Rootkit.

Ein Rootkit ist eine Sammlung von Werkzeugen oder Kernel-/Firmware-Komponenten, die einem Angreifer dauerhaften, hochprivilegierten Zugriff verschafft und dabei Dateien, Prozesse, Registry-Einträge, Treiber und Netzwerkverbindungen vor Verteidigern verbirgt. Rootkits arbeiten auf verschiedenen Ringen: Usermode (Hooking von APIs), Kernelmode (Patchen des Kernels oder der Systemaufruf-Tabelle), Bootkit (Unterwanderung des Bootloaders) und Firmware (UEFI/BIOS), wobei eine tiefere Platzierung größere Tarnung und Überlebensfähigkeit bedeutet.

Drei Meilensteine veranschaulichen die Eskalation. 2005 brachte der Skandal um den Kopierschutz Sony BMG XCP Millionen von Verbraucher-PCs in Gefahr, als die CD-Software heimlich ein Rootkit installierte, das jede mit $sys$ beginnende Datei verbarg. 2018 dokumentierte ESET LoJax, das erste in freier Wildbahn gefundene UEFI-Rootkit — zugeschrieben der mit Russland verbundenen Gruppe Sednit/APT28 — das den SPI-Flash neu schrieb, sodass es Neuinstallationen des Betriebssystems und Festplattenwechsel überlebte. 2023 wurde BlackLotus zum ersten UEFI-Bootkit, das Secure Boot auf vollständig gepatchtem Windows 11 aushebelte, indem es CVE-2022-21894 („Baton Drop") missbrauchte, um BitLocker, HVCI und Defender zu deaktivieren; es wurde in Foren für rund 5.000 US-Dollar verkauft.

Die Erkennung erfordert Speicher-Forensik, Integritäts-/Attestierungsprüfungen und Offline-Scans, da einem laufenden, infizierten Betriebssystem nicht zugetraut werden kann, über sich selbst korrekt zu berichten. Zu den Gegenmaßnahmen zählen UEFI Secure Boot mit aktuellen Sperrlisten (DBX), Durchsetzung signierter Treiber, TPM-basierter Measured Boot und die Minimierung von Kernel-Mode-Software.

flowchart TB
  subgraph Tarntiefe
    U[Usermode-Rootkit - API-Hooking] --> K[Kernelmode - Syscalls patchen]
    K --> B[Bootkit - Bootloader unterwandern]
    B --> F[Firmware-UEFI - SPI-Flash-Persistenz]
  end
  F --> P[Ueberlebt OS-Neuinstallation und Festplattenwechsel]