地下市場出售能隱藏在GPU內的惡意程式工具

說到GPU,大一時間都會聯想到缺貨和瘋狂的炒價,然而日前有研究人員發現,在黑客討論區有人出售能在GPU內運行的惡意程式,之前類似的「作品」都停甶在學術世界,通常屬不完整或粗糙的,而這次則有人嘗試當作商品出售,把攻擊帶到新層次的精密程式。

編碼在Intel、 AMD和Nvidia GPU上測試

在黑客討論區的貼文內,有人提供聲稱能把惡意程式保存在系統RAM,免受保安方案掃瞄的技術,賣方只提供了他們使用的方法概述,聲稱它使用GPU記憶緩衝去儲存惡意編碼,並且在該處執行。

根據「銷售資料」,該計劃只能該在Windows支援OpenCL 2.0或以上的系統上有效,能在不同的處理器和GPU內執行編碼。貼子同時提到作者在Intel (UHD 620/630)、Radeon (RX 5700)和GeForce (GTX 740M和GTX 1650)上進行過測試。

該貼子出現在8月初,在兩個星期後賣家回覆已經出售,但沒有披露交易條件。黑客討論區內另一個會員指出,基於GPU的惡意程式在很久以前已經完成,例如JellyFish,是一款6年前以Linux為基礎的概念技術成果。

然後在Twitter上一則貼子上,有研究人員披露惡意編碼能夠在GPU的記憶空間內執行任意編碼,並聲言在不久將來會示範有關技術。

學術研究

JellyFish背後的研究人員也公開了以GPU為基礎的鍵盤輸入記錄,和Windows系統的GPU遙距存取木馬程式的概念實踐,早於2015年5月向公眾公開。

這次的賣家否定惡意程式與JellyFish有關連,聲稱他們以不同的方法,沒有倚靠code mapping返回用戶空間。就這次交易也沒有公開詳情,買家身份、付出的價錢一概不明,只有賣方貼文表示惡意程式已經出售予某人。

如果參考JellyFish,GPU為基礎的惡意程式概念相對較新,單是攻擊方法的底層工作已大約8年前。在2013年,紐約一所大學的研究人員展示了GPU能運行keylogger和儲存鍵盤輸入到記憶安間。較早前也有研究人員示範了,惡意程式作者能「善用」GPU的運算能力,以非常複雜的加密去包裝編碼比以CPU快得多。

資料來源:Bleeping Computer