Az Intel szerint a GPU rosszindulatú programjai nem indokolják a pánikot - mégis

A GPU-k (grafikus feldolgozóegységek) belsejében futó rosszindulatú szoftverek nehezebbek felismerni, de nem teljesen láthatatlanok a biztonsági termékek számára.

Az Intel részlegének kutatói a McAfee Labs az Intel Vizuális és Párhuzamos Számítástechnikai Csoportjának tagjai a March-ben megjelent JellyFish nevű, a koncepcióra alapozott GPU malware program elemzését.

A McAfee legújabb negyedéves veszélyjelentésében szereplő következtetés az, hogy a rosszindulatú kódot a GPU-k még mindig jelentős hátrányai vannak, és nem olyan közelgõek, mint a fejlesztõk.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógéprõl]

JellyFish alkotói azt állították, hogy a GPU rosszindulatú programok egyik elõnye, tovább a gazdaszámítógép memóriája a DMA (közvetlen memória hozzáférés) szolgáltatáson keresztül.

Bár ez igaz, a rendszer memóriájának kritikus részeinek a GPU-hoz történő kiolvasásához kernel-jogosultságokra van szükség, és a gazdagépen futó folyamaton keresztül kell végrehajtani.

A biztonsági termékek figyelemmel kísérhetik és korlátozhatják az ilyen műveleteket, mondta az Intel kutatói. Továbbá "ez a függőség a meglévő rendszermagvédelemhez kötött."

Ha a GPU rosszindulatú programjának telepítése észlelés nélkül érhető el, a folyamat során használt felhasználói kód és rendszermag-illesztőprogram elméletileg törölhető a gazda operációs rendszertől. Ez azonban problémákat okozhat.

Például a Windows-ban az árva GPU-kód aktiválja a Timeout Detection and Recovery (TDR) eljárást, amely alaphelyzetbe állítja a grafikus kártyát, mondta a McAfee kutatói. Az alapértelmezett időtúllépés, mielőtt ez a mechanizmus beindulna, két másodperc, és minden olyan kísérlet, amely megváltoztatja ezt az értéket, a biztonsági termékek gyanús viselkedésként kezelhetõ.

Emellett a hosszú távú GPU folyamatok az operációs rendszer grafikus felhasználói felülete így a rosszindulatú programok jelenléte elárulhat.

Ezért a legjobb megoldás a támadók számára, ha egy folyamatot a gazdaszámítógépen futnak, mondta a kutatók. Ez a kód lehet minimális és nehezebb felismerni, mint egy teljes terjedelmű malware program, de mindazonáltal valami, amit a biztonsági termékek képesek azonosítani.

A JellyFish fejlesztői egy másik állítása szerint a GPU-n tárolt kód továbbra is fennáll a rendszer újraindításakor. Ez az adat tárolására utal, nem pedig a kódot, amely automatikusan végrehajtódik, az Intel kutatói szerint.

"Az itt említett állhatatosság eszméje, hogy a gazdaalkalmazás a rendszerindításkor fut, GPU memóriából adatokat gyűjt vissza, userspace, ami nem olyan zavaró, mert a rosszindulatú usermode kódnak is fenn kell maradnia a GPU-n kívül "- mondták.

Bár igaz, hogy a GPU-ken futó kódelemek hiánya van a rosszindulatú szoftverekkel foglalkozó bűnügyi perspektívából, végpont a biztonsági termékek nem igénylik ezeket a képességeket, mert képesek felismerni a rendszer által támasztott többi indikátort.

Egyrészt a GPU belsejében lévő rosszindulatú kód eltávolítása és eltávolítása a gazda-rendszerből megnehezíti a biztonsági termékek észlelni a támadást. Másrészt a felderítő felület nem teljesen szűnik meg, és a rosszindulatú tevékenység nyomelemei vannak azonosítva, a kutatók szerint.

A Microsoft által a kernelszintű rootkitek, például a Patch Guard, a végrehajtó aláírása, a korai bevezetés elleni védelem (ELAM) és a biztonságos indítás, szintén segíthet megakadályozni a GPU fenyegetések telepítését. A Microsoft Készülékvédelmi funkciója, amely csak a Microsoft által aláírt és megbízható alkalmazások futtatását teszi lehetővé, különösen a kutatók szerint különösen hatásos lehet az ilyen támadások ellen.

Bár a támadók és a védők valószínűleg továbbra is finomítják lépéseiket a GPU csatatéren, a kutatók azt mondták, hogy a közelmúltban erre a területre összpontosítva a biztonsági közösség fontolóra vette a fenyegetések megközelítésének javítását.