英特爾認為“Jellyfish”顯示卡病毒怎麼樣
今年5月份,一組安全人士折騰出了所謂的“顯示卡病毒”,即執行在GPU顯示卡上的惡意軟體,並聲稱當前安全方案對此毫無防禦,一時間一番了不小的恐慌,不過Intel研究後認為,並沒有那麼可怕。一組集體代號“Jellyfish”的開發者首先在Linux系統下製作了可發動GPU攻擊的rootkit、keylogger(鍵盤記錄器),又在Windows裡設計了遠端訪問工具(RAT),還在GitHub上公佈了概念驗證性程式碼。
Intel的研究人員一直在分析這些程式碼,並在最新的安全報告中稱,如果掃描工具知道找什麼,GPU惡意軟體其實可以很輕鬆地被檢測出來。
源自McAfee、現隸屬於Intel的安全工程師CraigSchmugar在報告中指出:“無數的文章都在重複(程式碼)作者的觀點。如果不考慮相關環境,很容易曲解,造成有一種無法檢測的超級病毒、可以自主執行、當前防禦完全無效的`假象,其實並非如此。”
Intel重點研究了JellyFish如何執行,尤其是如何在GPU和記憶體這件透過DMA匯流排通訊,發現它需要首先需要在CPU上獲取最核心的ring0級別訪問許可權,才能將系統記憶體對映到GPU上進行讀寫,而能否做到這一點,取決於系統核心的保護程度。
另外,GPU惡意軟體需要刪除安裝程式中的CPU主檔案來隱藏自己,這使得程式碼僅存於GPU上,Windows系統裡會引發超時檢測與恢復(TDR)程序,重置顯示卡,惡意程式碼自然就煙消雲散了。
如果攻擊者試圖調整TDR的預設重置時間(2秒鐘),則會被系統視為可疑行為,觸發安全警告。
事實上,如果GPU惡意軟體持續執行,肯定會消耗大量GPU資源,導致圖形介面、圖形應用響應緩慢,使用者肯定能察覺。
至於宣稱的即便重啟後代碼也會存在,Intel稱能保留下來的只是資料,而非可執行程式碼。如果這些惡意程式碼想逃過重啟,就必須躲在GPU之外,而這很容易被檢測出來。
【英特爾認為“Jellyfish”顯示卡病毒怎麼樣】相關文章: