Backdoors

Der Begriff Backdoor beschreibt ein Hintertürchen. Sobald ein Angreifer ein System kompromittiert hat, baut er sich sogenannte Hintertürchen ein, um das System beim erneuten Besuch nicht erst wieder hacken müssen, sondern direkten Zugriff auf die Administrations-Ebene zu erhalten. Ein sehr beliebtes Backdoor ist der Austausch des Anmeldeprogrammes gegen ein selbstgeschriebenes, in welchem der Angreifer sich eine Benutzernamen / Passwortkombination wählt, bei dem die sonst übliche Überprüfung übergangen wird.

Rootkits

Rootkits sind Programme, welche die Anwesenheit eines ungebetenen Besuchers oder Malware verschleiern. Diese Tarntechnologie lässt sich anhand ihrer Angriffspunkte in zwei Gruppen unterteilen.

Datei-basierte-Rootkits (Userland-Rootkits)

Nach erfolgreicher Kompromittierung eines Systems und Erreichen der Administrations-Ebene, können Angreifer Rootkits hochladen. Diese vom Programmierer erweiterten Dateien ersetzen die Original-Dateien, damit ungewöhnliche Aktivitäten auf dem System nicht verraten werden. Diese Rootkit Dateien (Ersatzsystemprogramme) ersetzen unter UNIX folgende Befehle:

ps = Zeigt Prozessinformationen an
netstat = Zeigt Netzwerkverbindungen, Routing-Informationen
ifconfig = versetzen der Netzwerkkarte in den Promiscuous-Modus
df = Zeigt freien Platz im Dateisystem und Inode-Benutzer an
ls = Listet Dateien auf

Kernel-basierte-Rootkits (LKM)

Ein Kernel ist das Programm, das auf niedriger Ebene arbeitet und ist somit die direkte Schnittstelle zur Systemhardware. Ein Kernel-basiertes-Rootkit wird über die Administrations Ebene auf das System gebracht. Über LKMs (ladbare Kernel Module) lassen sich problemlos böswillige Kernel Codes oder auch Backdoors in den Kernel laden. Wenn ein Angreifer es schafft ein "Kernel-basiertes-Rootkit" zu platzieren kann er problemlos Modifizierungen am Kernel vornehmen. Ist der Kernel erst einmal modifiziert, müssen auch keine weiteren Programme ersetzt werden da (egal welches Tool der Benutzer aufruft) die Prozesse es Angreifers verborgen bleiben. Es werden Netzwerkverbindungen verborgen und der Status der Netzwerkkarte wird modifiziert, um Sniffer-Aktivitäten zu verbergen.