® 
Rootkit
Definitie
Een rootkit is een type malware dat zichzelf verbergt in het besturingssysteem en een aanvaller ongedetecteerde, continue toegang geeft tot een systeem. Rootkits zijn zeer moeilijk te detecteren en te verwijderen.
Een rootkit is een type malware dat zich diep in het besturingssysteem verbergt en een aanvaller ongedetecteerde, permanente toegang geeft tot een gecompromitteerd systeem. Rootkits manipuleren het besturingssysteem zelf om hun aanwezigheid te verbergen voor beveiligingssoftware en systeembeheerders.
Hoe werkt een rootkit?
Rootkits opereren op het diepste niveau van het besturingssysteem. Ze modificeren kernelmodules, systeemaanroepen en besturingssysteemfuncties om zichzelf en andere malware te verbergen. Wanneer een beheerder een proceslijst opvraagt of een antivirusscanner het bestandssysteem doorzoekt, onderschept de rootkit deze aanvragen en filtert de eigen processen, bestanden en netwerkverbindingen uit de resultaten. Het besturingssysteem lijkt normaal te functioneren terwijl de aanvaller op de achtergrond volledige controle heeft.
Soorten rootkits
Kernel-rootkits opereren op kernelniveau en zijn het moeilijkst te detecteren. Ze wijzigen systeemaanroepen en kunnen elk aspect van het besturingssysteem manipuleren. Bootkits infecteren de bootloader of het Master Boot Record (MBR) en laden voor het besturingssysteem, waardoor ze zelfs OS-beveiligingsmechanismen omzeilen. Firmware-rootkits nestelen zich in de firmware van hardware-componenten zoals BIOS/UEFI en overleven OS-herinstallaties. User-mode rootkits opereren op applicatieniveau en zijn eenvoudiger te detecteren maar ook eenvoudiger te implementeren. Hypervisor-rootkits creeren een virtuele laag onder het besturingssysteem.
Impact voor organisaties
Rootkits zijn bijzonder gevaarlijk omdat ze langdurige, ongedetecteerde toegang bieden. APT-groepen gebruiken rootkits om persistentie te handhaven in gecompromitteerde netwerken. Traditionele antivirussoftware kan rootkits niet betrouwbaar detecteren omdat de rootkit de output van de scanner manipuleert. De schade kan enorm zijn: volledige systeemcompromittering, datadiefstal en verlies van vertrouwen in de integriteit van systemen.
Bescherming
Gebruik EDR-oplossingen met kernel-level monitoring die rootkitgedrag detecteren. Implementeer Secure Boot en UEFI-beveiliging om bootkits te voorkomen. Voer regelmatige integriteitscontroles uit op kritieke systeembestanden. Bij vermoeden van een rootkit: offline analyse vanaf externe media of een schone omgeving. Geheugendump-analyse kan actieve rootkits identificeren.
Hoe DEFION helpt
DEFION voert compromise assessments uit die specifiek zoeken naar indicatoren van rootkits en langdurige compromitteringen. Het DFIR-team heeft ervaring met rootkit-detectie en -verwijdering bij complexe incidenten.