恶意软件进入GPU时代
恶意软件正在进入GPU时代,一些恶意软件已经可以从受感染系统的图形处理单元(GPU)中执行代码。
虽然该方法并不新鲜,之前已经有人发布过演示代码,但这些项目大多来自学术界,尚不完善。
本月早些时候,有人在黑客论坛上出售利用GPU的概念验证(PoC),这可能标志着网络犯罪分子的恶意软件攻击已过渡到GPU时代。
不法分子在Intel、AMD和Nvidia GPU上测试代码
在黑客论坛上发布的一篇短文正在兜售概念验证(PoC),该技术可使恶意代码绕过依赖内存扫描的安全解决方案(上图)。
卖家只提供了他们方法的概述,称它使用GPU内存缓冲区来存储恶意代码并执行代码。
据发布者称,该项目仅适用于支持OpenCL框架2.0及更高版本的Windows系统,用于在各种处理器(包括GPU)上执行代码。
短文还提到,作者在Intel(UHD 620/630)、Radeon(RX 5700)和GeForce(GTX 740M/1650)显卡上测试了代码。
该公告出现在8月8日,大约两周后,即8月25日,卖家回复说他们已出售PoC,但并未透露交易条款。
黑客论坛的另一位成员指出,基于GPU的恶意软件之前已经被制造出来,并提及JellyFish——一个针对基于Linux的GPU Rootkit的,六年前就已发布的PoC。
在上周日的一条推文中,VX-Underground威胁存储库的研究人员表示,恶意代码允许GPU在其内存空间中执行二进制文件,该人员还表示将在不久的将来展示这项技术。
开发JellyFish rootkit的研究人员还发布了基于GPU的键盘记录器和基于GPU的Windows远程访问木马的PoC。这三个项目均于2015年5月发布,目前都已公开。
卖家否认GPU利用PoC与JellyFish恶意软件存在关联,称前者方法不同,不依赖代码映射回用户空间。
目前还没有关于这笔交易的详细信息,例如谁是买家?价格如何?只有卖家发布了他们将恶意软件出售给未知方的帖子。
虽然对JellyFish项目的引用表明基于GPU的恶意软件是一个相对较新的想法,但这种攻击方法的基础已经在八年前奠定。
2013年,希腊计算机科学研究所——研究与技术基金会(FORTH)和纽约哥伦比亚大学的研究人员表明,GPU可以托管键盘记录器的操作并将捕获的击键存储在其内存空间中。
此前,还有研究人员证明 ,恶意软件作者可以利用GPU的计算能力,以比CPU快得多的速度用非常复杂的加密方案打包代码。