® 
Rootkit
Definicio
Un rootkit es un tipus de malware que s'amaga al sistema operatiu i atorga a l'atacant acces persistent i no detectat al sistema.
Un rootkit es un tipus de malware que s'amaga profundament al sistema operatiu i atorga a l'atacant acces permanent i no detectat a un sistema compromes. Els rootkits manipulen el propi sistema operatiu per ocultar la seva presencia del programari de seguretat i els administradors.
Com funciona un rootkit?
Els rootkits operen al nivell mes profund del sistema operatiu. Modifiquen moduls del kernel, crides al sistema i funcions del SO per amagar-se a si mateixos i a altre malware.
Tipus de rootkits
Els rootkits de kernel operen a nivell de kernel i son els mes dificils de detectar. Els bootkits infecten el carregador d'arrencada o MBR. Els rootkits de firmware s'instal-len al firmware de maquinari com BIOS/UEFI i sobreviuen a la reinstal-lacio del SO. Els rootkits de mode usuari operen a nivell d'aplicacio.
Impacte per a les organitzacions
Els rootkits son especialment perillosos perque proporcionen acces no detectat a llarg termini. Els grups APT els utilitzen per mantenir persistencia. L'antivirus tradicional no pot detectar rootkits de forma fiable.
Proteccio
Utilitzeu solucions EDR amb monitoratge a nivell de kernel. Implementeu Secure Boot i seguretat UEFI per prevenir bootkits. Realitzeu comprovacions regulars d'integritat de fitxers critics del sistema.
Com ajuda DEFION
DEFION realitza compromise assessments que cerquen especificament indicadors de rootkits i compromisos a llarg termini. L'equip DFIR te experiencia en deteccio i eliminacio de rootkits.