Bilgisayar korsanları, bir grafik kartında kötü amaçlı kodu depolamanın ve yürütmenin bir yolunu bulmuş olabilir ve bu da potansiyel olarak virüsten koruma yazılımı tarafından algılanmasını önlemesine olanak tanır. Kodun ayrıca bir bilgisayar korsanlığı forumu aracılığıyla satıldığı bildirildi ve şu ana kadar tekniğin ne kadar tehlikeli olabileceğine dair başka bir gösterge yok.
GPU belleğinde algılanmayan kod, kaldırılmasıyla ilgili olası zorluk nedeniyle büyük olasılıkla çok tehlikelidir ve bu da GPU’nun tamamen yanıp sönmesine bağlı olabilir – zaten riskli bir mesele. Bununla birlikte, bildirilen yöntemin genel tehdidi, başlangıçta kodu GPU belleğine yerleştirmek için ne yapılması gerektiğine bağlı olacaktır.
Bununla birlikte, teknik hakkında bildiğimiz tek şey, daha sonra onu sattığı bildirilen bir bilgisayar korsanının bir forumda söylediği şey. Bu daha sonra fark edildi ve rapor edildi. Bipleyen Bilgisayar.
Orijinal forum gönderisi şöyle:
“PoC mührü [proof-of-concept] RAM taramasından AV algılamasını önleyen teknik. GPU bellek arabelleğinde adres alanı ayırır, kodu oradan ekler ve yürütür.”
Daha sonra gönderi, tekniğin yalnızca OpenCL 2.0 veya daha üstünü destekleyen Windows makinelerinde çalıştığını açıklıyor – GPU’lardaki uygulamaları hızlandırmak için kullanılan açık bir standart. Ayrıca teknik Intel UHD 620, UHD 630, Radeon RX 5700, GeForce GTX 740M ve GeForce GTX 1650 grafik kartlarında test edilmiştir.
Bu tekniğin hem AMD hem de Nvidia ayrı GPU’larında çalışma olasılığı tek başına yeterince endişe verici olurdu. Bununla birlikte, Intel iGPU’larında da çalışma olasılığı, potansiyel olarak çok daha büyük bir PC yüzdesinin istismara açılmasına neden olabilir.
Bleeping Computer’ın belirttiği gibi, kendisini “internetteki en büyük kötü amaçlı yazılım kaynak kodu, örnekler ve makaleler koleksiyonu” olarak adlandıran VX-Underground, böyle bir tekniğin farkındadır ve yakında bunu gösterecektir.
Son zamanlarda bilinmeyen bir kişi, bir grup Tehdit Aktörüne kötü amaçlı bir teknik sattı. Bu kötü amaçlı kod, ikili dosyaların GPU tarafından ve CPU’lar yerine GPU bellek adres alanında yürütülmesine izin verdi. Bu tekniği yakında göstereceğiz.29 Ağustos 2021
Bu, bir GPU’nun ve muhtemelen OpenCL’nin kötü amaçlı kod yürütmek için ilk kez kullanılması değil. Çeşitli kullanıcılar, hem Nvidia hem de AMD GPU’larda çalışan ve OpenCL sürücülerinin çalışmasını gerektiren Linux tabanlı bir GPU kök seti olan Jellyfish adlı benzer bir PoC’ye işaret ediyor. Bu koda altı yıl içinde dokunulmadı, ancak yaratıcıları, bu tür GPU tabanlı kötü amaçlı yazılımların, bunları algılayabilecek araç ve yazılım eksikliğinden yararlandığını belirtiyor.
Denizanası ve daha yeni tekniğin, en azından potansiyel olarak zararlı PoC’nin satıcısına göre farklılık gösterdiği söylenmektedir.
Bugün her tür makinedeki önemini göz önünde bulundurarak, GPU belleğinden veya genel olarak hızlandırıcılardan yararlanmak için daha fazla çaba görmemiz olasıdır. Bununla birlikte, herhangi bir anda bilgi işlemde birçok istismarın var olduğuna dair aklımda çok az şüphe var ve üreticiler kodlarındaki delikleri tıkamakla boğuşurken, sisteminizi güvende tutmak için elinizden gelen her şeyi yapmanız da aynı derecede önemlidir.
Genellikle bu, kötü niyetli aktörlere sisteminize kod indirme şansı vermemek anlamına gelir, bundan sonra genellikle fark edilmeden her türlü hasara yol açabilirler.
