Руткит

Руткит — это набор инструментов или компонентов ядра/прошивки, дающих злоумышленнику устойчивый высокопривилегированный доступ и одновременно скрывающих файлы, процессы, ключи реестра и сетевые соединения от защитников. Руткиты действуют на разных уровнях: пользовательский режим (хуки API), режим ядра (модификация ядра), буткит (загрузчик) или прошивка (UEFI/BIOS). Их обычно устанавливают после первичной компрометации для долговременного присутствия и затруднения форензики. Для обнаружения нужны memory-форензика, проверка целостности, Secure Boot, EDR с видимостью ядра и офлайн-сканы. Меры защиты: UEFI Secure Boot, подписанные драйверы, TPM-аттестация и минимизация ПО в режиме ядра.