想要在您的计算机防病毒软件检查您的系统RAM时隐藏恶意代码吗?很简单,只需将其隐藏在显卡的VRAM中即可。最近有人在网上出售了一款可以做到这一点的概念验证工具,这对Windows用户来说可能是个坏消息。BleepingComputer写道,最近在黑客论坛上出售了一个PoC。他们没有透露有关该工具的太多细节,但它的工作原理是在GPU内存缓冲区中分配地址空间来存储恶意代码并从那里执行。卖家补充说,该代码仅适用于支持OpenCL2.0或更高版本的Windows计算机。他们证实它适用于AMD的RadeonRX5700和Nvidia的GeForceGTX740M和GTX1650显卡。它还适用于英特尔的UHD620/630集成显卡。8月8日,论坛上出现了宣传该工具的帖子。大约两周后(8月25日),卖家透露他们已经将PoC卖给了其他人。8月29日,研究小组Vx-underground在推特上表示,恶意代码使GPU在其内存空间中执行二进制文件。它将“很快”展示该技术。我们过去曾见过基于GPU的恶意软件,例如,您可以在GitHub上找到开源Jellyfish漏洞,这是一种基于Linux的GPUrootkitPoC,它利用了OpenCL的LD_PRELOAD技术。JellyFish背后的研究人员还发布了基于GPU的键盘记录器和基于GPU的Windows远程访问木马的PoC。这种方法的技术核心是通过DMA[DirectMemoryAccess]直接从GPU监控系统的键盘缓冲区,除了页表之外,没有对内核的代码和数据结构进行任何挂钩或修改。对攻击代码原型实现的评估表明,基于GPU的键盘记录器可以高效地记录所有用户击键,并将它们存储在GPU的内存空间中,甚至可以就地分析记录的数据,而运行时开销甚至可以可以忽略。早在2011年,安全人员就发现了一种新的恶意软件威胁,它利用GPU来挖掘比特币。但近期PoC的卖家表示,他们的方法与JellyFish不同,因为它不依赖于将代码映射回用户空间。
