Руткит (rootkit) — тип вредоносного программного обеспечения, разработанного с целью скрыть своё присутствие в системе и предоставить злоумышленнику привилегированный доступ («root» в Unix-терминологии). Термин объединяет два компонента: root (суперпользователь) + kit (набор инструментов).
Уровни руткитов
- User-mode rootkits — работают в пространстве пользователя, модифицируют системные DLL и API. Относительно просто обнаружить сравнением оригинальных файлов
- Kernel-mode rootkits — встраиваются в ядро ОС через модули/драйверы. Получают полный контроль: могут скрывать процессы, файлы, сетевые соединения, перехватывая системные вызовы (SSDT hooking)
- Bootkits — заражают MBR или загрузчик до запуска ОС. TDL4 (Alureon) — печально известный буткит 2010 года
- Firmware rootkits — прошивают UEFI/BIOS; сохраняются после переустановки ОС. LoJax (2018) — первый публично обнаруженный UEFI-руткит
- Hypervisor rootkits — запускают ОС в виртуальной машине под своим контролем
Обнаружение
Классические антивирусы плохо обнаруживают руткиты: они используют те же API, которые руткит скрывает. Специализированные инструменты: GMER (сравнивает реальное состояние ядра с тем, что видят API), RootkitRevealer (Sysinternals), загрузочные антивирусные CD. Sony BMG rootkit (2005) — DRM-программа из музыкальных CD скрывала свои процессы и открыла дыру для вирусов. Скандал привёл к массовому отзыву дисков.
Защита
Secure Boot (UEFI), TPM, Kernel Code Signing, Credential Guard в Windows — снижают риск. Принцип: загружать ОС с доверенных носителей, своевременно обновлять прошивки.