顯卡 VRAM 恐成為窩藏惡意程式新毒窟!駭客網路開賣 GPU-based 惡意工具

作者 | 發布日期 2021 年 09 月 03 日 16:15 | 分類 GPU , 網路 , 資訊安全 Telegram share ! follow us in feedly


雖然防毒軟體可檢測藏在電腦系統 RAM 記憶體的惡意程式碼,但如今卻出現可將惡意程式碼完美隱藏到顯卡 VRAM 記憶體的 PoC 概念驗證工具。前日駭客甚至將這專門針對 Windows 使用者的惡意工具放在駭客論壇開賣,且確定有人買到這惡意工具。 

運用所謂 GPU-based 惡意軟體的 PoC 駭客工具,約 8 月 8 日開始在駭客論壇開賣,2 週後的 8 月 25 日,賣家透露將工具賣給某人。安全研究團隊 Vx-underground 8 月 29 推文指出,惡意程式碼可使 GPU 在自身記憶體空間執行二進位碼,並表示很快會展示技術原理。

此 PoC 惡意工具的運作原理是透過 GPU 記憶體緩衝區分配記憶體位址空間,在 GPU 記憶體儲存並執行惡意程式碼。賣家有特別強調,只適用支援 OpenCL 2.0 以上的 Windows PC。目前確認工具支援 AMD Radeon RX 5700、Nvidia GeForce GTX 740M/GTX 1650 等顯卡,同時英特爾 UHD 620 / 630 內顯也可正常發揮「隱藏」作用。

GPU-based 惡意軟體早有先例,像是使用者仍可在 Github 找到的「水母」(Jellyfish)開放原始碼,為充分利用 OpenCL LD_PRELOAD 技術的 Linux-based GPU Rootkit PoC。不過這次賣家表示技術與「水母」不同,因工具不會依賴程式碼映射回使用者空間。

撰寫「水母」的研究人員曾在 2013 年發表 GPU-based 擊鍵記錄程式(Keylogger)與 GPU-based 遠端存取木馬兩款 PoC 工具。2011 年也曾出現會運用 GPU 執行比特幣挖礦的新惡意軟體。

(首圖來源:Nvidia