Руткит.

Руткит — это набор инструментов или компонентов ядра/прошивки, дающих злоумышленнику устойчивый высокопривилегированный доступ и одновременно скрывающих файлы, процессы, ключи реестра, драйверы и сетевые соединения от защитников. Руткиты действуют на разных уровнях (кольцах): пользовательский режим (перехват API), режим ядра (модификация ядра или таблицы системных вызовов), буткит (подмена загрузчика) и прошивка (UEFI/BIOS), причём чем глубже размещение, тем выше скрытность и живучесть.

Три вехи иллюстрируют это нарастание. В 2005 году скандал с системой защиты от копирования Sony BMG XCP затронул миллионы потребительских ПК: ПО на компакт-дисках незаметно устанавливало руткит, который скрывал любой файл, имя которого начиналось с $sys$. В 2018 году ESET задокументировала LoJax — первый UEFI-руткит, обнаруженный в реальных атаках и приписываемый связанной с Россией группе Sednit/APT28, — который перезаписывал SPI-флеш, благодаря чему переживал переустановку ОС и замену диска. В 2023 году BlackLotus стал первым UEFI-буткитом, который обошёл Secure Boot на полностью пропатченной Windows 11, злоупотребляя CVE-2022-21894 («Baton Drop») для отключения BitLocker, HVCI и Defender; он продавался на форумах примерно за 5 000 долларов.

Для обнаружения требуются memory-форензика, проверки целостности/аттестации и офлайн-сканирование, поскольку работающей заражённой ОС нельзя доверять в части отчётов о самой себе. Меры защиты включают UEFI Secure Boot с актуальными списками отзыва (DBX), принудительное применение подписанных драйверов, измеряемую загрузку на базе TPM и минимизацию ПО, работающего в режиме ядра.

flowchart TB
  subgraph Глубина скрытности
    U[Руткит пользовательского режима, перехват API] --> K[Режим ядра, модификация системных вызовов]
    K --> B[Буткит, подмена загрузчика]
    B --> F[Прошивка UEFI, закрепление в SPI-флеш]
  end
  F --> P[Переживает переустановку ОС и замену диска]