Onderzoekers verstoppen keylogger in videokaart
Een groep onderzoekers is erin geslaagd om een keylogger die toetsaanslagen opslaat in de processor van een videokaart te verbergen. Dat lieten Evangelos Ladakis, Lazaros Koromilas, Giorgos Vasiliadis, Sotiris Ioannidis en Michalis Polychronakis van het FORTH instituut eerder dit jaar zien.
De onderzoekers zochten naar een manier om kwaadaardige code voor virusscanners te verbergen en wilden weten of de Graphics Processing Unit (GPU) van de videokaart hiervoor geschikt is. De GPU kan namelijk voor verschillende taken worden geprogrammeerd. "Het idee achter onze aanpak is om het toetsenbordbuffer direct van de GPU via DMA te monitoren, zonder enige hooks of aanpassingen aan de kernelcode en datastructuren, op de pagetabel na", zo laten de onderzoekers weten.
Die presenteerden hun werk tijdens de EUROSEC 2013 conferentie. Uit het onderzoek zou blijken dat een GPU-gebaseerde keylogger alle toetsaanslagen kan opslaan, ze in de geheugenruimte van de GPU kan bewaren en zelfs de opgeslagen data kan analyseren, waarbij de overhead te verwaarlozen is.
Beperkingen
Toch is het de vraag of een GPU-gebaseerde keylogger ooit in de praktijk zal verschijnen. Er zijn namelijk verschillende beperkingen. Zo vereist de GPU-keylogger een CPU-proces om te worden uitgevoerd. Dit laat een voetafdruk in het geheugen achter.
Daarnaast moet de aanvaller dit CPU-onderdeel in een bestaand proces injecteren om te verbergen. Dit vergroot de kans op detectie. Een andere beperking is dat het prototype van de onderzoekers beheerdersrechten vereist om de GPU het toetsenbordbuffer te laten monitoren.
Toekomst
Volgens de onderzoekers laat hun werk wel zien dat er aanvullende bescherming noodzakelijk is om bescherming te bieden tegen kwaadaardige code die op de processor van de videokaart wordt uitgevoerd. Voor de toekomst willen de onderzoekers hun prototype naar Windows poorten en onderzoeken of ze ook andere kwaadaardige activiteiten kunnen uitvoeren zoals het maken van screenshots, zowel van de desktop als via de webcam en het onderscheppen van cryptografische sleutels.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!