Bootkit:
Definition, Prävention und Entfernung

September 7, 2023

Eine starke Cybersicherheitsstrategie sollte nicht nur reaktive Ansätze bei Cyberangriffen umfassen, sondern auch proaktive Präventionsmethoden für Infektionen wie Bootkits. Die Fähigkeit, Folgen einer Bootkit-Infektion abzuwehren und die Infektion zu beseitigen, ist für Ihr Cybersicherheitsteam unverzichtbar. Bootkits arbeiten im Verborgenen. Wenn Sie wissen, wie sie funktionieren und wie man sie bekämpft, können Sie Ihr Unternehmen vor Bedrohungen schützen.

Was ist ein Bootkit?

Bootkits sind eine Art von moderner Malware, mit der Bedrohungsakteure Schadsoftware in ein Computersystem einschleusen. Bootkits können eine kritische Sicherheitsbedrohung für Ihr Unternehmen darstellen und beinhalten häufig Rootkit-Tools, um einer Erkennung zu entgehen. Diese Angriffe zielen auf das Unified Extensible Firmware Interface (UEFI) ab – die Software, die das Betriebssystem eines PCs mit seiner Gerätefirmware verbindet.

Ein Beispiel für eine Rootkit-Infektion ist das Browser-Hijacking-Rootkit „Spicy Hot Pot“ aus dem Jahr 2020. Dieses Rootkit änderte die Homepage des Benutzers in eine vom Bedrohungsakteur kontrollierte Homepage.

Unterschiede zwischen Bootkit und Rootkit

Ein Rootkit ist eine Sammlung von Softwaretools oder ein Programm, das einem Bedrohungsakteur die Kontrolle über ein Computersystem aus der Ferne ermöglicht. Durch die Deaktivierung der Virenschutz- und Antimalware-Software am Endpunkt wird sichergestellt, dass Rootkits unentdeckt bleiben. So kann Schadsoftware in das System eingeschleust werden, um die Netzwerk- oder Anwendungssicherheit anzugreifen.

Bootkits gehen bei diesem Prozess noch einen Schritt weiter und zielen darauf ab, den Volume Boot Record oder den Master Boot Record zu infizieren. Dadurch kann ein Bootkit angreifen, bevor das Betriebssystem des Computers geladen wird. Der vom Bootkit installierte schädliche Code wird dann beim Hochfahren vor dem Betriebssystem des Computers ausgeführt.

Bootkit-Infektionen bleiben unentdeckt, da sich alle Komponenten außerhalb des Microsoft Windows-Dateisystems befinden und somit für die Standardprozesse des Betriebssystems unsichtbar sind. Zu den Warnhinweisen, die auf eine Bootkit-Infektion hindeuten, gehören Systeminstabilität, die sich in Bluescreen-Warnungen äußert und dazu führt, dass das Betriebssystem nicht gestartet werden kann.

Risiko und Auswirkungen von Bootkits

Ein UEFI-Bootkit kann ein ernsthaftes Problem für Ihr Unternehmen darstellen, insbesondere da ein gut gemachtes Bootkit praktisch unentdeckt bleibt. Rootkits wie Bootkits stellen eine kritische Bedrohung für die Sicherheit dar und ebnen den Weg für die Installation zusätzlicher Malware. Unentdeckte Rootkits können die Löschung von Dateien und den Diebstahl von Informationen zur Folge haben.

Warum stellen Bootkits eine kritische Sicherheitsbedrohung dar?

Ein UEFI-Bootkit ist besonders gefährlich, weil es nur schwer entfernt werden kann. Die UEFI-Firmware wird in das Motherboard eingebettet und nicht auf die Festplatte geschrieben und ist daher immun gegen jegliche Manipulation der Festplatte. Diese Bootkit-Angriffe sind in der Regel schwer zu erkennen und können zusammen mit kostenlosen Downloads oder über bösartige Websites, die Sicherheitslücken im Browser ausnutzen, installiert werden.

Mögliche Folgen von Rootkit-Malware in Ihrem System:

  • Dateilöschung: Betriebssystemcode und andere Dateien sind anfällig für Rootkits.
  • Remote-Zugriff: Ändern von Konfigurationseinstellungen, Öffnen von Backdoor-Ports in Firewall-Einstellungen und Ändern von Startskripten. All dies ermöglicht Bedrohungsakteuren den Remote-Zugriff auf den Computer für weitere Angriffe.
  • Informationsdiebstahl: Von Rootkits installierte Malware kann Kennwörter, personenbezogene Informationen und sensible Daten stehlen, ohne entdeckt zu werden.
  • Zusätzliche Malware: Wenn ein Rootkit installiert ist, kann ein Bedrohungsakteur zusätzliche bösartige Software installieren und sogar als Ransomware nutzen, die eine Zahlung für die Wiederherstellung Ihres Computers verlangt.

Bootkit-Infektionen haben einige zusätzliche potenzielle Folgen, wie z. B. anhaltende Unternehmensspionage. UEFI-Firmware-Bootkits können für Standard-Cybersicherheitsmaßnahmen unsichtbar sein. Da sie starten, bevor das Betriebssystem geladen wird, sind sie immer aktiv, wenn das System eingeschaltet ist. Die beste Schutzmaßnahme gegen Bootkit-Infektionen besteht darin, sie von vornherein zu verhindern.

Verhindern von Bootkit-Infektionen

Das Scannen auf verdächtige Aktivitäten mit einem Softwareprogramm oder einem Rootkit-Scanner kann bei der Erkennung von Anwendungs-Rootkits effektiv sein. Bootkits, Kernel-Modus-Rootkits oder Firmware-Angriffe werden damit jedoch nicht gefunden. Der Einsatz mehrerer Scannerebenen kann als vorbeugende Maßnahme dienen, sofern Sie sich über die Grenzen Ihrer Software im Klaren sind. Die beste Vorbeugung gegen einen Bootkit-Angriff ist jedoch der Secure Boot.

Schutz und Risikominderung

UEFI Secure Boot ist ein Sicherheitsstandard, der sicherstellt, dass ein Gerät nur mit vertrauenswürdiger Software startet. Die Firmware überprüft die Signatur jeder Boot-Software, einschließlich der UEFI-Firmware. Der PC startet nur, wenn alle Signaturen gültig sind. Dieser sichere Bootvorgang kann verhindern, dass eine Bootkit-Infektion Schaden anrichtet, da der PC nicht startet, wenn sie gefunden wird.

Sie können auch vorbeugende Maßnahmen ergreifen, um das Risiko eines Bootkit-Angriffs von vornherein zu mindern. Dazu gehört die Vermeidung von Aktivitäten wie dem Booten des Betriebssystems von nicht vertrauenswürdigen Medien. Außerdem können Sie bei der Aktualisierung der Firmware und der Betriebssystemversion nach Informationen über kompromittierte Hersteller suchen, um Lieferkettenangriffe zu vermeiden. Die Überwachung potenziell bösartiger Aktivitäten ist eine gute Möglichkeit, festzustellen, wann Sie für eine Bootkit-Infektion anfällig geworden sind. Wenn bereits ein Bootkit-Angriff stattgefunden hat, besteht der erste Schritt darin, ihn zu entfernen.

Bootkit-Entfernung

Das Entfernen eines Bootkits ist möglich und erfordert spezielle Malware-Entfernungssoftware. Rootkits lassen sich oft einfacher entfernen, da Sie dazu Ihre Festplatte reinigen können. Um eine Bootkit-Infektion auf Ihrem System zu entfernen, benötigen Sie das richtige Tool.

So entfernen Sie Bootkits

Sie benötigen einen Boot-Reparaturdatenträger, der Ihren Master-Boot-Datensatz bereinigen kann. Diese Software muss verwendet werden, um den Master-Boot-Datensatz zu entfernen, statt ihn zu reparieren. So stellen Sie sicher, dass das Bootkit wirklich entfernt wurde. Nach dem Löschen können Sie einen unkompromittierten Master-Boot-Datensatz erstellen und die neuen Laufwerkspartitionen neu formatieren.

Bootkits können sowohl von internen Festplatten und USB-Sticks als auch mit einem SPI-Flash-Programmiergerät entfernt werden. Diese Programmiergeräte können die Operationen der Speicherchips löschen, programmieren und verifizieren. Da eine Rootkit-Infektion darauf abzielt, sich zu verstecken, kann sie sich oft selbst schützen, wenn Sie kein spezielles Tool verwenden.

Schützen Sie sich vor Malware-Angriffen

Der Schutz Ihres Unternehmens vor Bootkit-Angriffen ist wichtig, damit Bedrohungsakteure keinen heimlichen Remote-Zugriff auf Ihre Systeme erlangen können. Bootkits sind gefährlich, weil sie schwer zu erkennen und zu entfernen sind und zukünftige Malware-Angriffe erleichtern. Durch die Verhinderung und Entfernung von Bootkits schützen Sie Ihr Unternehmen.

Mit CrowdStrike Falcon® Complete stoppen Sie dank der Verwaltung durch Experten, Threat Hunting, Überwachung und Behebung die Kompromittierung von Endgeräten, Workloads und Identitäten. Indem Sie Ihr System vorbereiten und selbst versteckte Malware-Bedrohungen erkennen, können Sie Ihr Unternehmen vor Bootkits und anderen Rootkit-Angriffen schützen.

WEITERE INFORMATIONEN

Erfahren Sie mehr darüber, wie CrowdStrike Falcon® Complete Ihr Unternehmen vor Cyberangriffen wie Bootkits schützt. CrowdStrike Falcon® Complete