Moderne skjermkort kan langt mer enn bare å genere grafikk. Dette kan utnyttes av skadevareutviklere. (Bilde: Nvidia, Asus, Gigabyte)

GPU-rootkit

Gjemmer skadevaren i skjermkortet

– Oppdages ikke av dagens sikkerhetsprogramvare.

En gruppe forskere ved Institute of Computer Science, Foundation for Research and Technology i Hellas og Columbia University i USA har demonstrert at det er mulig å lage skadevare som kjøres i grafikkprosessen til pc-er.

Jellyfish

Konseptbeviset kalles for Jellyfish og er en keylogger – en type skadevare som registrere alt det brukeren skriver på tastaturet.

Forskerne, som kaller seg for Team Jellyfish, har så langt utviklet både Linux- og Windows-utgaver av Jellyfish. En Mac-versjon er fortsatt under utvikling. Kildekoden er tilgjengelig på GitHub.

I en eldre forskningsrapport skriver forskerne at ideen bak tilnærmingen var å overvåke systemet tastaturbuffer direkte fra grafikkprosessoren via DMA (Direct Memory Access), uten gjøre endringer i systemet bortsett fra i sidetabellen til minnet.

Forskerne mener at prototype-implementasjonen viser at GPU-baserte (Graphic Processing Unit) keyloggere effektivt kan registrere alle tastetrykkene til brukerne og lagre dem i minneområdet til grafikkprosessen.

Les også: Skadevare straffer brukeren dersom den oppdages 

Lokal analyse

Men ikke bare det. Dataene som fanges opp kan også analyseres i GPU-en, noe som knapt vil være merkbart for brukeren. Blant annet har forskerne lykkes i å bruke dette til å hente ut kredittkortnumre fra det brukeren taster inn.

De mener lignende teknikker kan brukes til fange opp alt fra kryptografiske nøkler, innloggingsinformasjon til blant annet nettbanker, øyeblikksbilder fra webkameraer, skjermbilder og informasjon fra åpne dokumenter som er lagret i systemets filcacheminne.

Maskinvare: Slik skal Microsoft bekjempe skadevare 

Oppdages ikke

Ifølge Team Jellyfish det ingen verktøy tilgjengelig på weben som kan brukes til analyse av GPU-basert skadevare.

I alle fall Linux-utgaven av Jellyfish fungerer med grafikkprosessorer fra både AMD og Nvidia, men også grafikkprosessorer fra Intel skal være berørt.

Windows-utgaven, som kalles for WIN_JELLY, demonstrerer at en DLL-fil kan kopieres direkte til GPU-minnet via et nettverk og aldri trenger å være innom harddisken eller SSD-en. Selv etter en omstart skal DLL-filen bli værende i GPU-minnet og blir automatisk kjørt etter omstarten.

Skadevaren avhenger dog av at OpenCL-drivere er installert på systemet. Dette er forhåndsinstallert i alle fall på Mac OS X-maskiner.

Les mer: – De fleste dataangrep er uhell 

Til toppen