Studie: Rootkits nehmen dramatisch zu
McAfee gab heute die Ergebnisse einer Forschungsstudie von McAfee AVERT Labs bekannt, die belegen, dass die Nutzung von Stealth-Technologien zur Tarnung von Malware und kommerziellen PUPs (potenziell unerwünschte Programme) auf dem Vormarsch ist.
Allein in den letzten drei Jahren ist die Zahl der Fälle, in denen Stealth-Technologie verwendet wurde, laut der Studie um mehr als 600 Prozent gestiegen. Bösartige Programme, die mit Stealth-Technologie arbeiten, bezeichnet man als Rootkits, um sie von kommerziellen Anwendungen zu unterscheiden, die Stealth-Technologie nutzen.
McAfee geht davon aus, dass die plötzliche Ausbreitung von Stealth-Technologien auf offene Online-Foren im Web zurückzuführen ist, die hunderte Zeilen von Rootkit-Code enthalten, der für Neukompilierung, Veränderungen und Verbesserungen bereitsteht und zusammen mit den binären Rootkit-Executables heruntergeladen werden kann. Die Verfügbarkeit von Rootkit-Code und Stealth-Generierungs-Kits erleichtert den Urhebern von Malware-Programmen die Tarnung von Prozessen, Dateien und Registry-Schlüsseln ohne detaillierte Kenntnisse des Zielbetriebssystems. Die Leistungsfähigkeit und Vielseitigkeit der Stealth-Technologien haben entscheidend dazu beigetragen, dass sie heute in praktisch jeder bekannten Form von Malware zu finden sind. Sie werden jedoch nicht nur in Malware genutzt, sondern auch in kommerzieller Standard-Software, wobei einige Anbieter von Sicherheitssoftware und Unterhaltungselektronik vor kurzem wegen der Verwendung von Stealth-Technologien in ihren Produkten in die Kritik geraten sind, was etwa Sony am eigenen Leib erfahren musste.
Die wichtigsten Erkenntnisse der Studie:
- Die Komplexität von Rootkits nahm im Zeitraum zwischen 2000 und 2005 um mehr als 400 Prozent zu, wobei im direkten Jahresvergleich zwischen dem ersten Quartal 2005 und 2006 ein Anstieg der Komplexität um über 900 Prozent verzeichnet wurde.
- Der Anteil von Linux-basierten Techniken ist von einem Spitzenwert von 71 Prozent aller Malware-Stealth-Komponenten im Jahr 2001 auf eine vernachlässigbare Zahl im Jahr 2005 gesunken, wohingegen die Zahl der Windows-basierten Stealth-Komponenten im gleichen Zeitraum um 2.300 Prozent gestiegen ist.
- Die Open-Source-Umgebung ist zusammen mit Online-Collaboration-Sites und Blogs der Hauptverursacher der zunehmenden Verbreitung und Komplexität von Rootkits.
Die Studie von McAfee AVERT Labs geht überdies auf mehrere Faktoren für die zunehmende Nutzung und Vielfalt von Rootkits ein und beleuchtet die Motive der Rootkit-Urheber. Darüber hinaus zeigt sie technologische Trends auf, die Einfluss auf die zukünftige Entwicklung von Rootkits nehmen werden. Hierbei handelt es sich um das erste aus einer Reihe von Whitepapern, die sich schwerpunktmäßig mit Stealth-Technologien und Rootkits beschäftigen. Die Studie von McAfee AVERT Labs kann online eingesehen werden.