恶意软件进入GPU时代

点击蓝字 关注我们            ///

@GoUpSec

恶意软件正在进入GPU时代，一些恶意软件已经可以从受感染系统的图形处理单元(GPU)中执行代码。

虽然该方法并不新鲜，之前已经有人发布过演示代码，但这些项目大多来自学术界，尚不完善。

本月早些时候，有人在黑客论坛上出售利用GPU的概念验证(PoC)，这可能标志着网络犯罪分子的恶意软件攻击已过渡到GPU时代。

不法分子在Intel、AMD和Nvidia GPU上测试代码

在黑客论坛上发布的一篇短文正在兜售概念验证(PoC)，该技术可使恶意代码绕过依赖内存扫描的安全解决方案（上图）。

卖家只提供了他们方法的概述，称它使用GPU内存缓冲区来存储恶意代码并执行代码。

据发布者称，该项目仅适用于支持OpenCL框架2.0及更高版本的Windows系统，用于在各种处理器（包括GPU）上执行代码。

短文还提到，作者在Intel（UHD 620/630）、Radeon（RX 5700）和GeForce（GTX 740M/1650）显卡上测试了代码。

该公告出现在8月8日，大约两周后，即8月25日，卖家回复说他们已出售PoC，但并未透露交易条款。

黑客论坛的另一位成员指出，基于GPU的恶意软件之前已经被制造出来，并提及JellyFish——一个针对基于Linux的GPU Rootkit的，六年前就已发布的PoC。

在上周日的一条推文中，VX-Underground威胁存储库的研究人员表示，恶意代码允许GPU在其内存空间中执行二进制文件，该人员还表示将在不久的将来展示这项技术。

开发JellyFish rootkit的研究人员还发布了基于GPU的键盘记录器和基于GPU的Windows远程访问木马的PoC。这三个项目均于2015年5月发布，目前都已公开。

卖家否认GPU利用PoC与JellyFish恶意软件存在关联，称前者方法不同，不依赖代码映射回用户空间。

目前还没有关于这笔交易的详细信息，例如谁是买家？价格如何？只有卖家发布了他们将恶意软件出售给未知方的帖子。

虽然对JellyFish项目的引用表明基于GPU的恶意软件是一个相对较新的想法，但这种攻击方法的基础已经在八年前奠定。

2013年，希腊计算机科学研究所——研究与技术基金会(FORTH)和纽约哥伦比亚大学的研究人员表明，GPU可以托管键盘记录器的操作并将捕获的击键存储在其内存空间中。

此前，还有研究人员证明 ，恶意软件作者可以利用GPU的计算能力，以比CPU快得多的速度用非常复杂的加密方案打包代码。

论文链接

http://www.cs.columbia.edu/~mikepo/papers/gpukeylogger.eurosec13.pdf

END