2. Hírek
  3. Videokártya
  4. Egyéb

Állítólag gazdára talált egy VRAM-ban megbúvó malware

Klasszikus értelemben ugyanakkor ez nem újdonság, több éve is láthattunk már példát hasonlóra.

A BleepingComputer friss riportja szerint egy hacker fórumon keresztül valaki olyan kódot adott el, amellyel Windows operációs rendszeren, az OpenCL 2.0 vagy jobb implementációval rendelkező AMD, Intel vagy NVIDIA GPU-kon, rendszermemóriában nem tárolt malware futtatható. Ezzel utóbbi képes rejtőzködni a víruskeresők elől, hiszen a VRAM-ot ezek a szoftverek nem vizsgálják, vagyis az efféle fenyegetéseket képtelenek detektálni.

A kód birtokosa augusztus 8-án jelentette be, hogy vevőt keres, majd augusztus 25-én elárulta, hogy eladta a kódot egy meg nem nevezett vevőnek. Ehhez talán kapcsolódik a VX-Underground nevű Twitter fiók közleménye, amely egy GPU memóriájában futó malware kód eladásáról írt.

Az elv nem annyira új

A fentiek nem néznek ki jól, de valójában a koncepció szintjén már hat éve létezik ilyen kód a GitHubon. A Jellyfish GPU rootkit egy Linuxon működő, OpenCL API-t használó megoldás, de ennek is van egy Windows verziója, ami a WIN_JELLY nevet viseli, és az NVIDIA CUDA API-n keresztül működik.

Az állítólag eladott kód gyakorlatilag egy Windowsra írt, OpenCL alatt alkalmazható GPU rootkit, ami gyakorlati szinten valóban újdonság, de az alapkoncepciót tekintve nem az. Nyilván a Windows és az OpenCL párosa azért hasznos, mert ezzel lehet elérni azt, hogy a lehető legtöbb gépre legyen veszélyes egy víruskeresők számára láthatatlan malware, viszont így is OpenCL 2.0 vagy jobb implementációra van szükség a meghajtó oldalán.

Mindezeken túlmenően a szóban forgó új kóddal pont ugyanaz lesz a baj, mint a hat éve kiadottakkal. Többek között valahogy meg kell fertőzni a támadott rendszerek GPU-ját. És a hogyan itt elég sok kérdést felvet, hiszen nem varázsolható az adott malware csak úgy bele a VRAM-ba, előbb mindenképpen szükséges egy olyan kód futtatása, amit elvégzi a malware telepítését. Ezt akár egy jobb vírusirtó meg is akadályozhatja, tehát megint ott vagyunk, hogy a rendszer védelmének állandó megkerüléséhez előbb át kell jutni annak a védelmén. Ha újraindítás után is szükség van a működésre, akkor érdemes firmware rootkitben gondolkodni, ami közel sem egyszerű opció. Esetlegesen bizonyos célzott támadásokhoz reális lehetőség már eleve fertőzött firmware-rel szállítani a megrendelt hardvereket, de ezt sem könnyű azért biztosítani, viszont ez már egy lehetőség lehet bizonyos támadók számára.

Az átlagembereket mindez nem igazán érinti, mert sokkal egyszerűbb valamilyen más biztonsági rést kihasználni, köszönhetően annak, hogy sokan nem frissítik időben az operációs rendszerüket, illetve a biztonsági szoftvereiket. Egy GPU-n keresztüli támadás ebben a környezetben csak nyűg, feleslegesen sok, amúgy nem szükségszerű buktatóval.

Mindezektől függetlenül egy nagyobb cég számára érdemes figyelemmel kísérni a GPU rootkiteket, mert a meglévő biztonsági szoftverek nem tudják kiszűrni a GPU memóriáján belül ügyködő malware-eket, és csak a professzionális VGA-k kis része tartalmaz olyan biztonsági processzort, amely részben védelmet biztosít ezek ellen. A GPU-n keresztüli támadás tehát reális lehetőség pár éve, de egyelőre csak egy szűk réteg számára jelent valós gondot.

Azóta történt

Előzmények

Hirdetés