Přichází viry běžící v paměti GPU, nezjistitelné antivirem

Viry psané v OpenCL a běžící v paměti grafiky

Vypadá to, že v počítačové bezpečnosti zase přibude další věc, na níž si bude třeba dávat pozor. A sice paměť grafických karet. Antiviry a bezpečnostní nástroje běžně kontrolují operační paměť a typicky by v ní měly najít škodlivý kód, jehož signatury znají. Ale na svět teď přišel malware běžící na GPU a v jeho paměti, který je pro antiviry kvůli tomu neviditelný. A infikovat dokáže grafiky Nvidia, AMD i Intelu.

Myšlenka schovat malware do paměti grafické karty není úplně nová, bezpečnostní výzkumníky to samozřejmě již napadlo. Ale šlo zatím spíše o teorii a akademické proof-of-concepty. Nyní se však na kriminálních fórech objevila implementace, která tuto technologii údajně rozpracovala do funkčního „řešení“. Tento malware byl údajně minulý měsíc (mezi 8. a 25. srpnem) prodán svým vývojářem na internetu (zřejmě tedy nějaké kyberzločinecké skupině) a tudíž se ho někdo může pokusit šířit v reálu (pokud už se to nestalo).

Prodaný software dělá to, že schovává malware do paměti GPU – a to jak samostatného s vlastní pamětí, tak do integrovaného, které používá výsek hlavní operační paměti. Tímto je dosaženo toho, že antivirové programy na tento vir doslova nemůžou, protože do paměti vyhrazené GPU dnes běžně nešťourají.

Malware schovávající se v GPU na prodej na internetu (Zdroj: Bleeping Computer)

Přímo i samotný kód malwaru pak běží v paměti GPU a také na jeho výpočetních jednotkách místo toho, aby potřeboval hostitelské CPU, takže se z paměti grafiky nedostává ven. Jde tak vlastně o GPGPU aplikaci, což je svým způsobem docela zajímavé. Běží zřejmě nad OpenCL 2.0, které je uvedeno jako požadavek. Nicméně kód by pořád mělo být třeba do grafiky nahrát nějakým zavaděčem, protože v ní nepřežije restart. Tudíž by malware možná mohl být odhalitelný v momentě, kdy je tento zavaděč na počítači přítomný (jak by se „produkční“ implementace proti tomuto bránila, nevíme).

Zatímco samostatné API OpenCL 2.0 je multiplatformní, prodaná implementace je napsaná pro Windows a na jiných platformách nefunguje (i když to nemusí znamenat, že by nemohla být portována). Autor uvádí, že má potvrzené fungování na integrovaných grafikách Intel (UHD 620/630), samostatných Radeonech (RX 5700) i kartách GeForce (mobilní GTX 740M, GTX 1650). Toto jsou asi jen GPU, na kterých sám funkčnost ověřil, ale hrozba nejspíš bude fungovat na široké škále.

Antiviry budou muset začít skenovat i paměť GPU

Doufáme, že tyto útoky schovávající se v GPU se nerozšíří moc rychle a výrobci antivirů včas zaregistrují. Ukrytí v GPU by principiálně nemělo znamenat, že takové viry budou nepostižitelné, ale antiviry se budou muset přizpůsobit.

Řešením by mělo být, aby výrobci GPU zpřístupnili nějakou formou paměť grafiky pro bezpečnostní software, aby ji antiviry mohly klasicky skenovat jako operační paměť počítače. Poté by malware mohl být loven i tam klasickými metodami (hledáním signatur, heuristikou). Alternativou by bylo, pokud by antivirovou kontrolu prováděly přímo ovladače Nvidie, Intelu a AMD, ale pravděpodobně bude lepší, pokud to dostanou na starost tradiční antiviry.

Zdroj: Bleeping Computer

Jan Olšan, redaktor Cnews.cz


  •  
  •  
  •  
Flattr this!

Den vydání Radeonu RX 6600 už je jasný, 1792 shaderů potvrzeno

Už hodně dlouho se v únicích objevují zmínky o tom, že AMD chystá grafiku Radeon RX 6600, což by byla levnější alternativa k Radeonu RX 6600 XT, který je nyní nejlevnější grafikou AMD generace RDNA 2. Uvedení bylo možná odkládáno, ale teď už se tato karta definitivně dostane na trh, máme už dokonce asi i víceméně přesné datum jejího příchodu na pulty obchodů, což nastane příští měsíc. Celý článok „Den vydání Radeonu RX 6600 už je jasný, 1792 shaderů potvrzeno“ »

  •  
  •  
  •  

AMD: Adrenalin 21.9.2 výrazne zvyšujú fps v Diablo II: Resurrected

V priebehu veľmi krátkeho času AMD po Adrenalin 21.9.1 vydáva nové ovládače pre Radeony s číselným označením 21.9.2. Je to najmä z dôvodu optimalizácií pre herné novinky z druhej polovice septembra. Medzi nimi kraľuje Diablo, pred ktorého hraním by ste nové grafické ovládače Adrenalin mali nainštalovať. AMD avizuje, že plynulosť s nimi je v remaku kultového RPG citeľne lepšia. Celý článok „AMD: Adrenalin 21.9.2 výrazne zvyšujú fps v Diablo II: Resurrected“ »

  •  
  •  
  •  

Ověřte si, jestli vám půjde Windows 11: aplikace ukáže, co řešit

Opět je tu „oblíbené“ téma HW požadavků nového operačního systému Windows 11. Nejdřív vypadaly dost hrozivě, mezitím Microsoft trošku zmírnil, ale zůstává nejistota (například se objevily zvěsti, že by oficiálně nepodporovaný hardware třeba nemusel dostat aktualizace). Pokud se na upgrade chystáte, může vám teď pomoci nová aplikace Microsoftu kontrolující požadavky, která už přesně říká, v čem vaše PC vyhovuje a v čem ne. Celý článok „Ověřte si, jestli vám půjde Windows 11: aplikace ukáže, co řešit“ »

  •  
  •  
  •  

One comment Pridať komentár

  1. otázlou je, ako dlho sú podobné „programy“ už reálne na svete, keď sa to prefláklo s nešikovnými „používateľmi“ až teraz v polovici augusta. revolučné „novinky“ tohto typu sa musia udržať pod pokrievkou čo najdlhšie, veď to, že antivír ich nedetekuje je obrovská výhoda…

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *