Rootkit.

Rootkit 是一组工具或内核/固件组件,能让攻击者获得持久的高权限访问能力,同时将文件、进程、注册表项、驱动程序和网络连接对防御者隐藏。Rootkit 可工作在不同层级:用户态(挂钩 API)、内核态(修补内核或系统调用表)、Bootkit(颠覆引导加载程序)以及固件(UEFI/BIOS)——植入位置越深,隐蔽性和生存能力就越强。

三个里程碑事件体现了这种逐步升级。2005 年,Sony BMG XCP 版权保护丑闻使数百万台消费者 PC 受到牵连,当时该 CD 软件悄无声息地安装了一个 rootkit,会隐藏任何以 $sys$ 开头的文件。2018 年,ESET 记录了 LoJax——首个在野发现的 UEFI rootkit,被归因于与俄罗斯有关的 Sednit/APT28 组织——它改写了 SPI 闪存,从而能在操作系统重装和硬盘更换后依然存活。2023 年,BlackLotus 成为首个能在完全打补丁的 Windows 11 上击败安全启动(Secure Boot)的 UEFI bootkit,它滥用 CVE-2022-21894("Baton Drop")来禁用 BitLocker、HVCI 和 Defender;其在论坛上的售价约为 5,000 美元。

检测需要内存取证、完整性/证明校验以及离线扫描,因为一个正在运行的受感染操作系统无法被信任去如实报告自身的状态。缓解措施包括启用 UEFI 安全启动并配以最新的吊销列表(DBX)、强制签名驱动、基于 TPM 的度量启动,以及尽量减少内核态软件。

flowchart TB
  subgraph 隐蔽深度
    U[用户态 rootkit,API 挂钩] --> K[内核态,修补系统调用]
    K --> B[Bootkit,颠覆引导加载程序]
    B --> F[固件 UEFI,SPI 闪存驻留]
  end
  F --> P[在操作系统重装与硬盘更换后存活]