想在電腦殺毒軟件檢查系統RAM時將惡意代碼隱藏起來?很簡單,只需將其隱藏在顯卡的VRAM中。最近有人在網上出售一種能夠實現這種功能的概念驗證工具,這對Windows用戶來說可能是個壞消息。
Bleeping Computer寫道,最近有人在一個黑客論壇上出售一種PoC。他們沒有透露關於該工具的太多細節,但其工作原理是在GPU內存緩衝區分配地址空間來存儲惡意代碼,並從那裡執行它。
賣家補充說,該代碼只在支持OpenCL 2.0或更高版本的Windows電腦上工作。他們證實它在AMD的Radeon RX 5700和Nvidia的GeForce GTX 740M和GTX 1650顯卡上可以工作。它也適用於英特爾的UHD 620/630集成圖形。
8月8日,論壇上出現了宣傳該工具的帖子。大約兩周后(8月25日),賣家透露,他們已經將PoC賣給了別人。8月29日,研究小組Vx-underground在Twitter上說,惡意代碼使GPU在其內存空間中執行二進制。它將”很快”展示這一技術。
我們過去曾見過基於GPU的惡意軟件,例如你可以在GitHub上找到開源的Jellyfish攻擊方式,這是一個基於Linux的GPU rootkit PoC,利用了OpenCL的LD_PRELOAD技術。JellyFish背後的研究人員還發布了基於GPU的鍵盤記錄器和基於GPU的Windows遠程訪問木馬的PoC。
這種方法的技術核心是通過DMA[直接內存訪問]直接從GPU監控系統的鍵盤緩衝區,除了頁表之外,在內核的代碼和數據結構中沒有任何掛鈎或修改。對攻擊代碼原型實現的評估表明,基於GPU的鍵盤記錄器可以有效地記錄所有的用戶按鍵,將它們存儲在GPU的內存空間中,甚至可以就地分析記錄的數據,而運行時間的開銷甚至可以忽略不計。
早在2011年,安全人員就發現了一種新的惡意軟件威脅,利用GPU來挖掘比特幣。但是最近PoC的賣家說,他們的方法與JellyFish不同,因為它不依賴代碼映射回用戶空間。