Nowy sposób hackowania przy wykorzystaniu pamięci VRAM. Złośliwy kod niewykrywalny przez antywirusy
Jak donosi serwis Bleeping Computer, cyberprzestępcy znaleźli nowy sposób na ukrywanie złośliwego oprogramowania w pamięci kart graficznych. Metoda ta, polegająca na wykorzystaniu pamięci karty graficznej zamiast pamięci systemowej, ma być niewykrywalna przez oprogramowanie antywirusowe - tak przynajmniej wyczytamy z ogłoszeń zamieszczanych na forach hakerskich. Co prawda, wykorzystywanie VRAM-u do wykonywania złośliwego kodu nie jest zupełnie nowym tematem. Już w 2015 roku zademonstrowano keylogger oparty na GPU. Autor nowego złośliwego oprogramowania twierdzi jednak, że jego metoda jest nowa i nie jest powiązana z rozwiązaniami sprzed 6 lat.
Cyberprzestępcy znaleźli nowy sposób na ukrywanie złośliwego oprogramowania w pamięci kart graficznych. Zagrożeni możemy być wszyscy.
![Nowy sposób hackowania przy wykorzystaniu pamięci VRAM. Złośliwy kod niewykrywalny przez antywirusy [1]](/image/news/2021/09/01_nowy_sposob_hackowania_przy_wykorzystaniu_pamieci_vram_zlosliwy_kod_niewykrywalny_przez_antywirusy_1_b.jpg)
GIGABYTE padło ofiarą ataku ransomware. Grupa RansomEXX żąda okupu za 112 GB poufnych danych dotyczących m. in Intela i AMD
Tytułowe złośliwe oprogramowanie wykorzystuje przestrzeń alokacji pamięci graficznej, z której to wykonywany jest kod. Rozwiązanie wykorzystuje API OpenCL 2.0 w systemie operacyjnym Windows. Na inne systemy złośliwy kod nie ma już wpływu. Haker, który przedstawił nową metodę przejmowania kontroli nad systemem potwierdził, że kod został przetestowany na układach graficznych takich jak Intel UHD 620/630.
![Nowy sposób hackowania przy wykorzystaniu pamięci VRAM. Złośliwy kod niewykrywalny przez antywirusy [2]](/image/news/2021/09/01_nowy_sposob_hackowania_przy_wykorzystaniu_pamieci_vram_zlosliwy_kod_niewykrywalny_przez_antywirusy_0_b.jpg)
Centralne Biuro Zwalczania Cyberprzestępczości: Nowa komórka polskiej policji będzie przeciwdziałać cyberzagrożeniom
Zagrożeni są jednak także posiadacze dedykowanych kart graficznych takich jak AMD Radeon RX 5700 oraz NVIDIA GeForce GTX 740M i GTX 1650. Nie wiadomo, czy zagrożenie dotyczy pozostałych układów GPU, ale zakładając, że metoda ta wykorzystuje OpenCL 2.0, jest bardzo prawdopodobne, że złośliwe oprogramowanie jest kompatybilne także z pozostałymi nowoczesnymi GPU. Już niedługo powinniśmy poznać dokładny sposób działania tego malware'u. Ma go zaprezentować ekipa z vx-underground.
Recently an unknown individual sold a malware technique to a group of Threat Actors.
— vx-underground (@vxunderground) August 29, 2021
This malcode allowed binaries to be executed by the GPU, and in GPU memory address space, rather the CPUs.
We will demonstrate this technique soon.
Powiązane publikacje
AMD Radeon RX 8000 - nadchodząca seria kart graficznych ma bazować na niezbyt szybkich pamięciach GDDR6
177
Karty graficzne Intel Battlemage otrzymają obsługę standardu DisplayPort 2.1 w wariancie UHBR13.5
28
NVIDIA GeForce GTX 2070 - oto karta graficzna, która nigdy nie ujrzała światła dziennego. Jest tylko nieco wolniejsza niż RTX 2070
11
SK hynix podpisało ważną umowę ramową z TSMC na potrzeby badań i produkcji pamięci HBM4
2
