Ett nytt verktyg för att utveckla skadlig kod som kan gömma sig inuti grafikkort ska ha tagits fram och nu sägs denna malware-teknik ha sålts vidare.
Ett nytt hot kan ha kommit ut på marknaden. Detta i form av en ny slags malware som sägs kunna gömma sig inuti ett grafikkorts minne och således kringgå risken att bli upptäckt av antivirus-program.
Detta är inte första gången ett verktyg som detta tas fram. För omkring sex år sedan skapade gruppen Team Jellyfish vad som tros vara den första tekniken för ett sådant ändamål. Då rörde det sig om ett Linux-baserat rootkit som hittills trots vara det enda fungerande för denna uppgift där ute.
Enligt hemsidan Bleeping Computer ska aktivitet på ett hacker-forum indikera på att någon sålt ett kallat “proof-of-concept” för hur man gömmer skadlig kod inuti grafikminne. En minnestyp som kringgår antivirus vakande ögon. Hur pass denna information faktiskt stämmer är dock något oklart.
Enligt annonsen ska tekniken ha testats på Intel UHD 620, AMD Radeon RX 5700, Nvidia Geforce GTX 740M och Geforce GTX 1650. Däremot hävdar säljaren att alla Windows-datorer med grafikkort som kommer med stöd för OpenCL 2.0 ska kunna infekteras.
I samma veva har vx-underground kommit ut och nämn att man har för avsikt att demonstrera denna teknik inom kort. Vilket sätt detta planeras att utföras på förblir dock ett mysterium.
Recently an unknown individual sold a malware technique to a group of Threat Actors.
This malcode allowed binaries to be executed by the GPU, and in GPU memory address space, rather the CPUs.
We will demonstrate this technique soon.
— vx-underground (@vxunderground) August 29, 2021
Hur sann denna information faktiskt visar sig vara är något tiden får utvisa. Skulle malware designat för att gömma sig i grafikminne bli vanligare är efterföljderna något som endast går att spekulera i.
Att ha körbar kod i grafikminnet är inget nytt, det var något som var möjligt redan för 30-år sedan. På den tiden (DOS tiden) så kunde man ta undan en del av grafikminnet som EMS minne. Vad som är nytt nu är att den körbara koden inte körs i x86/x64 miljö utan via grafikkortets API (instruktionsuppsättning) vilket i sig är försvårande, inte bara för användaren utan även för den som vill utföra en attack. Orsaken är att API’t är helt olika mellan tillverkare och även förändras mellan generationerna, varvid chansen att GPU’n inte förstår den skadliga koden är överhängande. För… Läs hela »