Filesystem Rootkit Detection

Bachelor Studiengang IT Security

Rainer Seyer, BSc
19.09.2014

Ausgangslage

Unter einem Rootkit versteht man eine meist bösartige Software, welche sich besonders tarnt, um möglichst lange unentdeckt zu bleiben. Das Ziel eines Rootkits ist es, die vorher durch den Einsatz anderer Mittel erhaltene privilegierte Kontrolle über ein System beizubehalten. Um dieses Ziel zu erreichen, versucht es, seine Existenz auf dem infizierten System von systemeigenen Erkennungsmethoden und Software wie Virenscanner zu verschleiern.

Aufgrund dieser Tatsache ist die Erkennung von Rootkits naturgemäß schwierig, da dem kompromittierten System dabei nicht mehr vertraut werden kann.
Es gibt aber etliche Möglichkeiten, um sie trotzdem aufspüren zu können. Manche davon sind altbekannt und werden oft verwendet, andere sind relativ neu und nur in speziellen Programmen implementiert. Jede dieser Methoden hat ihre eigenen Vor- und Nachteile und ist für andere Einsatzzwecke geeignet.

Da es verschiedenste Kategorien von Rootkits gibt, ist dieses Thema zu breit gefächert, um es in seiner Gesamtheit zu behandeln. Daher geht diese Arbeit speziell auf die sogenannten Filesystem Rootkits ein, welche sich im Dateisystem eines Computers verstecken und von dort aus ihr Unwesen treiben.

Ziel

Das Ziel dieser Arbeit ist der Vergleich verschiedener Methoden, mit denen Filesystem Rootkits erkannt werden können. Dazu wird zuerst auf den für das Verständnis des Themas notwendigen theoretischen Hintergrund eingegangen. Danach wird eine der vorgestellten Methoden in einem Programm implementiert.

Ergebnis

Es wurden verschiedene Verfahren zur Erkennung von Filesystem Rootkits einander gegenüber gestellt. Außerdem wurde ein Programm entwickelt, welches eine der weniger geläufigen Methoden implementiert und testet. Zusätzlich waren einige Untersuchungen zu nicht dokumentierten technischen Details erforderlich, welche in der Arbeit dokumentiert wurden.

Ausblick

Da in dieser Arbeit nur eine der Erkennungsmethoden praktisch getestet wurde, wäre es interessant, das Zusammenspiel einiger beziehungsweise aller beschriebenen Methoden zu untersuchen, um die Erkennungsrate signifikant erhöhen zu können.
Weiters ist eine Integration des entwickelten Programms in entsprechende Sicherheitssoftware denkbar.

FH-Betreuer: FH-Prof. Dipl.-Ing. Dr. Paul Tavolato