想在电脑杀毒软件查验系统软件RAM时将恶意代码掩藏起來?非常简单,只需将其掩藏在电脑显卡的VRAM中。近期有些人在网络上售卖一种可以达到这个功能性的定义认证工具,这对Windows客户而言可能是个不好的消息。
Bleeping Computer写到,近期有些人在一个黑客网站上售卖一种PoC。她们沒有透露有关该工具的过多关键点,但其原理是在GPU内存缓冲区分派详细地址室内空间来储存恶意代码,并从那边实行它。
商家填补说,该编码只在适用OpenCL 2.0或更高版本的Windows电脑工作中。她们确认它在AMD的Radeon RX 5700和Nvidia的GeForce GTX 740M和GTX 1650电脑显卡上可以工作中。它也适用intel的UHD 620/630集成化图型。
8月8日,社区论坛上出現了宣传策划该工具的贴子。大概两个星期后(8月25日),商家透露,她们早已将PoC卖给了他人。8月29日,科学研究工作组Vx-underground在Twitter上说,恶意代码使GPU在其内存空间中实行二进制。它将"迅速"展现这一技术性。
大家以往曾见过根据GPU的恶意程序,例如你能在GitHub上寻找开源系统的Jellyfish拒绝服务攻击,这是一个根据Linux的GPU rootkit PoC,运用了OpenCL的LD_PRELOAD技术性。JellyFish身后的分析工作人员还公布了根据GPU的键盘记录器和基于GPU的Windows远程连接木马病毒的PoC。
这类办法的工艺关键是根据DMA[立即运行内存浏览]立即从GPU监控系统的电脑键盘缓冲区域,除开页表以外,在核心的源代码和算法设计中没有挂勾或改动。对进攻编码原形完成的评定说明,根据GPU的键盘记录器可以合理地纪录全部的客户功能键,将他们储存在GPU的内存空间中,乃至可以就地剖析统计的数据信息,而运作时长的花销乃至可以忽略。
早在2011年,安全性工作人员就发觉了一种新的恶意程序危害,运用GPU来发掘BTC。可是近期PoC的商家说,她们的方式 与JellyFish不一样,因为它不依靠编码投射回客户室内空间。