Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Hacker säljer verktyg för att dölja skadlig kod inuti grafikkortet VRAM

I ett nötskal: Vill du hålla skadlig kod dold från datorns antivirusprogram när den kontrollerar system -RAM? Dölj det bara i grafikkortets VRAM. Ett proof-of-concept-verktyg som möjliggör en sådan sak såldes nyligen online, vilket kan stava dåliga nyheter för Windows-användare.

Bleeping Computer skriver att någon erbjöd sig att sälja PoC på ett hackerforum nyligen. De avslöjade inte för många detaljer om verktyget, men de noterade att det fungerar genom att allokera adressutrymme i GPU -minnesbufferten för att lagra skadlig kod och köra den därifrån.

Säljaren tillade att koden bara fungerar på Windows -datorer som stöder OpenCL 2.0 eller högre. De bekräftade att det fungerar på AMDs Radeon RX 5700 och Nvidias GeForce GTX 740M och GTX 1650 grafikkort. Det fungerar också med Intels integrerade UHD 620/630 grafik.

Inlägget som annonserade verktyget träffade forumet den 8 augusti. Cirka två veckor senare (25 augusti) avslöjade säljaren att de hade sålt PoC till någon.

Den 29 augusti twittrade forskargruppen Vx-underground att den skadliga koden möjliggör binärt körning av GPU: n i sitt minnesutrymme. Det kommer att demonstrera tekniken “snart”.

Vi har tidigare sett GPU-baserad skadlig kod. Jellyfish-attacken med öppen källkod, som du kan hitta på GitHub, är en Linux-baserad GPU rootkit PoC som använder LD_PRELOAD-tekniken från OpenCL. Samma forskare bakom JellyFish publicerade också PoC för en GPU-baserad keylogger och en GPU-baserad fjärråtkomst trojan för Windows.

“Nyckeltanken bakom vårt tillvägagångssätt är att övervaka systemets tangentbordsbuffert direkt från GPU via DMA [direct memory access], utan några krokar eller modifieringar i kärnans kod och datastrukturer förutom sidtabellen “, skrev forskarna i 2013-keyloggern.” Utvärderingen av vår prototypimplementering visar att en GPU-baserad keylogger effektivt kan spela in alla användarknapptryckningar, lagra dem i minnesutrymmet på GPU: n och till och med analysera den inspelade data på plats, med försumbar driftstidskostnad. “

Redan 2011 upptäcktes ett nytt hot mot skadlig kod som använde GPU: er för att bryta Bitcoin.

Säljaren av den senaste PoC sa att deras metod skiljer sig från JellyFish eftersom den inte förlitar sig på kodmappning tillbaka till användarutrymmet.