虽然杀毒软件可检测藏在计算机系统RAM内存的恶意程序代码,但如今却出现可将恶意程序代码完美隐藏到显卡VRAM内存的PoC概念验证工具。前日黑客甚至将这专门针对Windows用户的恶意工具放在黑客论坛开卖,且确定有人买到这恶意工具。
运用所谓GPU-based恶意软件的PoC黑客工具,约8月8日开始在黑客论坛开卖,2周后的8月25日,卖家透露将工具卖给某人。安全研究团队Vx-underground 8月29推文指出,恶意程序代码可使GPU在自身内存空间执行二进制码,并表示很快会展示技术原理。
此PoC恶意工具的运行原理是通过GPU内存缓冲区分配内存地址空间,在GPU内存存储并执行恶意程序代码。卖家有特别强调,只适用支持OpenCL 2.0以上的Windows PC。目前确认工具支持AMD Radeon RX 5700、Nvidia GeForce GTX 740M/GTX 1650等显卡,同时英特尔UHD 620 / 630内显也可正常发挥“隐藏”作用。
GPU-based恶意软件早有先例,像是用户仍可在Github找到的“水母”(Jellyfish)开放源码,为充分利用OpenCL LD_PRELOAD技术的Linux-based GPU Rootkit PoC。不过这次卖家表示技术与“水母”不同,因工具不会依赖程序代码映射回用户空间。
撰写“水母”的研究人员曾在2013年发布GPU-based击键记录程序(Keylogger)与GPU-based远程访问木马两款PoC工具。2011年也曾出现会运用GPU执行比特币挖矿的新恶意软件。
(首图来源:Nvidia)