Das RDS5201 Rootkit-Detection-System ist eine gehärtete Spezialanfertigung, die auf niedriger Ebene arbeitende Zero-Day-Rootkits erkennen kann.

Das RDS5201 Rootkit-Detection-System ist eine gehärtete Spezialanfertigung, die auf niedriger Ebene arbeitende Zero-Day-Rootkits erkennen kann.Lynuxworks

Das RDS5201 Rootkit-Detection-System ist eine gehärtete Spezialanfertigung, die auf niedriger Ebene arbeitende Zero-Day-Rootkits erkennen kann. Die Erkennung erfolgt direkt (das heißt nicht durch statistische Analyse oder andere indirekte Techniken) im Verbund mit sofort und automatisch, optisch in Echtzeit generierten forensischen Daten. Es fungiert als pro-aktiver intelligenter Sensor gegen APT-Angriffe in IT-Netzwerken und reduziert die langwierige Entdeckung von APTs von Wochen/Monaten auf Sekunden. Bedrohungen dieser Art kann diese Technologie in Echtzeit erkennen und vor ihnen warnen.

Rootkits agieren an den untersten Ebenen des zu attackierenden Betriebssystems. Dabei sind die üblichen Erkennungs- und Schutzmethoden Bestandteil des Angriffsziels, weswegen der Rootkit installierte Anti-Malware-Anwendungen des Clients deaktivieren kann. Einziger Weg um Low-Level-Rootkits zu überwinden ist, der Sicherheitsanwendung ein höheres Ausführungsprivileg zuzugestehen als dem attackierten OS, ihr die vollständige Kontrolle über die Hardwareplattform zu geben und sämtliche Aktivitäten des OS und seiner Anwendungen zu überwachen. Außerdem muss sie selbstschützend, nicht umgehbar und fälschungssicher sein.

Das RDS5201 basiert auf dem Separation Kernel und Hypervisor Lynxsecure. Lynxsecure bildet eine nicht aufspürbare sichere Plattform, die potenzielle Infektionen bewirken kann. Mit der Einführung des zum Patent angemeldeten Rootkit-Erkennungs-Features der Version LynxSecure 5.2 lassen sich diese raffinierten Bedrohungen während eines Angriffs auf ihr virtuelles Opfer erkennen.

Lynxsecure ist der bevorzugteste Überwacher der RDS5201-Plattform und ständig auf der Suche nach bösartigen und unregelmäßigen Aktivitäten in den Kernbereichen der Festplatte (MBR ‚Master Boot Record, Schlüsselblöcke und -sektoren), den physischen Speicherbereichen, den CPU-Anweisungen und -Datenstrukturen, den Interrupt-Datenstrukturen und mehr. Unabhängig vom Betriebssystem erfolgt die Erkennung, denn sie ist unterhalb von jedem Gastbetriebssystem angesiedelt. Nach Erkennung alarmiert das RDS5201 sofort und sendet automatisch einen direkten forensischen Bericht an sein Dashboard. Der Bericht enthält visuelle Darstellungen zum Beispiel sauberer und infizierter Festplattenbereiche oder Datenstrukturen im internen Speicher, was schnelle und konzentrierte Antworten auf diese Bedrohungen erlaubt. Der RDS5201 lässt sich überdies mit anderen Netzschutzsystemen wie SIEM und Threat-Management-Systemen zusammenschließen und fügt bestehenden Sicherheitslösungen dadurch einen frühzeitigen Warnmechanismus hinzu.