Shop menü

A GPU VRAM-JÁBA REJTHETIK KÁRTÉKONY KÓDJAIKAT AZ ANTIVÍRUS SZOFTVEREK ELŐL A KIBERBŰNÖZŐK

Hasonló támadási formára már korábban is volt példa, ám most megint felbukkant egy OpenCL alapokra támaszkodó példakód, amellyel a GPU VRAM-jába rejthető a kártékony kód, ott pedig egyetlen jelenleg forgalomban lévő védelmi szoftver sem talál rá.
Víg Ferenc (J.o.k.e.r)
Víg Ferenc (J.o.k.e.r)
A GPU VRAM-jába rejthetik kártékony kódjaikat az antivírus szoftverek elől a kiberbűnözők

A kiberbűnözők folyamatosan fejlesztik eszközeiket annak érdekében, hogy minél kifinomultabb támadásokat indíthassanak, amelyeket lehetőleg nem is fedez fel a gyanútlan áldozat egészen addig, amíg már késő nem lesz. Az új eszközök sorában nemrégiben egy igen veszélyes lehetőség tűnt fel, amelyhez már példakód is tartozik: ezzel lényegében azt érik el, hogy a kártékony kódot a GPU futtatja le, tárolását pedig a GPU-hoz kapcsolódó VRAM szeletben oldják meg, így az antivírus szoftverek nem veszik észre azt.

A Bleeping Computer bukkant rá egy érdekes példakódra, amit eladásra kínáltak fel egy hacker fórumon. Ez a kód még idén augusztus 8-án tűnt fel, majd augusztus 25-én sikerült is eladni egy bizonyos összegért, ám sem a vevő, sem az összeg nagysága nem ismert. Az a tény azonban, hogy segítségével kifinomult támadásokat lehet indítani, amelyet a védelmi szoftverek sem feltétlenül ismernek fel, elég komoly problémát jelenthet, hiszen a kártékony kód készítői a GPU VRAM-jából hasíthatnak ki egy szeletet a kártékony kód tárolására, amivel az a probléma, hogy a VRAM-ot nem tudják ellenőrizni a jelenleg rendelkezésre álló vírusírtók, így a kód észrevétlen maradhat.

Az új támadási forma pontos működése egyelőre még nem ismert, ám az elkövetkező napok folyamán további részletek is napvilágot láthatnak vele kapcsolatban, legalábbis a vx-underground csapata ezt ígéri. Az aktuális információk alapján úgy tűnik, hogy a célba vett rendszernek Windows operációs rendszerrel kell rendelkeznie, valamint OpenCL 2.0 támogatásra is szükség van. A kártékony kód a tesztek alapján a Radeon RX 5700-as, a GeForce GTX 740M, illetve a GeForce GTX 1650-es videokártyákon egyaránt működik, és valószínűleg egyéb modellekkel is használható. Ráadásul nem csak a dGPU-val felszerelt rendszerek vannak veszélyben, hanem az iGPU-val ellátott konfigurációk is: az új támadási forma az Intel UHD Graphics 620/630 sorozatú integrált grafikus vezérlőkkel is kompatibilis.

Hasonlóra, vagyis a GPU-n keresztül indított támadási formára már korábban is volt példa. Akkoriban az OpenCL-ben használatos LD_Preload funkciót vetették be annak érdekében, hogy a rendszerhívásokat és a GPU-t összekapcsolják, amelynek eredményeként a kártékony kódot maga a GPU futtatta le. A Jellyfish névre keresztelt támadás esetében is OpenCL segítségével rejtették el a kártékony kódokat, így azokat a védelmi szoftverek nem detektálták, tenni sem tudtak ellenük.

Az újfajta kártékony kódok terjedése komoly problémát jelenthet, ugyanis a védelmi szoftverek nincsenek felkészítve az efféle támadásokra, és ahhoz, hogy ez a helyzet változzon, sok időre lesz szükség. Addig az efféle támadások sok bosszúságot okozhatnak, amennyiben tényleg felkapják őket a kiberbűnözők.

Neked ajánljuk

    Tesztek

      Kapcsolódó cikkek

      Vissza az oldal tetejére