image

Onderzoekers verstoppen malware in videokaart

dinsdag 12 mei 2015, 16:15 door Redactie, 4 reacties

Onderzoekers zijn erin geslaagd om malware voor Linux en Windows te ontwikkelen die zich in de videokaart kan verstoppen. Een versie voor de Mac zou in ontwikkeling zijn. Het gaat om de op Linuxgebaseerde Jellyfish rootkit en Demon keylogger, waarvan een proof-of-concept op de website GitHub is verschenen. Vorige week verscheen de Linuxversie al, maar nu is er ook een versie voor Windows online gezet.

Volgens de ontwikkelaars, van wie onbekend is wie het zijn, heeft malware die zich in de videokaart kan verbergen verschillende voordelen. Zo zijn er op internet geen analysetools te vinden om "GPU-malware" te analyseren. Daarnaast kan de GPU van de videokaart voor allerlei wiskundige berekeningen worden gebruikt. De Demon keylogger van de onderzoekers is gebaseerd op een keylogger die in 2013 al werd gepresenteerd. De keylogger kan de toetsaanslagen van de gebruiker in het geheugen van de videokaart opslaan.

Vereisten

Beide malware-exemplaren vereisen een videokaart met AMD- of Nvidia-chip om te werken. Kaarten met een chipset van Intel worden via een specifieke software ontwikkelkit ondersteund. De rootkit gebruikt daarnaast de OpenCL API van de Kronos Group, een consortium van GPU-leveranciers en andere bedrijven die open standaarden ontwikkelen. De OpenCL-drivers moeten dan ook op het aangevallen systeem aanwezig zijn als de rootkit wil functioneren. De Windowsversie van de malware wordt als een remote acces tool (RAT) omschreven en kopieert een DLL-bestand van de harde schijf naar het geheugen van de videokaart.

Als het systeem wordt herstart zal de DLL in het GPU-geheugen worden gezocht en wanneer gevonden worden uitgevoerd, zonder dat hierbij enige activiteit op de harde schijf plaatsvindt. Ook in het geval van de Windowsversie moeten er specifieke drivers en software ontwikkelkit op de computer aanwezig zijn. De onderzoekers stellen dat de malware nog in ontwikkeling is en dat ze die alleen voor educatieve doeleinden hebben ontwikkeld en niet voor het gebruik ervan door derden verantwoordelijk zijn.

Reacties (4)
12-05-2015, 16:34 door Anoniem
De onderzoekers stellen dat de malware nog in ontwikkeling is en dat ze die alleen voor educatieve doeleinden hebben ontwikkeld

Educatieve malware?

Straks malware die je eerst een proefwerk voorschotelt alvorens je bestanden te ontsleutelen?
Dat zouden ze eens met social media accounts moeten doen, hoe vaak check jij dagelijks die accounts?
Het gemiddelde schijnt op 31 keer per dag te staan, dat kan alleen maar ten koste gaan van kennis en serieuze zaken.

Op slot die handel en unlocken in ruil voor een educatieve tegenprestatie.
12-05-2015, 16:39 door Anoniem
Was er al.
Werd gebruikt om bitcoins te minen.

Onderzoekers die opnieuw bevestigen dat iets kan wat er al was...
https://devtalk.nvidia.com/default/topic/731363/other-tools/gpgpu-based-malware-and-where-to-find-instruction-set-reference-for-nvidia-gpus/
13-05-2015, 08:45 door ph-cofi
Is het verschil met eerder onderzoek dan dat de software beschikbaar is gemaakt voor echte slechterikken? Kunnen we deze keylogger binnenkort in het echt tegemoet zien? Ben benieuwd wat hier dan weer de remedie tegen wordt. Zoiets als firewall in gpu inbouwen oid.
13-05-2015, 10:50 door Anoniem
Door Anoniem: Was er al.
Werd gebruikt om bitcoins te minen.

Onderzoekers die opnieuw bevestigen dat iets kan wat er al was...
https://devtalk.nvidia.com/default/topic/731363/other-tools/gpgpu-based-malware-and-where-to-find-instruction-set-reference-for-nvidia-gpus/
Incorrect, de GPU wordt gebruikt voor het minen, maar niet om de malware daadwerkelijk onder te brengen. De malware zelf staat dus gewoon op de HDD.


Door ph-cofi: Is het verschil met eerder onderzoek dan dat de software beschikbaar is gemaakt voor echte slechterikken? Kunnen we deze keylogger binnenkort in het echt tegemoet zien? Ben benieuwd wat hier dan weer de remedie tegen wordt. Zoiets als firewall in gpu inbouwen oid.
Een firewall (???) in de GPU?
Daar creëer je alleen maar meer kwetsbaarheden mee, me dunkt.

Wat wel een optie zou zijn, is het verifiëren van firmware-updates alvorens deze kunnen worden geïmplementeerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.