Bootkit
Was ist Bootkit?
BootkitSchadsoftware, die den Startvorgang infiziert — MBR, VBR oder UEFI — und sich vor dem Betriebssystem lädt, um dauerhaft privilegierte Kontrolle zu erlangen.
Ein Bootkit ist ein spezialisiertes Rootkit, das frühe Boot-Komponenten wie den Master Boot Record (MBR), den Volume Boot Record (VBR) oder die UEFI-Firmware kompromittiert. Da es vor dem Betriebssystem und seinen Sicherheitswerkzeugen ausgeführt wird, kann es Schutzmechanismen deaktivieren, Kernel-Code hooken und Neuinstallationen überleben. Moderne Bootkits zielen auf UEFI-Variablen und die EFI-Systempartition. Die Erkennung erfordert Firmware-Integritätsprüfungen, Secure/Measured Boot mit TPM-Attestation und Offline-Forensik des Boot-Mediums. Gegenmaßnahmen: UEFI Secure Boot mit aktuellen Revocation Lists, BIOS-/Firmware-Passwörter, Deaktivierung des Legacy-CSM-Boots und Festplattenverschlüsselung zur Erkennung von Manipulationen.
● Beispiele
- 01
BlackLotus, UEFI-Bootkit, das Secure Boot trotz Patches umgehen kann.
- 02
MoonBounce, UEFI-Firmware-Implant auf APT-Niveau.
● Häufige Fragen
Was ist Bootkit?
Schadsoftware, die den Startvorgang infiziert — MBR, VBR oder UEFI — und sich vor dem Betriebssystem lädt, um dauerhaft privilegierte Kontrolle zu erlangen. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet Bootkit?
Schadsoftware, die den Startvorgang infiziert — MBR, VBR oder UEFI — und sich vor dem Betriebssystem lädt, um dauerhaft privilegierte Kontrolle zu erlangen.
Wie schützt man sich gegen Bootkit?
Schutzmaßnahmen gegen Bootkit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Bootkit?
Übliche alternative Bezeichnungen: Boot-Rootkit, MBR-Rootkit.