Zur Kölschen Lebensart gehört der Spruch: “Et hätt noch emmer joot jejange.” Hochdeutsch: “Es ist noch immer gut gegangen.” Wenn ich das heute höre, muss ich immer an das zerbombte Köln von 1945 denken. Die Kölner irren sich ganz offensichtlich. Im Irrtum befanden sich auch Techniker der Alliierten, als deren Flugzeuge dabei waren, Köln in Schutt und Asche zu legen. Die Bomber kamen oft mit Einschusslöchern zurück. Also panzerte man die zerschossenen Stellen. Nur nützte das nichts, denn die wirklich wichtigen Einschusslöcher bekamen die alliierten Techniker nie zu sehen: Die befanden sich an Flugzeugen, die in Deutschland abgestürzt waren. Und sie waren an ganz anderen Stellen als die relativ harmlosen Einschüsse, mit denen die Flieger es noch nach Hause schafften.

Was wäre nun, wenn die Malware, die wir routinemäßig entdecken und entfernen, gar nicht das eigentliche Problem wäre? Was wäre, wenn es an anderen Stellen unentdeckte Angriffe gäbe, die viel schlimmer sind? “Joot jejange”, sagt der Admin, während Angreifer hinter seinem Rücken volle Kontrolle haben.

Rootkits graben sich so tief ins System ein, das sie kaum zu entdecken sind. Gleichzeitig erlauben sie einen sehr umfassenden Zugriff auf das befallene System. Rootkits können die Schutzmechanismen von Antivirenprogrammen aushebeln und so unentdeckt bleiben.

Um Rootkits trotzdem zu entdecken, kann man einen Live-Snapshot des Systems erstellen. Dieser wird dann mit Analyse-Software untersucht. Da es sich um ein statisches Abbild handelt, ist jedwede darin enthaltene Software deaktiviert. Daher ist auch das Rootkit narkotisiert und kann sich nicht gegen die Untersuchung wehren.

Solche Snapshot-Analysen gibt es schon seit über zehn Jahren, aber sie waren bisher sehr aufwändig. Microsoft hat den Zugang zu dieser Technik jetzt erheblich erleichtert. Jeder kann jetzt einen Speicherabzug auf den Server des Projekts “Freta” hochladen. Zur Zeit funktioniert das mit Speicher-Abbildern von Linux-VMs, später sollen weitere Systeme folgen.

Quelle: Microsoft Research