فروش ابزار مخفی کردن بدافزار داخل VRAM کارت گرافیک توسط هکرها
ظاهراً یک ابزار پنهان سازی بدافزارها در VRAM کارت گرافیک توسط یک هکر به فروش رسیده که دسترسی آنتیویروس به این کدها را ناممکن میسازد.
Bleeping Computer مینویسد که اخیراً شخصی اقدام به فروش یک ابزار PoC (یا proof-of-concept) در یک انجمن هکرها کرده که البته جزئیات زیادی از کارکرد این ابزار فاش نشده اما گفته شده که این PoC با اختصاص بخشی از فضای حافظه بافر GPU به کد بدافزار مورد نظر کار کرده و این کد مخرب را از همانجا اجرا میکند. چیزی که باتوجه به نحوهی عملکرد آنتیویروسها میتواند برای کاربران کامپیوترهای ویندوزی دردسرهای زیادی ایجاد کند.
فروشندهی این ابزار توضیح داده که این کد تنها در سیستمهایی که از OpenCL 2.0 یا بالاتر پشتیبانی میکنند کارایی داشته و ضمناً تأیید کرده که میتوان از آن برای کارت گرافیکهای AMD Radeon RX 5700 و GeForce GTX 740M و GTX 1650 نیز استفاده کرد. همچنین این کد روی گرافیک یکپارچه اینتل UHD 620/630 نیز کار میکند.
این پست نشان میدهد که فروشنده در تاریخ ۸ تبلیغ آن را آغاز کرده و تقریباً دو هفته بعد PoC مورد نظر را به شخصی فروخته است. گروه تحقیقاتی Vx-underground در تاریخ ۲۹ اوت توییتی را منتشر کرده که تأیید میکند این کد مخرب، امکان اجرای دستورها باینری توسط GPU و در حافظهی خود پردازندهی گرافیکی را فراهم میکند. در ادامه گفته شده نحوهی عملکرد این تکنیک بهزودی نشان داده خواهد شد.
پیش از این هم بدافزارهای مبتنی بر GPU سیستم دیده شده است. حملهی اوپن سورس Jellyfish که جزئیات آن در GitHub قابل مشاهده است، یک PoC پردازنده گرافیکی مبتنی بر سیستمعامل لینوکس است که تکنیک LD_PRELOAD را از OpenCL اجرا میکند. توسعهدهندگان JellyFish علاوهبر این تروجانهای دسترسی از راه دور در پردازندهی گرافیکی سیستمهای ویندوزی و همچنین PoCهایی برای یک کیلوگر مبتنی بر GPU را منتشر کرده بودند. Keylogger ابزاری برای سرقت رمزها و اطلاعات شخصی کاربران است. محققان این ابزار در سال ۲۰۱۳ درباره آن نوشته بودند که:
«ایدهی اصلی این روش ضبط و مانیتورینگ بافر کیبورد سیستم بهصورت مستقیم از GPU با استفاده از DMA یا دسترسی مستقیم به حافظه است که بدون هیچگونه نیاز به تغییر در کد kernel و ساختار دادههای کنار صفحه عمل میکند. ارزیابی نمونههای اولیهی ما نشان میدهد که این کیلوگر مبتنی بر GPU میتواند تمامی دستورها کلیدی کاربر را ضبط کرده و در حافظه گرافیکی GPU نگه داری کند. حتی میتوان دادههای مورد نظر را در همین محل آنالیز کرده و در زمان بسیار کوتاهی به تجزیه و تحلیل آن پرداخت.»
در سال ۲۰۱۱ نیز بدافزار جدیدی کشف شده بود که ازطریق GPU به سرقت رمزارزهای بیت کوبن میپرداخت. فروشندهی PoC جدید ادعا کرده که متد عملکرد آن با JellyFish تفاوت دارد و این ابزار به نگاشت کد به فضای کاربری متکی نیست.
در پایان میتوانید نظرات خود را در این خصوص با ما در میان بگذارید.