Een groep onderzoekers is erin geslaagd om een keylogger die toetsaanslagen opslaat in de processor van een videokaart te verbergen. Dat lieten Evangelos Ladakis, Lazaros Koromilas, Giorgos Vasiliadis, Sotiris Ioannidis en Michalis Polychronakis van het FORTH instituut eerder dit jaar zien.
De onderzoekers zochten naar een manier om kwaadaardige code voor virusscanners te verbergen en wilden weten of de Graphics Processing Unit (GPU) van de videokaart hiervoor geschikt is. De GPU kan namelijk voor verschillende taken worden geprogrammeerd. "Het idee achter onze aanpak is om het toetsenbordbuffer direct van de GPU via DMA te monitoren, zonder enige hooks of aanpassingen aan de kernelcode en datastructuren, op de pagetabel na", zo laten de onderzoekers weten.
Die presenteerden hun werk tijdens de EUROSEC 2013 conferentie. Uit het onderzoek zou blijken dat een GPU-gebaseerde keylogger alle toetsaanslagen kan opslaan, ze in de geheugenruimte van de GPU kan bewaren en zelfs de opgeslagen data kan analyseren, waarbij de overhead te verwaarlozen is.
Toch is het de vraag of een GPU-gebaseerde keylogger ooit in de praktijk zal verschijnen. Er zijn namelijk verschillende beperkingen. Zo vereist de GPU-keylogger een CPU-proces om te worden uitgevoerd. Dit laat een voetafdruk in het geheugen achter.
Daarnaast moet de aanvaller dit CPU-onderdeel in een bestaand proces injecteren om te verbergen. Dit vergroot de kans op detectie. Een andere beperking is dat het prototype van de onderzoekers beheerdersrechten vereist om de GPU het toetsenbordbuffer te laten monitoren.
Volgens de onderzoekers laat hun werk wel zien dat er aanvullende bescherming noodzakelijk is om bescherming te bieden tegen kwaadaardige code die op de processor van de videokaart wordt uitgevoerd. Voor de toekomst willen de onderzoekers hun prototype naar Windows poorten en onderzoeken of ze ook andere kwaadaardige activiteiten kunnen uitvoeren zoals het maken van screenshots, zowel van de desktop als via de webcam en het onderscheppen van cryptografische sleutels.
Deze posting is gelocked. Reageren is niet meer mogelijk.