Rootkit Process Detection

Bachelor-Studiengang IT Security

Mario Rubak, BSc
19.09.2014

Ausgangslage

Das Internet ist ein gefährlicher Ort für ComputerbenutzerInnen. Viele schädliche Programme versuchen, Systeme mit Schadsoftware wie Viren, Trojaner, Würmer und Rootkits zu infizieren. Rootkits verstehen es, sich zu verstecken, um nicht von Administratoren oder anderen neugierigen BenutzerInnen entdeckt zu werden.
Die Rechte, die sie für ihr Versteckspiel brauchen, bekommen sie über andere Schadsoftware, die darauf spezialisiert ist, diese zu stehlen. Danach versuchen sie, die erworbenen Rechte beizubehalten und gleichzeitig unbemerkt die vollständige Kontrolle über das System zu erlangen.
Schlussendlich gelingt es den meisten Rootkits auch, allerdings hinterlassen diese immer, je nach Funktionalität, verschiedene Arten von Spuren bei diesem Vorgang. Spuren für solche Hinweise können veränderte Dateien oder versteckte Prozesse innerhalb des Systems sein. Aber natürlich beherrschen Rootkits verschiedene Arten, sich zu verstecken, so wie es verschiedene Arten gibt, sie zu finden. Rootkits können in viele verschiedene Kategorien aufgeteilt werden, was dieses Thema sehr großräumig macht. Deshalb bezieht sich diese Arbeit auf Rootkits, welche sich in Prozessen festsetzen.

Ziel

Das Ziel dieser Arbeit ist die Erkennung und Beschreibung verschiedener Erkennungsmethoden von Prozessen unter Windows. Dazu soll der technische Hintergrund zum Verstehen dieser Thematik genauer erklärt werden. Weiters soll ein Programm entwickelt werden, welches demonstrieren soll, wie verschiedene Methoden versteckte Prozesse erkennen können. Anhand des Ergebnisses soll eine Schlussfolgerung gezogen werden, welche Funktionen kompromittiert sein könnten.

Ergebnis

Als Ergebnis wurde ein Programm entwickelt, welches drei verschiedene Methoden der Prozesserkennung beinhaltet. Dies soll die Stärken und Schwächen jeder Methode aufzeigen und in Folge dessen die möglicherweise kompromittierten Funktionen herausfinden.

Ausblick

Da diese Arbeit sich nur mit dem Bereich der Prozesserkennung beschäftigt, ist noch großer Spielraum für zukünftige Projekte vorhanden. Diese Bereiche können einzeln oder auch in Kombination miteinander behandelt werden, um eine möglichst hohe Erkennungsrate bei versteckten Rootkits zu erzielen. Weiters wäre es auch möglich, sich mit der Prozesserkennung in tieferen Ebenen des Betriebssystems zu beschäftigen.

FH-Betreuer: FH-Prof. Dipl.-Ing. Dr. Paul Tavolato