Rootkit

Ein Rootkit ist eine Sammlung von Werkzeugen oder Kernel-/Firmware-Komponenten, die einem Angreifer dauerhaft hochprivilegierten Zugriff verschafft und dabei Dateien, Prozesse, Registry-Einträge und Netzwerkverbindungen vor Verteidigern verbirgt. Rootkits arbeiten auf verschiedenen Ebenen: Usermode (API-Hooking), Kernelmode (Kernel-Modifikation), Bootkit (Bootloader) oder Firmware (UEFI/BIOS). Sie werden typischerweise nach einer initialen Kompromittierung eingesetzt, um langfristige Präsenz aufrechtzuerhalten und Forensik zu erschweren. Erkennung erfordert Speicher-Forensik, Integritätsprüfung, Secure Boot, EDR mit Kernel-Sichtbarkeit und Offline-Scans. Gegenmaßnahmen: UEFI Secure Boot, signierte Treiber, TPM-Attestation und Reduktion von Kernel-Mode-Software.