Руткиты - менее 1% всех детектируемых вредоносов. По данным Positive Technologies (анализ 16 семейств за десятилетие) - капля в море. Но каждый раз, когда такая капля всплывает, за ней тянется история масштабного инцидента. APT-кампания ProjectSauron пять лет жила в инфраструктурах нескольких десятков организаций (около 30 по данным Kaspersky, 7 по Symantec) - и никто не заметил. Stuxnet физически разрушал центрифуги иранской ядерной программы. DirtyMoe за год раздулся с 10 000 до 100 000 машин - антивирусы молчали всё это время.
Вот в чём парадокс: самый редкий тип малвари наносит непропорционально разрушительный ущерб. Потому что разработан для одной задачи - сделать атакующего невидимым. Когда ваш антивирус ничего не находит, это либо хороший знак, либо очень плохой. Эта статья - полная карта техник руткитов, от перехвата системных вызовов до UEFI-имплантов, с конкретными методами обнаружения каждой техники и привязкой к MITRE ATT&CK.
Карта темы: навигация по матрице руткит-техник
Классификация руткитов: 4 уровня привилегий от Ring 3 до Ring -2
Большинство русскоязычных материалов делит руткиты на два типа: user-mode и kernel-mode. Эта классификация описывает реальность начала 2010-х, когда основная борьба шла между SSDT-хуками и антивирусными драйверами. Сейчас - минимум четыре уровня, и каждый требует принципиально другого подхода к обнаружению.Ring 3 - пользовательский режим. Руткиты этого уровня перехватывают вызовы API в адресном пространстве процесса. На Windows - модификация IAT/EAT, inline-hooking ntdll.dll, DLL injection через
SetWindowsHookEx() или remote threads. На Linux - подмена через LD_PRELOAD, перехват функций libc. По данным Positive Technologies, 31% проанализированных семейств работали только в user-mode, ещё 31% совмещали оба режима. В MITRE ATT&CK это маппится на T1055 Process Injection (DLL injection на Windows; на Linux применимы подтехники вроде T1055.008 Ptrace, хотя тесты Atomic Red Team для T1055 покрывают только Windows) и T1574 Hijack Execution Flow (на Linux - T1574.006 Dynamic Linker Hijacking для LD_PRELOAD). Устаревшая техника T1179 Hooking была разделена на T1056.004 (Credential API Hooking, преимущественно Windows) и компоненты T1574.Ring 0 - режим ядра. Драйвер или загружаемый модуль ядра (LKM) с привилегиями ОС: DKOM-манипуляции со структурой
EPROCESS, перехват SSDT/IDT, модификация IRP dispatch table, подмена callback-ов. 38% выборки Positive Technologies. Сложнее в разработке - ошибка в коде вызывает BSOD или kernel panic, что демаскирует атакующего. Один неаккуратный указатель - и вместо невидимости получаешь синий экран на весь SOC.Ring -1 - гипервизорный уровень. Руткит загружается ниже ядра ОС, перехватывая аппаратную виртуализацию (Intel VT-x / AMD-V). Концепты Blue Pill (Joanna Rutkowska, 2006, AMD-V) и Vitriol (Dino Dai Zovi, 2006, Intel VT-x) показали возможность прозрачной миграции ОС в виртуальную машину - ОС продолжает работать, не зная, что контролируется гипервизором атакующего. Современные варианты используют EPT (Extended Page Tables) для перехвата обращений к памяти. Из реальных кейсов - CloudSkulk.
Ring -2 - firmware/UEFI. Буткиты и UEFI-импланты: код, который исполняется до загрузки ОС. LoJax (2018, APT28), MoonBounce (2022, APT41), CosmicStrand - все записываются в SPI-flash или EFI System Partition и переживают переустановку ОС и замену жёсткого диска. В MITRE ATT&CK - T1542.003 Bootkit.
| Уровень | Сложность разработки | Устойчивость | Сложность детекта | Пример семейства |
|---|---|---|---|---|
| Ring 3 (user-mode) | Низкая | Низкая | Средняя | Hacker Defender, r77, Azazel |
| Ring 0 (kernel) | Высокая | Высокая | Высокая | Necurs, ZeroAccess, FudModule |
| Ring -1 (hypervisor) | Очень высокая | Очень высокая | Экстремальная | Blue Pill, CloudSkulk |
| Ring -2 (firmware/UEFI) | Экстремальная | Максимальная | Экстремальная | LoJax, MoonBounce, CosmicStrand |
Если ваш IR-процесс ограничивается сканированием антивирусом и проверкой автозагрузки - вы покрываете только Ring 3 и частично Ring 0. Для полного покрытия нужны memory forensics (Ring 0), timing-атаки на гипервизор (Ring -1) и верификация firmware (Ring -2). Лично я не видел ни одной компании среднего размера, где проверяют все четыре уровня.
Userland-руткиты: почему «простые» техники до сих пор работают
Исследователи Sophos зафиксировали, что разработчики ZeroAccess полностью перешли с kernel-mode на user-mode. Это не деградация - это рациональный выбор. Если разведка показала, что периметр дырявый, усложнять атаку kernel-руткитом нерационально: больше шансов словить BSOD и спалить операцию. Зачем стрелять из пушки, если дверь не заперта?Три ключевые техники userland-руткитов:
IAT/EAT Hooking (Windows). Import Address Table - массив адресов импортированных функций из DLL. Руткит подменяет адрес в IAT, перенаправляя вызов
NtQueryDirectoryFile на свой обработчик, который фильтрует результаты - и ваш файловый менеджер не видит скрытые файлы. Для модификации IAT нужен доступ к адресному пространству целевого процесса, а добраться туда можно через DLL injection: модификация ключа реестра AppInit_DLLs, вызов SetWindowsHookEx(), или создание удалённого потока через CreateRemoteThread.LD_PRELOAD (Linux). Переменная окружения, указывающая динамическому линковщику загружать указанную библиотеку до всех остальных. Руткиты Symbiote и OrBit использовали именно этот механизм: перехватывали функции libc и libpcap, фильтруя вывод
readdir(), fopen() и сетевых функций. Symbiote при этом работал одновременно как бэкдор и руткит - два в одном.Inline hooking. Перезапись первых байт целевой функции инструкцией перехода на код перехватчика: на x86 - 5 байт (
E9 + rel32); на x86_64 при размещении trampoline в пределах ±2 ГБ - тоже 5 байт, иначе нужно 12–14 байт для absolute jump (mov rax, imm64; jmp rax). Простейшие защиты проверяют первые байты на наличие 0xE9 (опкод near JMP) или 0x48 0xB8 (mov rax, imm64), поэтому авторы руткитов маскируют перехват через PUSH/RET-последовательности, NOP-слайды или полиморфный код. Корректная реализация использует trampoline - копию первых инструкций функции с переходом обратно за перехваченные байты. Простейшие реализации без trampoline (восстановление оригинальных байт → вызов → повторный перехват) подвержены race conditions в многопоточной среде. На практике это значит: если два потока одновременно дёрнут перехваченную функцию - привет, crash.Подробный разбор всех userland-техник с примерами кода: Userland rootkit техники сокрытия: LD_PRELOAD, DLL injection, IAT/EAT hooking на практике
Kernel Rootkit Windows: DKOM, SSDT и манипуляции с callback-ами
Если userland-руткиты подменяют «показания приборов» для конкретного процесса, то kernel-руткиты меняют саму реальность. Объект скрывается на уровне ядра - ни одно приложение, включая антивирус, не увидит его стандартными средствами.DKOM (Direct Kernel Object Manipulation) - техника третьего поколения: руткит напрямую правит структуры данных ядра. Классика: структура
EPROCESS в Windows содержит двусвязный список ActiveProcessLinks. Руткит отсоединяет целевой процесс из этого списка - и NtQuerySystemInformation честно возвращает данные из PsActiveProcessHead, но скрытого процесса там нет. При этом процесс продолжает исполняться: планировщик задач использует другие структуры для диспетчеризации. Это не баг - это архитектурная особенность, которую руткиты эксплуатируют годами.SSDT Hooking. System Service Descriptor Table содержит адреса всех системных вызовов. Подмена адреса
NtQuerySystemInformation в SSDT позволяет фильтровать результаты любого системного вызова для всех процессов в системе. На многопроцессорных машинах необходимо перехватывать таблицы на каждом ядре - у каждого процессора свои системные регистры (GDTR, IDTR, IA32_SYSENTER_EIP).IDT Hooking. Interrupt Descriptor Table - таблица обработчиков прерываний. Модификация записей IDT позволяет перехватывать аппаратные и программные прерывания, включая точку входа в режим ядра.
IRP Dispatch Table Hooking. Модификация таблицы обработчиков IRP (I/O Request Packet) драйвера файловой системы - руткит перехватывает операции ввода-вывода, фильтруя запросы на чтение каталогов или реестра.
Callback-манипуляции. Современные Windows-руткиты всё чаще работают с механизмом kernel callbacks: регистрируют или удаляют callback-ы через
PsSetCreateProcessNotifyRoutine, CmRegisterCallback, ObRegisterCallbacks. Это позволяет, например, отключить уведомления EDR о создании новых процессов - техника T1562.001 Disable or Modify Tools. EDR формально запущен, иконка в трее зелёная - а данных не получает.ETW-патчинг. Event Tracing for Windows - основа телеметрии большинства EDR. Современные руткиты патчат функции ETW-провайдеров в ядре, лишая EDR потока событий. Антивирус работает - но слепой.
Детальный разбор DKOM-артефактов и методики обнаружения через WinDbg: Rootkit обнаружение Windows: DKOM, SSDT hooking, minifilter и callback-манипуляции через WinDbg и Volatility
Kernel Rootkit Linux: syscall table, VFS и LKM-трюки
Linux-руткиты используют те же концепции - перехват и подмену - но через другие механизмы.Перехват syscall table. Системные вызовы в Linux диспетчеризуются через таблицу
sys_call_table. Руткит находит её адрес (через поиск в kallsyms или сканирование памяти), снимает защиту от записи через манипуляцию с CR0 или ремаппинг страниц, и подменяет указатели на обработчики. Подмена sys_getdents64 скрывает файлы и каталоги - ls не покажет то, что руткит решил спрятать.Модификация VFS. Virtual File System - абстрактный слой между пользовательскими программами и конкретными файловыми системами. Руткит может подменить операции в структурах
file_operations или inode_operations конкретной ФС. Это глубже, чем перехват syscall: даже прямое чтение /proc не обойдёт подмену на уровне VFS.LKM-руткиты. Загружаемые модули ядра (Loadable Kernel Modules) - штатный механизм расширения ядра Linux, который руткиты активно эксплуатируют. Модуль загружается через
insmod/modprobe, получает привилегии Ring 0, и может модифицировать любые структуры ядра. Reptile (использованный группировкой UNC3886 в 2024 году для сохранения доступа на VMware ESXi) и Krasue (два года скрытно работавший в телекоммуникационном секторе Таиланда) - оба LKM-руткиты. Это техника T1547.006 Kernel Modules and Extensions, описанная в MITRE ATT&CK для Linux и macOS (хотя тесты Atomic Red Team для родительской T1547 покрывают только Windows).Сокрытие самого модуля. После загрузки руткит удаляет себя из списка
/proc/modules и связанного списка THIS_MODULE, оставаясь при этом в памяти и полностью функциональным. lsmod его не покажет.На Linux-серверах периодический дамп
sys_call_table и сравнение адресов с System.map - один из самых надёжных способов обнаружить подмену. Если адрес обработчика указывает за пределы ядра - кто-то перехватил вызов. Простая проверка, но я удивлён, как редко её делают.Полное руководство от кода до детектирования: Kernel Rootkit Linux: перехват syscall table, модификация VFS и сокрытие процессов - от кода до детектирования
UEFI-буткиты: руткиты, которые переживают переустановку ОС
Firmware-руткиты занимают особую позицию: они исполняются до загрузки ОС, до инициализации антивирусов и EDR, до всех защитных механизмов. Код UEFI-импланта записывается в SPI-flash на материнской плате или на EFI System Partition. Пережить его можно разве что заменой материнской платы или перепрошивкой firmware - процедура, которую большинство организаций не включает в стандартный incident response. Переустановил ОС, поставил чистую винду, вздохнул с облегчением - а имплант уже ждёт.LoJax (2018) - первый публично задокументированный UEFI-руткит в реальной атаке, атрибутированный APT28. Модифицировал UEFI-прошивку для persistence-агента, переживающего переустановку ОС и замену жёсткого диска.
MoonBounce (2022) - UEFI-имплант в SPI-flash, обнаруженный в инфраструктуре, атакованной APT41. Инжектировал вредоносный код в процесс загрузки Windows через модификацию CORE_DXE-компонента firmware.
CosmicStrand - ещё один firmware-руткит, нацеленный на UEFI-прошивки конкретных моделей материнских плат.
Ключевая проблема: код firmware редко проверяется на целостность. Механизм Secure Boot призван блокировать неподписанный код на этапе загрузки, но BlackLotus (2023) продемонстрировал обход Secure Boot через пост-эксплуатационное использование CVE-2022-21894 (Baton Drop, CVSS 4.4 Medium, CWE-863 - локальная уязвимость, требующая прав администратора) в Windows Boot Manager. Даже после патча ОС отозванные загрузчики не блокировались UEFI DBX до выпуска KB5025885 в мае 2023 - а значит, установка персистентного буткита на уже скомпрометированной системе с включённым Secure Boot была возможна. На заборе написано «Secure», а по факту..
В терминах MITRE ATT&CK это T1542.003 Bootkit - persistence и defense-evasion одновременно. Также применима T1564.005 Hidden File System - некоторые буткиты создают скрытые файловые системы на EFI System Partition для хранения полезной нагрузки (техника задокументирована в MITRE ATT&CK для нескольких платформ, тесты Atomic Red Team для T1564 покрывают только Windows).
Детальный разбор BlackLotus, CosmicStrand и механизмов Secure Boot: UEFI буткит и защита Secure Boot: разбор BlackLotus, CosmicStrand и атак на цепочку загрузки
Гипервизорные руткиты: атака из Ring -1
Концепция гипервизорного руткита строится на простом принципе: контролируешь гипервизор - контролируешь всё, что в нём исполняется, включая ядро ОС. При этом ОС не знает, что работает в виртуальной машине. Матрёшка наоборот - внешняя оболочка не подозревает, что её обернули ещё одним слоем.Blue Pill - концепт Joanna Rutkowska (2006), демонстрирующий «живую» миграцию работающей ОС в виртуальную машину с использованием AMD-V (аналогичный концепт для Intel VT-x - Vitriol, Dino Dai Zovi, 2006). ОС продолжает работать, не подозревая о смене окружения. Гипервизор-руткит перехватывает все привилегированные операции через VMEXIT.
EPT-abuse. Extended Page Tables (Intel) / Nested Page Tables (AMD) - механизм трансляции адресов в гипервизоре. Руткит может настроить EPT так, чтобы при чтении определённой страницы памяти возвращались одни данные (чистый код), а при исполнении - другие (модифицированный). Сканер целостности видит оригинальные байты, но процессор исполняет пропатченные. Красиво, если не считать, что это ваша система.
CloudSkulk - VMBR-руткит (Virtual Machine Based Rootkit), работающий по принципу Blue Pill. Загружается под ядро хостовой ОС, помещает её в виртуальную машину и перехватывает коммуникацию между аппаратным обеспечением и хостовой ОС.
Обнаружение гипервизорных руткитов - одна из самых сложных задач в forensics. Классический подход: timing-анализ. Исполнение инструкций вроде
CPUID или RDTSC в виртуализированной среде занимает заметно больше тактов процессора из-за VMEXIT - и это отклонение можно измерить. Но современные гипервизоры-руткиты компенсируют задержки, манипулируя значением TSC (Time Stamp Counter). Гонка вооружений в чистом виде.Полный разбор техник детекции subverted hypervisor: Гипервизорный руткит обнаружение: Blue Pill, EPT-abuse и практические техники детекции subverted hypervisor
Матрица обнаружения: 6 методов против 4 уровней руткитов
Ни один метод обнаружения руткитов не работает универсально. Каждый эффективен против конкретного уровня и конкретных техник. Ниже - практическая матрица.Подробное руководство по использованию инструментов: Обнаружение руткитов на практике: GMER, chkrootkit, rkhunter и Volatility - методология и инструменты
MITRE ATT&CK: маппинг руткит-техник на фреймворк
Привязка техник руткитов к MITRE ATT&CK - не академическое упражнение, а практический инструмент для построения детекшн-покрытия. Если вы строите мониторинг по ATT&CK, вот техники, которые покрывают руткит-функциональность:| MITRE ATT&CK ID | Название | Тактика | Что делает руткит |
|---|---|---|---|
| T1014 | Rootkit | Defense Evasion | Зонтичная техника: сокрытие процессов, файлов, сетевых соединений |
| T1055 | Process Injection | Defense Evasion, Privilege Escalation | DLL injection, remote thread creation для внедрения в легитимные процессы |
| T1547.006 | Kernel Modules and Extensions | Persistence, Privilege Escalation | LKM-руткиты на Linux, злонамеренные драйверы на Windows |
| T1542.003 | Bootkit | Persistence, Defense Evasion | Модификация MBR/VBR/UEFI для загрузки до ОС |
| T1562.001 | Disable or Modify Tools | Defense Evasion | Отключение EDR через удаление callback-ов, ETW-патчинг |
| T1564.005 | Hidden File System | Defense Evasion | Создание скрытых ФС на EFI-разделе или raw-дисковых секторах |
| T1574 | Hijack Execution Flow | Persistence, Privilege Escalation, Defense Evasion | SSDT/IDT hooking, IAT hooking, inline hooking (см. также T1056.004 для credential hooking) |
| T1106 | Native API | Execution | Прямые вызовы ntdll/syscall для обхода userland-хуков EDR |
Проверьте покрытие вашего SIEM/EDR по этим восьми техникам. Если нет детекшн-правил хотя бы для T1014, T1055 и T1547.006 - руткит базового уровня останется невидимым. Не потому что он хитрый, а потому что вы его не ищете.
Кто создаёт руткиты в 2025 году: экономика и мотивация
Руткиты - не массовый инструмент. Их разрабатывают и используют те, для кого результат атаки оправдывает месяцы (а иногда годы) разработки.APT-группировки. ProjectSauron (Strider/G0041) использовал руткит Remsec для пятилетней кибершпионской кампании против госучреждений шести стран. UNC3886 в 2024 году применяла open-source руткиты Reptile и Medusa для сохранения доступа на VMware ESXi. Для APT руткит - средство долгосрочного скрытного присутствия, где стоимость разработки несоизмерима с ценностью добываемой информации.
Финансово мотивированные группы. DirtyMoe (совмещавший user-mode и kernel-mode) использовался для сокрытия майнинг-модулей. По данным Avast, в 2021 году ботнет вырос с 10 000 до 100 000 машин после добавления червеподобного модуля распространения с эксплойтами EternalBlue, BlueKeep и брутфорсом SMB.
Рынок даркнета. По данным Positive Technologies, на русскоязычных и англоязычных форумах руткиты продаются в широком ценовом диапазоне - от относительно доступных user-mode инструментов до дорогих kernel-mode решений. Три самых востребованных функции: сокрытие активности, persistence и обход антивирусов.
Тренд: упрощение. Ряд семейств мигрирует с kernel-mode на user-mode. Меньше времени на разработку, меньше риск BSOD, достаточно для сред со слабой защитой. Если разведка показала, что периметр дырявый - зачем тратить ресурсы на kernel-руткит?
Чеклист противодействия руткитам: 8 уровней защиты
Противодействие руткитам - не один инструмент, а эшелонированная оборона. Каждый уровень закрывает конкретный вектор.1. Предотвращение загрузки неподписанного кода в ядро. Secure Boot, Driver Signature Enforcement (Windows), модуль безопасности
lockdown (Linux). Не панацея - BlackLotus обходит Secure Boot - но повышает барьер входа.2. Мониторинг загрузки драйверов и LKM. На Windows: аудит событий загрузки драйверов (Sysmon Event ID 6). На Linux: мониторинг
modprobe/insmod через auditd, использование module_signature для проверки подписей модулей.3. Защита целостности ядра. Windows: Kernel Patch Protection (PatchGuard), Hypervisor-Protected Code Integrity (HVCI). Linux: KASLR,
CONFIG_MODULE_SIG_FORCE.4. Endpoint Detection and Response. EDR-агенты с kernel-компонентом, использующие ETW и kernel callbacks для мониторинга. Но помните: современные руткиты целенаправленно отключают именно эти механизмы (T1562.001). EDR - необходимый, но недостаточный слой.
5. Memory forensics на регулярной основе. Периодическое снятие дампов памяти и анализ через Volatility на предмет расхождений: скрытые процессы, модифицированные таблицы, подозрительные драйверы.
6. Верификация firmware. Использование CHIPSEC или аналогичных инструментов для проверки целостности UEFI-прошивки. Интеграция с TPM remote attestation.
7. Сетевой мониторинг. Руткит скрывает процессы и файлы на хосте - но сетевой трафик проходит через инфраструктуру, которую он не контролирует. NDR и анализ NetFlow на предмет аномалий дополняют host-based обнаружение. Хост может врать, сеть - врёт реже.
8. Песочницы с проактивным обнаружением. Динамический анализ подозрительных файлов в изолированной среде с мониторингом API-последовательностей. Behavioral analysis через n-gram показывает, что даже метаморфные руткиты детектируются по паттернам вызовов с accuracy ~95–97% в лабораторных условиях.
Для инфраструктуры, соответствующей NIST CSF 2.0: категория DE.AE-01 (Adverse Event Analysis) предполагает установление базовых линий сетевых операций и ожидаемых потоков данных - критично для обнаружения сетевой активности руткитов, скрытой от хостовых средств.
Куда движутся руткиты: прогноз на ближайшие годы
Руткиты не исчезнут - они адаптируются. Три направления, которые видны уже сейчас.UEFI-импланты становятся доступнее. Если в 2018 году LoJax был уникальным, то к 2023 году - BlackLotus, ESPecter, MoonBounce, CosmicStrand - и это только публично раскрытые. Инструментарий анализа UEFI недостаточно зрелый, а большинство IR-команд не включают проверку firmware в стандартные процедуры. Этот разрыв будет расти.
Таргетинг на Linux-серверы и контейнерную инфраструктуру. Кейсы 2022–2024 годов (Symbiote, OrBit, Krasue, Reptile/Medusa на ESXi) показывают устойчивый тренд. Облачная инфраструктура - это Linux, а значит, LKM-руткиты и LD_PRELOAD-техники получают новую поверхность атаки, где мониторинг зачастую ограничен. Многие ли из вас мониторят загрузку LKM на production-серверах?
Целенаправленное противодействие EDR. Вместо того чтобы прятаться от детекта, современные руткиты отключают сам детект: удаляют kernel callbacks, патчат ETW-провайдеры, блокируют загрузку minifilter-драйверов антивирусов. На момент написания статьи атакующие выигрывают по скорости адаптации - и это не пессимизм, а факт.
Если вы полагаетесь только на антивирус и EDR, вы защищены от массовых угроз - но не от целевых. Для защиты от руткитов нужен multi-layer подход: memory forensics, сетевой мониторинг, верификация firmware и - прежде всего - навыки команды, способной анализировать аномалии на уровне структур ядра.
Хотите копнуть глубже в практику анализа и обнаружения руткитов? Курсы Codeby по реверс-инжинирингу и анализу вредоносного ПО дают именно те навыки, которые описаны в этой матрице: от работы с WinDbg и Volatility до анализа LKM-руткитов и UEFI-имплантов.
