فروش ابزار هکی که بدافزارها را در حافظهی کارت گرافیک پنهان میکند
یکی از نرمافزارهایی که سالانه میلیونها دلار صرف خرید آن میشود، آنتیویروس است؛ نرمافزارهایی امنیتی که وظیفهی شناسایی انواع ویروسها و بدافزارها را دارند تا آسیبی به سختافزار، سیستمعامل دستگاه یا اطلاعات کاربر وارد نشود.اما هکرها نیز موفق به تولید ابزارهایی میشوند که امکان دور زدن ویروسها را دارند. اخیرا TechSpot به ابزاری پرداخته است که قابلیت دور زدن آنتیویروس و قرار دادن بدافزار در حافظهی VRAM کارت گرافیک دارد.
طبق گزارش، اخیراً شخصی اقدام به فروش یک ابزار PoC (یا proof-of-concept) در یک انجمن مختص به هکرها کرده که البته جزئیات زیادی از کارکرد این ابزار فاش نشده است؛ اما گفته شده این PoC بخشی از فضای حافظه بافر GPU را به کد بدافزار مورد نظر اختصاص میدهد و این کد مخرب را از همان محل اجرا میکند. موردی که با توجه به نحوهی عملکرد آنتیویروسها میتواند برای کاربران کامپیوترهای مبتنی بر ویندوز دردسرهای زیادی ایجاد کند.
فروشندهی این ابزار توضیح داده است که این کد تنها در سیستمهایی که از OpenCL 2.0 یا بالاتر پشتیبانی میکنند کارایی دارد و ضمناً تأیید کرده است که میتوان از آن برای کارت گرافیکهای AMD Radeon RX 5700 و GeForce GTX 740M و GTX 1650 نیز استفاده کرد. این کد روی گرافیک یکپارچه اینتل UHD 620/630 نیز کار میکند.
این پست نشان میدهد که فروشنده در ۸ آگوست (۱۷ مرداد) تبلیغ را آغاز کرده و تقریباً دو هفته بعد PoC مورد نظر را به شخصی فروخته است. گروه تحقیقاتی Vx-underground در تاریخ ۲۹ آگوست (۷ شهریور) توییتی منتشر کرده که تأیید میکند این کد مخرب، امکان اجرای دستورهای باینری توسط GPU و در حافظهی خود پردازندهی گرافیکی را فراهم میکند. در ادامه گفته شده است نحوهی عملکرد این تکنیک بهزودی نشان داده خواهد شد.
پیش از این هم بدافزارهای مبتنی بر GPU دیده شده بود. حملهی اوپن سورس Jellyfish که جزئیات آن در GitHub منتشر شد، یک PoC پردازنده گرافیکی مبتنی بر لینوکس است که تکنیک LD_PRELOAD را از OpenCL اجرا میکند. توسعهدهندگان JellyFish علاوهبر این تروجانهای دسترسی از راه دور در پردازندهی گرافیکی سیستمهای ویندوزی و همچنین PoC-هایی برای یک کیلوگر مبتنی بر GPU را منتشر کرده بودند. Keylogger ابزاری برای سرقت رمزها و اطلاعات شخصی کاربران است. محققان این ابزار در سال ۲۰۱۳ درباره آن نوشته بودند:
ایدهی اصلی این روش ضبط و مانیتورینگ بافر کیبورد سیستم بهصورت مستقیم از GPU با استفاده از DMA یا دسترسی مستقیم به حافظه است که بدون هیچگونه نیاز به تغییر در کد kernel و ساختار دادههای کنار صفحه عمل میکند. ارزیابی نمونههای اولیهی ما نشان میدهد که این کیلوگر مبتنی بر GPU میتواند تمامی دستورها کلیدی کاربر را ضبط و در حافظه GPU نگهداری کند. حتی میتوان دادههای مورد نظر را در همین محل آنالیز کرد و در زمان بسیار کوتاهی به تجزیه و تحلیل آن پرداخت.
در سال ۲۰۱۱ نیز بدافزار جدیدی کشف شده بود که از طریق GPU به سرقت بیت کوبن میپرداخت. فروشندهی PoC جدید ادعا کرده است که روش عملکرد آن با JellyFish تفاوت دارد و این ابزار به نگاشت کد در فضای کاربری متکی نیست.