Der Angriff kommt von innen

Die Malware lauert im Kernel

22. März 2007
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Bösartige Angriffe auf den Kern von Betriebs-Systemen haben in den letzten Jahren deutlich zugenommen. So genannte Kernel-Rootkits tarnen sich dabei nahezu perfekt, denn sie ersetzen Teile des Betriebs-System-Kerns durch eigenen Code und sind mit herkömmlichen Viren-Scannern nicht aufzuspüren. Eine aktuelle Analyse des finnischen Viren-Forschers Kimmo Kasslin zeigt die Gefahren und mögliche Schutz-Strategien.
Kernel-Malware hat in den letzten Jahren stark zugelegt.
Kernel-Malware hat in den letzten Jahren stark zugelegt.

Der Kernel ist das Herz moderner Betriebs-Systeme. In ihm ist die Prozess- und Daten-Organisation festgelegt, auf der alle weiteren Software-Bestandteile eines Betriebs-Systems aufbauen. Dem Malware-Forscher zufolge haben die Angriffe auf das Herz des Betriebs-Systems in den letzten Jahren deutlich zugelegt.

Immer mehr Kernel-Malware

Wurden im Jahr 2003 noch durchschnittlich 0,67 neue Malware-Familien pro Monat identifiziert, stieg die Zahl im Jahr 2004 auf eine neue Malware-Familie pro Monat. Ab 2005 ist ein dramatischer Anstieg zu verzeichnen. So wurden durchschnittlich 3,42 neue Malware-Familien pro Monat erkannt. Die Kurve geht im Jahr 2006 zwar wieder nach unten, bleibt allerdings auf hohem Niveau. Derzeit werden pro Monat im Durchschnitt 2,63 neue Kernel-Malware gefunden.

Das Tückische daran: Kernel-Rootkits ersetzen Teile des Betriebs-System-Kerns durch eigenen Code, um sich selbst zu tarnen und dem Angreifer zusätzliche Funktionen zur Verfügung zu stellen, die nur im Kontext des Kernels ausgeführt werden können.

Firewalls und Viren-Scanner umgehen

Malware - so genannte Kernel-Rootkits -, die den Kern eines Systems infiziert hat, umgeht dabei nicht nur herkömmliche Firewalls und Viren-Scanner, sondern hat auch Zugriff auf alle Computer-Ressourcen.