当前,木马后门已能够巧妙地运行于电脑的显卡之中,这种先进的运行方式不仅增强了它们的隐匿性,更在执意行为时显著提升了性能。
GPU恶意的软件威胁
近期,两位匿名开发者公布了两款概念验证的恶意软件——Jellyfish rootkit与Demon键盘记录器。这两款软件并不依赖电脑的处理器进行运作,而是利用图像处理器GPU进行活动。此类恶意软件能够利用GPU的高效性能,实现比特币挖矿等高强度计算任务。
对Jellyfish rootkit的详述:
“Jellyfish是一款基于Linux操作系统的用户态GPU rootkit概念验证项目。它运用了Jynx(可能是指某种CPU技术)中的LD_PRELOAD技术和Khronos开发的OpenCL API,可充分调用GPU的能力。当前版本的代码支持AMD和NVIDIA显卡,并可通过AMD APPSDK接口兼容Intel GPU。”
关于Demon键盘记录器,虽开发者未提供详尽信息,但该键盘记录器源自2013年一篇论文中提及的恶意代码实例。该论文标题为“你的每一次敲击都可能被窥视:一种基于GPU的隐秘键盘记录器。”论文中指出:
“我们提出并探索了一种新的键盘记录器实现方式——利用显卡作为运行环境。通过DMA直接系统键盘缓冲器,此方法无需对内核代码或数据结构进行任何钩挂或修改,除页表外。”
这种新型方法的评估表明,基于GPU的键盘记录器能有效捕获并存储用户的所有键盘输入信息,甚至能在GPU内存空间内进行分析。其运行效率极高,几乎无需额外时间开销。”
功能特点概览
这些恶意软件能够在不干预操作系统内核进程的情况下运行,使得其活动更难被察觉。
GPU恶意软件的优势在于:
1. 当前网络上尚无针对GPU恶意软件的专用分析工具;
2. 能通过DMA直接访问主机CPU内存;
3. GPU的强大计算能力可用于执行各种复杂的数算;
4. 即便软件关闭,其恶意代码仍可能留存于GPU内存中。
这两款软件的运行需满足以下条件:
1. 必须安装支持OpenCL驱动或ICDS;
2. 电脑需配备Nvidia或AMD显卡(对于英特尔处理器,需支持AMD SDK);
3. 需修改rootkit/kit.c文件的第103行,将服务器IP更换为想的GPU客户端所在机器的IP。
游戏玩家等成为潜在受害
专家指出,虽然Jellyfish rootkit能绕过部分防御系统,但它更倾向于感染配备独立显卡的电脑。鉴于许多电脑并不具备独立显卡,这在一定程度上限制了恶意软件的传播。游戏玩家或视频编辑等需要高性能显卡的用户,因其电脑很可能配备独立显卡,而成为潜在的受害。