黑客正在探索在受害者的計算機上引入和使用惡意軟件的新方法,並且最近學會了為此目的使用視頻卡。 在一個顯然是俄羅斯的黑客論壇上,出售了一個技術演示器 (PoC),它允許您將惡意代碼插入圖形加速器的視頻內存中,然後從那裡運行它。 防病毒軟件將無法檢測到漏洞利用,因為它們通常只掃描 RAM。
以前,視頻卡只用於執行一項任務——處理 3D 圖形。 儘管它們的主要任務沒有改變,但顯卡本身已經演變成一種封閉的計算生態系統。 如今,它們包含數千個用於圖形加速的塊、幾個管理此過程的主要內核,以及它們自己的用於存儲圖形紋理的緩衝存儲器 (VRAM)。
正如 BleepingComputer 所寫,黑客已經開發出一種在視頻卡內存中定位和存儲惡意代碼的方法,因此它無法被防病毒軟件檢測到。 關於漏洞利用的確切工作原理一無所知。 寫它的黑客只是說它允許將惡意程序放在視頻內存中,然後直接從那裡執行。 他還補充說,該漏洞僅適用於支持 OpenCL 2.0 框架及更高版本的 Windows 操作系統。 據他介紹,他使用集成顯卡 Intel UHD 620 和 UHD 630 以及獨立顯卡 Radeon RX 5700、GeForce GTX 1650 和移動 GeForce GTX 740M 測試了惡意軟件的性能。 這使大量系統受到攻擊。 Vx-underground 研究團隊通過他們的頁面 Twitter 報導稱,在不久的將來它將展示特定黑客技術的運作。
最近,一個不知名的人向一群威脅參與者出售了一種惡意軟件技術。
此惡意代碼允許二進製文件由 GPU 執行,並且在 GPU 內存地址空間中,而不是 CPU。
我們將很快展示這種技術。
- vx-underground (@vxunderground) 2021 年 8 月 29 日
需要注意的是,同一個團隊幾年前發布了開源 Jellyfish 漏洞利用,該漏洞利用 OpenCL 連接 PC 系統功能並強制從 GPU 執行惡意代碼。 反過來,新漏洞的作者否認與 Jellyfish 有聯繫,並表示他的黑客方法不同。 黑客沒有透露是誰購買了演示器,以及交易金額。
另請閱讀: