Praxis-Demos mit AHA-Effekt: Warum Rootkit-Scanner versagen und was stattdessen Sinn macht
Zur Navigation springen
Zur Suche springen
Demo 1: Manipulation eines Systembinaries (Scanner merkt nichts)
- Ziel: zeigen, dass chkrootkit und rkhunter keine Integritätsprüfung durchführen
- cp /bin/ls /tmp/ls.backup
- sha256sum /bin/ls
- printf '\x90' | dd of=/bin/ls bs=1 seek=10 count=1 conv=notrunc
- sha256sum /bin/ls
- chkrootkit
- rkhunter --check --sk
- Beobachtung
- System läuft weiterhin normal.
- Rootkit-Scanner melden keinen Fund.
- Ein zentrales Systembinary wurde verändert.
- AHA
- Manipulation im Userland bleibt unentdeckt.
- „Kein Fund“ ist kein Sicherheitsnachweis.
- Konsequenz
- Rootkit-Scanner sind ungeeignet zur Integritätsprüfung.
Demo 2: Deterministische Integritätsprüfung
- Ziel: zeigen, wie echte Detektion funktioniert
- sha256sum /bin/ls > /root/ls.hash
- printf '\x90' | dd of=/bin/ls bs=1 seek=20 count=1 conv=notrunc
- sha256sum -c /root/ls.hash
- Beobachtung
- Die Hashprüfung schlägt sofort fehl.
- Das Ergebnis ist eindeutig und reproduzierbar.
- AHA
- Jede Manipulation ist erkennbar – unabhängig vom Angriffstyp.
- Konsequenz
- Integritätsprüfung ist Rootkit-unabhängig.
Demo 3: Angriff ohne Dateien (Disk-Scanner blind)
- Ziel: zeigen, warum Dateiscans konzeptionell scheitern
- python3 - << 'EOF'
import os os.setuid(0) os.system("/bin/bash") EOF
- Beobachtung
- Root-Shell wird gestartet.
- Es wurde keine neue Datei auf Disk angelegt.
- AHA
- Kein File bedeutet kein Treffer für Scanner.
- Konsequenz
- Runtime-Detektion ist notwendig.
Demo 4: Unerlaubtes Verhalten statt Malware
- Ziel: zeigen, dass Verhalten messbar ist, Malware nicht
- sudo -u www-data bash
- /bin/bash
- Beobachtung
- Ein nicht privilegierter Web-User erhält eine interaktive Shell.
- AHA
- Das Verhalten ist der Angriff – unabhängig von Werkzeug oder Rootkit.
- Konsequenz
- Sicherheitsüberwachung muss verhaltensbasiert erfolgen.
Demo 5: Reparatur vs. Rebuild
- Ziel: korrektes Incident-Mindset vermitteln
- chkrootkit
- rkhunter --check --sk
- Beobachtung
- Ergebnisse sind leer oder nicht eindeutig.
- Keine belastbare Entscheidungsgrundlage.
- AHA
- Unklare Tools führen zu falscher Sicherheit.
- Konsequenz
- Kompromittierte Systeme werden neu gebaut, nicht repariert.
Gesamtfazit
Rootkits existieren weiterhin. Rootkit-Scanner liefern keinen überprüfbaren Sicherheitsgewinn. Demonstrierbare Sicherheit basiert auf Integrität, Verhalten und reproduzierbaren Prozessen.