Kaspersky Lab veröffentlicht Analyse „Bootkits – die Herausforderung des Jahres 2008″

Unter dem Titel „Bootkits – die Herausforderung des Jahres 2008“ veröffentlicht Kaspersky Lab einen Artikel der Viren-Analysten Sergey Golovanov, Alexander Gostev und Aleksey Monastyrsky. In der Analyse gehen sie einer der aktuellsten Gefahren für die IT-Sicherheit nach – auf Bootkits basierende Botnetze.

Nach Meinung der Autoren stellt der derzeitige Trend hin zu „Malware 2.0“ die Antiviren-Industrie vor eine Reihe von Schwierigkeiten. Traditionelle Antiviren-Lösungen basieren ausschließlich auf signaturbasierter und heuristischer Dateianalyse. Diese Art von Virenschutz ist weder in der Lage, Malware-2.0-Attacken zuverlässig abzuwehren, noch kann sie bereits befallene Betriebssysteme ausreichend desinfizieren.

Der Anfangspunkt von Malware 2.0 sind manipulierte Links, die Cyberkriminelle auf Internetseiten einschleusen. Echte Hyperlinks, die auf den Webseiten bereits bestehen, werden durch schädliche ersetzt. Der Besuch einer gehackten Website reicht jedoch noch nicht aus, um den Anwender-PC zu infizieren. Der Anwender muss auch auf den geänderten Link klicken.

Nach dem Klick auf den manipulierten Link bearbeitet der angreifende Server die eingehende Anfrage und empfängt Informationen über den Besucher der Seite. Für den Anwender unmerklich wird ein Trojaner installiert („Trojan-Dropper“) und überdies dem Anwender-PC eine einzigartige ID zugeteilt, die auf dem Angreifer-Server gespeichert wird.

Nachdem der Trojan-Dropper auf den PC geladen wurde, sucht er nach Schwachstellen in den Anwendungen auf dem Computer des Opfers. Er generiert ein Installationsprogramm des Bootkits und übermittelt diesem die ID des Anwenders. Der Bootsektor des PCs ist damit manipuliert. Wurden all diese Schritte erfolgreich durchgeführt, gibt der Trojan-Dropper dem Computer den Befehl zum Neustart. Der PC startet ohne Zutun des Anwenders neu und das Bootkit fängt eine Reihe von Systemfunktionen ab. Nach dem Neustart ist der Schädling im Betriebssystem voll funktionsfähig.

Bootkits spiegeln das gesamte Spektrum der derzeit wichtigsten IT-Bedrohungen wider: Infizierung über den Browser, Rootkit-Technologien, Botnetze, Diebstahl von Anwenderdaten, Kryptografie und Schadprogramme, die gegen Antiviren-Software resistent sind. Traten diese Bedrohungen vor einiger Zeit noch separat in Erscheinung, werden sie nun gebündelt in Bootkits eingesetzt. Für sich selbst genommen sind Bootkits nicht neu. Vor einigen Jahren bedeutete die Entwicklung eines Bootkits einen technologischen Durchbruch der Virenschreiber. Heutzutage ist es mit eigenen leistungsfähigen Ausbreitungstools ausgestattet und ganz auf das Funktionieren innerhalb eines gefährlichen Botnetzes ausgerichtet.

Moderne IT-Sicherheitslösungen müssen heute nicht nur in der Lage sein, Rootkits abzuwehren, sondern auch deren schädliche Varianten wie etwa Bootkits. Die Autoren schließen ihren Artikel mit einer Liste moderner Technologien, die vor derart komplexen und gefährlichen Bedrohungen zuverlässigen Schutz bieten: Anti-Virus, Filterung des Traffics, Verhaltensanalyse, Sandboxing, Systeme zur Analyse des Netztraffics und Firewalls.

Weiterführende Links:

  • Weitere Infos

Kommentar schreiben

Please enter your comment!
Please enter your name here

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.