Was ist Malware auf Kernel-Ebene und wie kann man sich davor schützen?

2024/08/16

Malware gibt es in vielen Formen, aber Malware auf Kernel-Ebene gehört zu den gefährlichsten. Was macht sie so bedrohlich und wie können Sie sich davor schützen? Im Folgenden erfahren Sie mehr darüber.

Was ist Malware auf Kernelebene?

Der Kernel ist die Kernkomponente eines Betriebssystems und für die Verwaltung aller Interaktionen zwischen Hardware und Software verantwortlich. Er arbeitet auf einer erhöhten Berechtigungsebene, dem sogenannten „Kernelmodus“, der ihm uneingeschränkten Zugriff auf alle Systemressourcen einschließlich Speicher, CPU und angeschlossenen Geräten gewährt. Die Malware, die diese Berechtigungsebene infiziert und manipuliert, wird als Malware auf Kernelebene bezeichnet.

Schadsoftware auf Kernel-Ebene — Bildquelle: Freepik

Solche Schadsoftware nutzt die hohen Privilegien des Kernels aus und kann so bösartige Aktivitäten ausführen, ohne entdeckt zu werden. Indem sie auf dieser niedrigen Ebene agiert, kann sie Sicherheitsmaßnahmen umgehen, sich hartnäckig halten und die Kontrolle über kritische Systemvorgänge erlangen.

Nachfolgend finden Sie einige gängige Beispiele für Malware auf Kernelebene:

Kernel-Rootkits: Dies ist eine der berüchtigtsten Formen von Schadsoftware auf Kernel-Ebene, die einem Angreifer unerkannt die Fernsteuerung eines Computers ermöglicht. Dieser Zugriff ermöglicht es dem Angreifer, die Sicherheit zu gefährden, weitere Schadsoftware zu installieren, Aktivitäten zu überwachen oder das Gerät für DDoS-Angriffe zu verwenden.

Bootkits: Dies ist eine Art Rootkit, das das BIOS oder den Master Boot Record (MBR) des PCs infiziert, um Schadcode zu laden, bevor das Betriebssystem geladen wird. Sie können Schadcode auf Kernel-Ebene installieren und auch nach Neustarts und Neuinstallationen des Betriebssystems bestehen bleiben.

Kernelmodus-Trojaner: Mit höheren Berechtigungen können diese Trojaner der Erkennung effektiv entgehen, indem sie Prozesse ersetzen oder sich in andere Prozesse einbetten.

Ransomware auf Kernelebene: Diese Art von Ransomware nutzt Kernelberechtigungen, um Daten zu verschlüsseln oder Benutzern den Zugriff auf das System zu verweigern. Sie kann die Sicherheitsvorkehrungen effizienter umgehen und die Wiederherstellung erschweren.

So schützen Sie sich vor Malware auf Kernel-Ebene

Glücklicherweise ist es für Malware auf Kernel-Ebene ziemlich schwierig, Ihren PC zu infizieren. Diese Art von Malware erfordert erhöhte Berechtigungen, die das Betriebssystem nicht autorisierten Programmen nicht gewährt. Daher basiert Malware auf Kernel-Ebene normalerweise auf der Ausnutzung bekannter Schwachstellen oder dem Erlangen von physischem oder Remote-Zugriff auf ein Administratorkonto.

PC-Sicherheitssysteme sind darauf ausgelegt, Malware-Angriffe auf Kernel-Ebene zu erkennen und zu verhindern. Selbst wenn jemand versucht, solche Malware absichtlich zu installieren, werden die Sicherheitsmechanismen des Betriebssystems die Installation wahrscheinlich blockieren.

Sie müssen jedoch weiterhin Sicherheitsfunktionen auf Ihrem PC aktivieren, um Schwachstellen zu minimieren und Angriffe rechtzeitig zu erkennen. Befolgen Sie die folgenden Schritte, um sich vor Malware auf Kernelebene zu schützen:

Stellen Sie sicher, dass Secure Boot und TPM 2.0 aktiviert sind

Secure Boot und TPM 2.0 (Trusted Platform Module) sind wesentliche Sicherheitsfunktionen in Windows und entscheidend für die Abwehr von Malware auf Kernel-Ebene. Aus diesem Grund sind sie auch für die Installation von Windows 11 erforderlich.

Secure Boot prüft beim Start die digitale Signatur aller Software und blockiert die Ausführung nicht überprüfter Software.

TPM 2.0 ist ein physischer Sicherheitschip, der kryptografische Hashes des Startvorgangs speichert. Er erkennt Manipulationen, indem er diese Hashes bei jedem Start vergleicht, und benachrichtigt den Benutzer, wenn er Änderungen feststellt.

Um zu überprüfen, ob Secure Boot aktiviert ist, suchen Sie in der Windows-Suche nach „Systeminformationen“ und öffnen Sie die App „Systeminformationen “ . Sie finden den Wert „Secure Boot State“ in der Systemübersicht . Stellen Sie sicher, dass er auf Ein eingestellt ist .

Überprüfen Sie Secure Boot, ob es aktiviert ist

Um sicherzustellen, dass TPM 2.0 aktiviert (oder unterstützt) ist, drücken Sie Windows+ Rund geben Sie tpm.mscim Dialogfeld „Ausführen“ ein.

Überprüfen Sie die TPM 2.0-Unterstützung in Windows 11

Wenn eine dieser Optionen deaktiviert ist, rufen Sie BIOS/UEFI auf und aktivieren Sie den Wert unter der Kategorie „Sicherheit “. Das Aktivieren von Secure Boot sollte einfach sein, aber TMP 2.0 ist ein Hardwarechip, den Ihr PC möglicherweise nicht hat.

Aktivieren Sie virtualisierungsbasierte Sicherheit in Windows

Virtualisierungsbasierte Sicherheit (VBS) verwendet Hardwarevirtualisierung, um kritische Systemprozesse in einer isolierten Umgebung auszuführen und zu verhindern, dass bösartige Apps sie manipulieren. Da Malware auf Kernelebene häufig Schwachstellen in kritischen Systemprozessen ausnutzt, schützt diese Funktion sie.

Geben Sie in der Windows-Suche „Windows-Sicherheit“ ein und öffnen Sie die App „ Windows-Sicherheit “ . Wechseln Sie zu „ Gerätesicherheit “ -> „Kernisolation“ und stellen Sie sicher, dass die Speicherintegrität aktiviert ist .

Aktivieren Sie die Kernisolierung in Windows 11

Stellen Sie die Benutzerkontensteuerung (UAC) auf maximale Sicherheit ein

UAC schützt Ihren PC, indem es verhindert, dass Apps ohne Ihre Erlaubnis auf Ihrem PC installiert werden oder Änderungen daran vornehmen. Sie können die maximale Sicherheit einstellen, sodass Windows immer nach Ihrer Erlaubnis fragt, wenn Sie oder eine App versucht, etwas zu installieren oder eine Einstellung zu ändern.

Suchen Sie in der Windows-Suche nach „uac“ und klicken Sie auf Einstellungen der Benutzerkontensteuerung ändern . Stellen Sie hier ganz oben den Schieberegler auf Immer benachrichtigen .

Stellen Sie die Windows-Benutzerkontensteuerung auf die maximale Sicherheitsstufe ein

Halten Sie Ihren PC auf dem neuesten Stand

Wie bereits erwähnt, nutzt Malware auf Kernel-Ebene häufig Schwachstellen aus, um den PC zu infizieren. Wenn Sie Ihr System auf dem neuesten Stand halten, stellen Sie sicher, dass bekannte Schwachstellen rechtzeitig gepatcht werden, und verhindern so, dass Schadprogramme diese ausnutzen.

Stellen Sie sicher, dass Sie Windows, Treiber und BIOS/UEFI auf die neuesten Versionen aktualisieren.

Windows: Um Windows zu aktualisieren, gehen Sie in den Windows-Einstellungen zu Windows Update und klicken Sie auf Nach Updates suchen . Wenn dort steht Sie sind auf dem neuesten Stand ist alles in Ordnung. Andernfalls laden Sie die empfohlenen Updates herunter und installieren Sie sie.

Treiber: Diese sind am anfälligsten, da sie während des Startvorgangs geladen werden und ein kompromittierter Treiber eine Infektion auf Kernelebene ermöglichen kann. Sie können ein Treiberaktualisierungstool wie iObit Driver Booster verwenden, um alle Treiber automatisch zu aktualisieren.

BIOS/UEFI: Es ist etwas schwierig, BIOS/UEFI zu aktualisieren, da Sie dies manuell tun müssen, aber glücklicherweise sind diese Updates selten.

Standardbenutzerkonto für den täglichen Gebrauch verwenden

Das Standardbenutzerkonto hat eingeschränkten Zugriff auf viele Funktionen, ist aber für den täglichen Gebrauch ausreichend. Durch die Einschränkung wird auch die Fähigkeit von Kernel-Malware, das Gerät zu infizieren, eingeschränkt.

Um ein Standardkonto zu erstellen, öffnen Sie die Windows-Einstellungen und gehen Sie zu Konten -> Andere Benutzer . Klicken Sie auf Konto hinzufügen , um ein neues Konto zu erstellen, und stellen Sie sicher, dass Sie Standardkonto und nicht Administratorkonto auswählen.

Erstellen Sie ein Standardkonto in Windows 11

Führen Sie gelegentlich einen Boot-Time-Scan durch

Der Startzeitscan ist eine Standardfunktion der meisten Antivirenprogramme, einschließlich Microsoft Defender. Dieser Scan startet Ihren PC neu und scannt ihn, bevor das Betriebssystem vollständig geladen ist. Dies ist sehr effektiv gegen Malware auf Kernelebene, da sie erkannt werden kann, bevor sie versucht, sich vor dem Betriebssystem zu verstecken. Führen Sie den Scan gelegentlich aus, um sicherzustellen, dass Ihr PC sauber ist.

Um diesen Scan in Windows auszuführen, suchen Sie in der Windows-Suche nach „Windows-Sicherheit“ und öffnen Sie die Windows-Sicherheits -App.

Gehen Sie zu Viren- und Bedrohungsschutz -> Scanoptionen und wählen Sie Microsoft Defender Antivirus (Offlinescan) . Wenn Sie auf Jetzt scannen klicken , werden Sie aufgefordert, den PC für den Scan neu zu starten.

Ausführen eines Offlinescans über die Windows-Sicherheit

Vermeiden Sie die Ausführung riskanter Programme

Dies ist ein allgemeiner Ratschlag, um alle Arten von Systemsicherheitsrisiken zu vermeiden, aber er ist besonders wichtig, wenn es um Malware auf Kernel-Ebene geht. Sie kann nicht auf den Kernel zugreifen, ohne die Sicherheitsfunktionen des Betriebssystems zu deaktivieren. Das bedeutet, dass Malware auf Kernel-Ebene klare Warnsignale ausgibt, z. B. indem sie Sie auffordert, Sicherheitsfunktionen zu deaktivieren, um die App auszuführen.

Seien Sie vorsichtig beim Herunterladen verdächtiger Software, wie etwa Hacks für Videospiele oder raubkopierte Premium-Programme. Wenn Sie für eine App bestimmte Sicherheitsvorkehrungen deaktivieren müssen, überwiegt das potenzielle Risiko wahrscheinlich die Vorteile, die die App bietet.

Was tun, wenn Ihr PC infiziert wird?

Ungewöhnlich hohe CPU-Auslastung, Einfrieren, Abstürze (BSOD) und verdächtige Netzwerkaktivität sind häufige Anzeichen für eine Malware-Infektion auf Kernel-Ebene. Wenn Sie glauben, dass Ihr PC infiziert ist, müssen Sie sofort handeln. Leider haben Sie nur begrenzte Möglichkeiten, da die Malware sehr hartnäckig sein kann.

Verwenden Sie eine Antivirensoftware mit der Funktion zur Rootkit-Entfernung

Die meisten Antivirenprogramme mit Rootkit-Entfernungsfunktionen können die meisten Arten von Malware auf Kernelebene entfernen. Wir empfehlen Malwarebytes , da es über eine spezielle Rootkit-Entfernungsfunktion verfügt, die sehr effektiv ist.

Sie müssen zuerst die Rootkit-Scanfunktion aktivieren, da sie standardmäßig deaktiviert ist. Klicken Sie in Malwarebytes auf „ Einstellungen“ und wechseln Sie dann zum Abschnitt „ Scannen und Erkennen“ . Aktivieren Sie die Option „Nach Rootkits scannen“ .

Aktivieren Sie die Rootkit-Scan-Option in Malwarebytes

Ihr nächster Scan umfasst auch die Rootkit-Scanfunktion, die die Malware auf Kernelebene finden kann, die Ihren PC infiziert.

Boot-Time-Scan ausführen

Wie oben erwähnt, kann ein Startzeit-Scan Malware auf Kernel-Ebene erkennen, die darauf angewiesen ist, sich vor dem Startvorgang zu verbergen. Sie können entweder den Microsoft Defender-Scan wie oben beschrieben ausführen oder eine Drittanbieter-App verwenden. Avast One verfügt über eine leistungsstarke Startzeit-Scan-Funktion, die Sie ausprobieren können, wenn Microsoft Defender versagt.

Installieren Sie Windows neu

Wenn Sicherheitssoftware keine Malware auf Kernelebene erkennen kann, sollte eine Neuinstallation von Windows das Problem beheben. Sie sollten eine Neuinstallation durchführen, da das aktuelle Image infiziert sein könnte. Es gibt mehrere Möglichkeiten, Windows 11 zu installieren, also wählen Sie Ihre bevorzugte Methode.

Insgesamt kann Malware auf Kernel-Ebene extrem gefährlich sein, aber es ist für Hacker schwierig, sie auf Ihr Gerät zu bringen. Wenn Sie Probleme haben, Malware auf Kernel-Ebene loszuwerden, kann das Aktualisieren/Neuinstallieren des BIOS das Problem beheben. Sie können es auch zu einem Fachmann bringen, um das BIOS neu zu flashen und das CMOS zu löschen.

Bildnachweis: Freepik . Alle Screenshots von Karrar Haider.