// چهار شنبه, ۱۰ شهریور ۱۴۰۰ ساعت ۱۸:۴۷

فروش ابزار مخفی کردن بدافزار داخل VRAM کارت گرافیک توسط هکرها

ظاهراً یک ابزار پنهان سازی بدافزارها در VRAM کارت گرافیک توسط یک هکر به فروش رسیده که دسترسی آنتی‌ویروس به این کدها را ناممکن می‌سازد.

Bleeping Computer می‌نویسد که اخیراً شخصی اقدام به فروش یک ابزار PoC (یا proof-of-concept) در یک انجمن هکرها کرده که البته جزئیات زیادی از کارکرد این ابزار فاش نشده اما گفته شده که این PoC با اختصاص بخشی از فضای حافظه بافر GPU به کد بدافزار مورد نظر کار کرده و این کد مخرب را از همانجا اجرا می‌کند. چیزی که باتوجه به نحوه‌ی عملکرد آنتی‌ویروس‌ها می‌تواند برای کاربران کامپیوترهای ویندوزی دردسرهای زیادی ایجاد کند.

فروشنده‌ی این ابزار توضیح داده که این کد تنها در سیستم‌هایی که از OpenCL 2.0 یا بالاتر پشتیبانی می‌کنند کارایی داشته و ضمناً تأیید کرده که می‌توان از آن برای کارت گرافیک‌های AMD Radeon RX 5700 و GeForce GTX 740M و GTX 1650 نیز استفاده کرد. همچنین این کد روی گرافیک یکپارچه اینتل UHD 620/630 نیز کار می‌کند.

این پست نشان می‌دهد که فروشنده در تاریخ ۸ تبلیغ آن را آغاز کرده و تقریباً دو هفته بعد PoC مورد نظر را به شخصی فروخته است. گروه تحقیقاتی Vx-underground در تاریخ ۲۹ اوت توییتی را منتشر کرده که تأیید می‌کند این کد مخرب، امکان اجرای دستورها باینری توسط GPU و در حافظه‌ی خود پردازنده‌ی گرافیکی را فراهم می‌کند. در ادامه گفته شده نحوه‌ی عملکرد این تکنیک به‌زودی نشان داده خواهد شد.

هکر و کدهای کامپیوتری

پیش از این هم بدافزارهای مبتنی بر GPU سیستم دیده شده است. حمله‌ی اوپن سورس Jellyfish که جزئیات آن در GitHub قابل مشاهده است، یک PoC پردازنده گرافیکی مبتنی بر سیستم‌عامل لینوکس است که تکنیک LD_PRELOAD را از OpenCL اجرا می‌کند. توسعه‌دهندگان JellyFish علاوه‌بر این تروجان‌های دسترسی از راه دور در پردازنده‌ی گرافیکی سیستم‌های ویندوزی و همچنین PoCهایی برای یک کی‌لوگر مبتنی بر GPU را منتشر کرده بودند. Keylogger ابزاری برای سرقت رمزها و اطلاعات شخصی کاربران است. محققان این ابزار در سال ۲۰۱۳ درباره آن نوشته بودند که:

«ایده‌ی اصلی این روش ضبط و مانیتورینگ بافر کیبورد سیستم به‌صورت مستقیم از GPU با استفاده از DMA یا دسترسی مستقیم به حافظه است که بدون هیچگونه نیاز به تغییر در کد kernel و ساختار داده‌های کنار صفحه عمل می‌کند. ارزیابی نمونه‌های اولیه‌ی ما نشان می‌دهد که این کی‌لوگر مبتنی بر GPU می‌تواند تمامی دستورها کلیدی کاربر را ضبط کرده و در حافظه گرافیکی GPU نگه داری کند. حتی می‌توان داده‌های مورد نظر را در همین محل آنالیز کرده و در زمان بسیار کوتاهی به تجزیه و تحلیل آن پرداخت.»

در سال ۲۰۱۱ نیز بدافزار جدیدی کشف شده بود که ازطریق GPU به سرقت رمزارزهای بیت کوبن می‌پرداخت. فروشنده‌ی PoC جدید ادعا کرده که متد عملکرد آن با JellyFish تفاوت دارد و این ابزار به نگاشت کد به فضای کاربری متکی نیست.

در پایان می‌توانید نظرات خود را در این خصوص با ما در میان بگذارید.