虽然防毒软件可检测藏在电脑系统 RAM 内存的恶意程式码,但如今却出现可将恶意程式码完美隐藏到显卡 VRAM 内存的 PoC 概念验证工具。前日骇客甚至将这专门针对 Windows 使用者的恶意工具放在骇客论坛开卖,且确定有人买到这恶意工具。
运用所谓 GPU-based 恶意软件的 PoC 骇客工具,约 8 月 8 日开始在骇客论坛开卖,2 周后的 8 月 25 日,卖家透露将工具卖给某人。安全研究团队 Vx-underground 8 月 29 推文指出,恶意程式码可使 GPU 在自身内存空间执行二进制码,并表示很快会展示技术原理。
此 PoC 恶意工具的运作原理是透过 GPU 内存缓冲区分配内存位址空间,在 GPU 内存储存并执行恶意程式码。卖家有特别强调,只适用支援 OpenCL 2.0 以上的 Windows PC。目前确认工具支援 AMD Radeon RX 5700、Nvidia GeForce GTX 740M/GTX 1650 等显卡,同时英特尔 UHD 620 / 630 内显也可正常发挥“隐藏”作用。
GPU-based 恶意软件早有先例,像是使用者仍可在 Github 找到的“水母”(Jellyfish)开放源代码,为充分利用 OpenCL LD_PRELOAD 技术的 Linux-based GPU Rootkit PoC。不过这次卖家表示技术与“水母”不同,因工具不会依赖程式码映射回使用者空间。
撰写“水母”的研究人员曾在 2013 年发表 GPU-based 击键记录程式(Keylogger)与 GPU-based 远端存取木马两款 PoC 工具。2011 年也曾出现会运用 GPU 执行比特币挖矿的新恶意软件。
- Hacker sells tool for hiding malware inside graphics card VRAM
(首图来源:Nvidia)
