想在電腦殺毒軟件檢查系統(tǒng)RAM時(shí)將惡意代碼隱藏起來(lái)?很簡(jiǎn)單�����,只需將其隱藏在顯卡的VRAM中��。最近有人在網(wǎng)上出售一種能夠?qū)崿F(xiàn)這種功能的概念驗(yàn)證工具,這對(duì)Windows用戶來(lái)說(shuō)可能是個(gè)壞消息���。
Bleeping Computer寫道��,最近有人在一個(gè)黑客論壇上出售一種PoC���。他們沒(méi)有透露關(guān)于該工具的太多細(xì)節(jié),但其工作原理是在GPU內(nèi)存緩沖區(qū)分配地址空間來(lái)存儲(chǔ)惡意代碼�����,并從那里執(zhí)行它����。
賣家補(bǔ)充說(shuō),該代碼只在支持OpenCL 2.0或更高版本的Windows電腦上工作�����。他們證實(shí)它在AMD的Radeon RX 5700和Nvidia的GeForce GTX 740M和GTX 1650顯卡上可以工作�。它也適用于英特爾的UHD 620/630集成圖形�。
8月8日,論壇上出現(xiàn)了宣傳該工具的帖子���。大約兩周后(8月25日)���,賣家透露��,他們已經(jīng)將PoC賣給了別人�。8月29日���,研究小組Vx-underground在Twitter上說(shuō)����,惡意代碼使GPU在其內(nèi)存空間中執(zhí)行二進(jìn)制�����。它將"很快"展示這一技術(shù)����。
我們過(guò)去曾見過(guò)基于GPU的惡意軟件,例如你可以在GitHub上找到開源的Jellyfish攻擊方式���,這是一個(gè)基于Linux的GPU rootkit PoC����,利用了OpenCL的LD_PRELOAD技術(shù)。JellyFish背后的研究人員還發(fā)布了基于GPU的鍵盤記錄器和基于GPU的Windows遠(yuǎn)程訪問(wèn)木馬的PoC����。
這種方法的技術(shù)核心是通過(guò)DMA[直接內(nèi)存訪問(wèn)]直接從GPU監(jiān)控系統(tǒng)的鍵盤緩沖區(qū),除了頁(yè)表之外�,在內(nèi)核的代碼和數(shù)據(jù)結(jié)構(gòu)中沒(méi)有任何掛鉤或修改。對(duì)攻擊代碼原型實(shí)現(xiàn)的評(píng)估表明���,基于GPU的鍵盤記錄器可以有效地記錄所有的用戶按鍵��,將它們存儲(chǔ)在GPU的內(nèi)存空間中����,甚至可以就地分析記錄的數(shù)據(jù)�����,而運(yùn)行時(shí)間的開銷甚至可以忽略不計(jì)����。
早在2011年�����,安全人員就發(fā)現(xiàn)了一種新的惡意軟件威脅,利用GPU來(lái)挖掘比特幣�。但是最近PoC的賣家說(shuō),他們的方法與JellyFish不同����,因?yàn)樗灰蕾嚧a映射回用戶空間。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
