Rootkit.

Um rootkit é um conjunto de ferramentas ou componentes de kernel/firmware que dão ao atacante acesso persistente e de elevado privilégio, ocultando ficheiros, processos, chaves de registo, controladores e ligações de rede aos defensores. Os rootkits operam em diferentes anéis (rings): modo utilizador (hooking de APIs), modo kernel (modificação do núcleo ou da tabela de chamadas de sistema), bootkit (subversão do gestor de arranque) e firmware (UEFI/BIOS), sendo que uma colocação mais profunda significa maior furtividade e capacidade de sobrevivência.

Três marcos ilustram esta escalada. Em 2005, o escândalo da proteção anticópia Sony BMG XCP expôs milhões de PCs de consumidores quando o software do CD instalou silenciosamente um rootkit que ocultava qualquer ficheiro começado por $sys$. Em 2018, a ESET documentou o LoJax, o primeiro rootkit UEFI encontrado no mundo real — atribuído ao grupo Sednit/APT28 ligado à Rússia — que reescrevia a flash SPI para sobreviver a reinstalações do sistema operativo e a trocas de disco. Em 2023, o BlackLotus tornou-se o primeiro bootkit UEFI a derrotar o Secure Boot em Windows 11 totalmente atualizado, abusando da CVE-2022-21894 ("Baton Drop") para desativar o BitLocker, o HVCI e o Defender; era vendido em fóruns por cerca de 5.000 dólares.

A deteção exige análise forense de memória, verificações de integridade/atestação e exames offline, uma vez que não se pode confiar num sistema operativo infetado e em funcionamento para reportar sobre si próprio. As mitigações incluem o UEFI Secure Boot com listas de revogação atualizadas (DBX), imposição de controladores assinados, arranque medido baseado em TPM e a minimização do software em modo kernel.

flowchart TB
  subgraph Profundidade da furtividade
    U[Rootkit em modo utilizador - hooking de APIs] --> K[Modo kernel - modifica chamadas de sistema]
    K --> B[Bootkit - subverte o gestor de arranque]
    B --> F[Firmware UEFI - persistencia na flash SPI]
  end
  F --> P[Sobrevive a reinstalacao do SO e troca de disco]