Malware-Bekämpfung LynuxWorks kündigt Gerät zum Aufspüren von Rootkits an

Redakteur: Franz Graser

Rootkits zählen zu den am besten getarnten Instrumenten im Werkzeugkasten von Crackern und Datendieben. Ihre Anwendungsmöglichkeiten sind vielfältig: Sie können Hintertüren in Rechnersysteme öffnen oder andere Malware-Programme verbergen.

Firmen zum Thema

Das System zur Ermittlung von Rootkits.
Das System zur Ermittlung von Rootkits.
(Bild: LynuxWorks)

Anlässlich des Gartner Security & Risk Management Summits in der britischen Hauptstadt London hat LynuxWorks heute ein Gerät angekündigt, dass Advanced Persistent Threats, also sogenannte Rootkits, zuverlässig erkennen können soll. Das kompakte Gerät RDS5201 fußt auf dem Separation Kernel und Hypervisor LynxSecure 5.2 und wendet eine neuartige Erkennungsmethode an, die herkömmliche Sicherheitsvorkehrungen im Kampf gegen die immer komplexeren Cyberbedrohungen ergänzt.

Das RDS5201 Rootkit Detection System ist eine gehärtete Spezialanfertigung, die auf niedriger Ebene arbeitende Zero-Day-Rootkits – eine der gefährlichsten Varianten unter den APTs – erkennen kann. Die Erkennung erfolgt direkt (das heißt nicht durch statistische Analyse oder andere indirekte Techniken) im Verbund mit sofort und automatisch in Echtzeit generierten forensischen Daten.

Das RDS5201 fungiert als intelligenter Sensor gegen APT-Angriffe in IT-Netzwerken und reduziert die langwierige Entdeckung von APTs von Wochen oder Monaten auf Sekunden. RDS5201 ist nach Herstellerangaben als erste und bisher einzige Technik in der Lage, Bedrohungen dieser Art in Echtzeit zu erkennen und vor ihnen zu warnen.

Rootkits agieren an den untersten Ebenen des zu attackierenden Betriebssystems. Dabei sind die üblichen Erkennungs- und Schutzmethoden Bestandteil des Angriffsziels, weswegen der Rootkit installierte Anti-Malware-Anwendungen des Clients deaktivieren kann. Der einzige Weg, um Low-Level-Rootkits zu überwinden ist, der Sicherheitsanwendung ein höheres Ausführungsprivileg zuzugestehen als dem attackierten Betriebssystem; ihr die vollständige Kontrolle über die Hardwareplattform zu geben und sämtliche Aktivitäten des OS und seiner Anwendungen zu überwachen. Außerdem muss sie selbstschützend, nicht umgehbar und fälschungssicher sein.

„Rootkits werden immer ausgefeilter, wirkungsvoller und komplexer. Die Bedrohung verbreitet sich, da Exploit-Kits zunehmend kommerziell verfügbar und immer leichter anzuwenden sind. Aktuelle Forschungen ergaben, dass sieben der zehn Hauptbedrohungen 2012 Rootkits waren und dass die Anzahl der sogenannten Boot-Level Rootkits (die beim Bootvorgang/Systemstart aktiv waren) dramatisch zugenaoomen hat”, erklärt Avishai Ziv, Vice President of Cyber Security Solutions bei LynuxWorks: „Normale Endpunkt- und Netzwerkschutzmechanismen können sie schlichtweg nicht verhindern oder erkennen, ehe es schon zu spat ist. Daher brauchen wir ein neuartiges Sicherheitsprodukt wie den RDS5201, um frühzeitig vor solchen Bedrohungen zu warnen, wenn sie im Begriff sind, unsere Unternehmensnetzwerke zu infizieren.“

LynxSecure sucht ständig nach bösartigen und unregelmäßigen Aktivitäten in den Kernbereichen der Festplatte (Master Boot Record, Schlüsselblöcke und -sektoren), den physischen Speicherbereichen, den CPU-Anweisungen und –Datenstrukturen, den Interrupt-Datenstrukturen und mehr. Die Erkennung erfolgt unabhängig vom Betriebssystem. Nach Erkennung alarmiert das RDS5201 sofort und sendet automatisch einen direkten forensischen Bericht an sein Dashboard.

Der Bericht enthält visuelle Darstellungen (zum Beispiel sauberer und infizierter Festplattenbereiche oder Datenstrukturen im internen Speicher, was schnelle und konzentrierte Antworten auf diese Bedrohungen erlaubt. Der RDS5201 lässt sich überdies mit anderen Netzschutzsystemen wie SIEM (Security information and event management) und Threat-Management-Systemen zusammenschließen und fügt bestehenden Sicherheitslösungen dadurch einen frühzeitigen Warnmechanismus hinzu.

(ID:42337259)