell und Speicher: VMBRs laden einen Hypervisor unter das Betriebssystem und virtualisieren ihn; Speicher-VMBRs befinden sich nur im RAM und verschwinden beim Neustart, sehr nützlich für kurzlebige Operationen.

Beispiele und hervorgehobene Chronologie

In den 90er Jahren wurden die ersten Rootkits für SunOS entwickelt; 1999 beschrieb Greg Hoglund NTRootkit (Windows, Kernelmodus) und 2003 HackerDefender (Windows 2000/XP, Benutzermodus), was zu einem Tauziehen mit Tools wie RootkitRevealer führte.

Im Jahr 2004 wurde beim sogenannten „Griechischen Watergate“ ein Rootkit verwendet, um sich in mehr als 100 Telefone eines GSM-Netzwerks einzuhacken. Im Jahr 2005 wurde entdeckt, dass sony bmg Einige CDs enthielten ein Anti-Piraterie-Rootkit, was eine große Sicherheitskontroverse auslöste.

Seit 2008 haben sich Bootkits wie TDL (TDL-1 bis TDL-4) weiterentwickelt; 2009 zeigte „Machiavelli“, dass auch macOS (damals Mac OS X) nicht immun war; 2010 Stuxnet verwendete Rootkit-Komponenten, um iranische Industriesysteme zu sabotieren.

Im Jahr 2012 erschien EE, eine massive modulare Malware; im Jahr 2018 LoJax Es war das erste UEFI-Rootkit, das in freier Wildbahn entdeckt wurde. Und im Jahr 2019 SCRAN kombinierter Diebstahl von Anmeldeinformationen und versteckte Umsatzgenerierung mit browserbasierten Klickfarmen massenhaft begangen.

Ressourcen und empfohlene Lektüre

Mark Russinovichs Recherchen zum Sony-Fall und sein Artikel „Unearthing Rootkits“ in Windows IT Pro helfen, das Phänomen und die Technik hinter RKR zu verstehen; das Buch „Rootkits: Subverting the Windows Kernel“ von Greg Hoglund und Jamie Butler ist die maßgebliche Abhandlung. tiefer in die Materie einsteigen.

Das Phrack-Archiv, Peter Szors „The Art of Computer Virus Research and Defense“, Ed Skoudis und Lenny Zeltsers „Malware: Fighting Malicious Code“ und die Windows Internals-Reihe (ab 4. Auflage) sind unverzichtbare Materialien für jeden, der tiefer in die Architektur eintauchen möchte und ernsthafte Gegenmaßnahmen.

RootkitRevealer im Sysinternals-Ökosystem

RKR koexistiert mit anderen Sysinternals-Dienstprogrammen, die für die Untersuchung nützlich sind: AccessChk und AccessEnum (effektive Berechtigungen), Autoruns (alles, was mit dem System startet), Process Explorer (wer hat was geöffnet und mit welcher DLL), PsExec/PsTools (Remote-Ausführung und -Verwaltung), PsLogList und PsLoggedOn (Ereignisse und Sitzungen), Sigcheck (digitale Signaturen), SDelete (sicheres Löschen), ShareEnum (gemeinsam genutzte Ressourcen) und Sysmon (erweiterte Telemetrie im Ereignisprotokoll).

In historischen Repositories findet man häufig Verweise auf „Download 1.71“ und auf „Run Now“ über Sysinternals Live. Obwohl das Projekt alt ist, bleibt sein mentales Modell – der Vergleich von hoch und niedrig – bestehen. Schlüssel zur Rootkit-Jagd.

RootkitRevealer ist vor allem eine Lektion in defensiver Technik: Wenn die API-Rückmeldungen manipuliert werden, muss man einen Blick in die Tiefe werfen und sie mit dem vergleichen, was tatsächlich auf der Festplatte und in der Registrierung vorhanden ist. Mit bewährten Methoden, geeigneten Tools und gegebenenfalls Offline-Verifizierung ist es möglich, aufzudecken, was sich dort zu verstecken versucht, wo wir es vermuten. niemand wird hinschauen.