Intel: Вредоносное ПО для графических процессоров не так сложно обнаружить

image

Теги: вредонос, графический процессор, обнаружение, кроссплатформа

В вопросах атак на пароли методом перебора ключей к шифрам GPU более эффективен, нежели центральный процессор.

Автор: Александр Антипов

Хотя аналитики Intel предсказывали появление вредоносов, злоупотребляющих возможностями графических процессоров еще в октябре 2009 года, заговорили о них сравнительно недавно. Ранее в этом году группа исследователей разработала несколько экспериментальных угроз, использующих GPU для большей скрытности. Тем не менее, специалисты из Intel Security уверены, что следы троянов можно обнаружить с помощью средств защиты.

Привлекательность графического процессора с точки зрения злоумышленников состоит в том, что он изначально нацелен на более скоростное выполнение вычислений за счет активного использования приемов распараллеливания задач. Соответственно, в вопросах атак на пароли методом брутфорс или перебора ключей к шифрам GPU более эффективен, нежели центральный процессор.

В мае этого года анонимная группа разработчиков опубликовала исходные коды трех образцов вредоносного ПО, использующего возможности графического процессора. Это руткит Jellyfish для Linux, работающий на видеокартах, вредонос для Windows под названием WIN_JELLY, действующий как инструмент удаленного доступа, и кейлоггер Demon. Эти программы продемонстрировали, что вредоносное ПО для GPU может функционировать после программной перезагрузки, сканировать системную память в обход центрального процессора, используя средства Direct Memory Access (DMA), а также удалять хост-файлы центрального процессора.

В отчете McAfee Labs Threats Report за август 2015 года эксперты Intel указывают, что в то время как после установки троян может удалить драйвер режима ядра и родительский процесс в пользовательском режиме с целью избежать обнаружения, код в графической карте остается незащищенным. На системах Windows это приводит к инициализации процесса Timeout Detection and Recovery (TDR), отвечающего за перезагрузку драйверов графической карты. При этом изменение настроек TDR наверняка вызовет подозрение, поскольку Microsoft рекомендует проделывать это только в целях проверки.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.