Rootkit je kolekce škodlivého softwaru (malwaru) navržená tak, aby útočníkovi poskytla trvalý a privilegovaný přístup k počítači, zatímco svou přítomnost aktivně skrývá před uživatelem i bezpečnostními mechanismy operačního systému.

Zatímco běžný virus se snaží množit a backdoor otevřít přístup, rootkit se zaměřuje na neviditelnost. Dokáže zmanipulovat hlášení operačního systému tak, aby nebyly vidět jeho procesy, soubory ani síťová spojení.

Rootkity se dělí podle toho, v jaké vrstvě systému operují. Čím hlouběji jsou uloženy, tím obtížnější je jejich detekce.

Nahrazují nebo modifikují standardní systémové soubory (např. .dll ve Windows nebo knihovny v Linuxu).

• Jak funguje: Pokud uživatel spustí příkaz pro výpis souborů, rootkit tento výpis „přefiltruje“ a smaže z něj své vlastní záznamy.

Cílí přímo na jádro operačního systému (kernel). Jsou extrémně nebezpečné, protože mají stejná práva jako samotný systém.

• Jak funguje: Mění vnitřní datové struktury jádra nebo zachytává systémová volání. Může tak zcela převzít kontrolu nad hardwarem.

Vytvoří si vlastní neviditelnou vrstvu (hypervisor) a původní operační systém do ní „uzavře“ jako virtuální stroj. Operační systém pak nemá žádnou šanci zjistit, že pod ním běží ještě něco jiného.

Infikují nízkoúrovňový kód jako BIOS, UEFI nebo MBR (Master Boot Record).

• Dopad: Přežijí i úplné zformátování pevného disku a přeinstalaci operačního systému, protože jsou uloženy v čipu na základní desce nebo v zaváděcí sekci disku.

Rootkit využívá k utajení několik pokročilých metod:

• Hooking (Háčkování): Zachytávání zpráv nebo funkcí putujících mezi aplikací a operačním systémem.
• Direct Kernel Object Manipulation (DKOM): Přímá úprava seznamů běžících procesů v paměti RAM. Rootkit se ze seznamu prostě „vymaže“, ale dál běží.
• Filtrace systémových volání: Pokud se antivir zeptá „Jaké soubory jsou v této složce?“, rootkit odpověď zachytí a pošle antiviru upravený seznam bez škodlivých souborů.

Protože rootkit lže operačnímu systému, nelze se spolehnout na běžné nástroje (Správce úloh, Antivir spuštěný v napadeném systému).

• Skenování z vnějšku (Offline scanning): Nabootování z čistého USB disku (např. Linux Live CD). Rootkit na pevném disku není spuštěn, a tudíž se nemůže bránit ani skrývat.
• Behaviorální analýza: Sledování neobvyklého chování hardwaru (např. CPU běží na 100 %, ale Správce úloh ukazuje 0 %).
• Kontrola integrity (Signature checking): Porovnávání digitálních podpisů systémových souborů s originály od výrobce (např. Microsoftu).

U nízkoúrovňových rootkitů (Kernel, Firmware) je odstranění velmi riskantní a často selhává. Nejbezpečnějším řešením je obvykle:

1. Úplné zformátování všech disků.
2. Flashování BIOSu/UEFI (pokud je podezření na infekci firmwaru).
3. Čistá instalace operačního systému.

• Sony BMG Rootkit (2005): Sony instalovala na hudební CD ochranu proti kopírování, která se do počítače nainstalovala jako rootkit. Způsobilo to obrovský skandál, protože to otevřelo bezpečnostní díry do milionů počítačů.
• Stuxnet (2010): Komplexní kybernetická zbraň cílící na íránské jaderné zařízení, která využívala kernel-mode rootkit k maskování sabotáže průmyslových kontrolérů.
• LoJax (2018): První detekovaný UEFI rootkit použitý při skutečném útoku, který přežil i výměnu pevného disku.

Související pojmy: Malware, Backdoor, Bootkit, Kernel, UEFI, Virtualizace, Antivirus.