黑客正在探索在受害者计算机上引入和使用恶意软件的新方法,并且最近学会了为此目的使用视频卡。 在一个显然是俄罗斯的黑客论坛上,出售了一种技术演示器 (PoC),它允许您将恶意代码插入图形加速器的视频内存,然后从那里运行它。 防病毒软件将无法检测到漏洞,因为它们通常只扫描 RAM。
以前,视频卡只能执行一项任务——处理 3D 图形。 尽管它们的主要任务没有改变,但显卡本身已经演变成一种封闭的计算生态系统。 今天,它们包含数以千计的图形加速块、几个管理此过程的主要核心,以及它们自己的缓冲存储器 (VRAM),其中存储图形纹理。
正如 BleepingComputer 所写,黑客已经开发出一种在视频卡内存中定位和存储恶意代码的方法,因此它无法被防病毒软件检测到。 关于漏洞利用的确切工作原理一无所知。 写它的黑客只是说它允许将恶意程序放在视频内存中,然后直接从那里执行。 他还补充说,该漏洞仅适用于支持 OpenCL 2.0 框架及更高版本的 Windows 操作系统。 据他介绍,他使用集成显卡 Intel UHD 620 和 UHD 630 以及独立显卡 Radeon RX 5700、GeForce GTX 1650 和移动 GeForce GTX 740M 测试了恶意软件的性能。 这使大量系统受到攻击。 Vx-underground 研究团队通过他们的页面 Twitter 报道称,在不久的将来它将展示特定黑客技术的运作。
最近,一个不知名的人向一群威胁参与者出售了一种恶意软件技术。
该恶意代码允许二进制文件由 GPU 在 GPU 内存地址空间而不是 CPU 中执行。
我们很快就会演示这种技术。
- vx-underground (@vxunderground) 2021 年 8 月 29 日
需要注意的是,同一个团队在几年前发布了开源的 Jellyfish 漏洞,它也使用 OpenCL 连接到 PC 系统功能并强制从 GPU 执行恶意代码。 反过来,新漏洞利用的作者否认与 Jellyfish 有联系,并表示他的黑客攻击方法不同。 黑客没有说明谁购买了演示器,也没有说明交易金额。
另请阅读: