Система Никот. Как это было у меня
A GPU-k (grafikus feldolgozóegységek) belsejében futó rosszindulatú szoftverek nehezebbek felismerni, de nem teljesen láthatatlanok a biztonsági termékek számára.
Az Intel részlegének kutatói a McAfee Labs az Intel Vizuális és Párhuzamos Számítástechnikai Csoportjának tagjai a March-ben megjelent JellyFish nevű, a koncepcióra alapozott GPU malware program elemzését.
A McAfee legújabb negyedéves veszélyjelentésében szereplő következtetés az, hogy a rosszindulatú kódot a GPU-k még mindig jelentős hátrányai vannak, és nem olyan közelgõek, mint a fejlesztõk.
[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógéprõl]JellyFish alkotói azt állították, hogy a GPU rosszindulatú programok egyik elõnye, tovább a gazdaszámítógép memóriája a DMA (közvetlen memória hozzáférés) szolgáltatáson keresztül.
Bár ez igaz, a rendszer memóriájának kritikus részeinek a GPU-hoz történő kiolvasásához kernel-jogosultságokra van szükség, és a gazdagépen futó folyamaton keresztül kell végrehajtani.
A biztonsági termékek figyelemmel kísérhetik és korlátozhatják az ilyen műveleteket, mondta az Intel kutatói. Továbbá "ez a függőség a meglévő rendszermagvédelemhez kötött."
Ha a GPU rosszindulatú programjának telepítése észlelés nélkül érhető el, a folyamat során használt felhasználói kód és rendszermag-illesztőprogram elméletileg törölhető a gazda operációs rendszertől. Ez azonban problémákat okozhat.
Például a Windows-ban az árva GPU-kód aktiválja a Timeout Detection and Recovery (TDR) eljárást, amely alaphelyzetbe állítja a grafikus kártyát, mondta a McAfee kutatói. Az alapértelmezett időtúllépés, mielőtt ez a mechanizmus beindulna, két másodperc, és minden olyan kísérlet, amely megváltoztatja ezt az értéket, a biztonsági termékek gyanús viselkedésként kezelhetõ.
Emellett a hosszú távú GPU folyamatok az operációs rendszer grafikus felhasználói felülete így a rosszindulatú programok jelenléte elárulhat.
Ezért a legjobb megoldás a támadók számára, ha egy folyamatot a gazdaszámítógépen futnak, mondta a kutatók. Ez a kód lehet minimális és nehezebb felismerni, mint egy teljes terjedelmű malware program, de mindazonáltal valami, amit a biztonsági termékek képesek azonosítani.
A JellyFish fejlesztői egy másik állítása szerint a GPU-n tárolt kód továbbra is fennáll a rendszer újraindításakor. Ez az adat tárolására utal, nem pedig a kódot, amely automatikusan végrehajtódik, az Intel kutatói szerint.
"Az itt említett állhatatosság eszméje, hogy a gazdaalkalmazás a rendszerindításkor fut, GPU memóriából adatokat gyűjt vissza, userspace, ami nem olyan zavaró, mert a rosszindulatú usermode kódnak is fenn kell maradnia a GPU-n kívül "- mondták.
Bár igaz, hogy a GPU-ken futó kódelemek hiánya van a rosszindulatú szoftverekkel foglalkozó bűnügyi perspektívából, végpont a biztonsági termékek nem igénylik ezeket a képességeket, mert képesek felismerni a rendszer által támasztott többi indikátort.
Egyrészt a GPU belsejében lévő rosszindulatú kód eltávolítása és eltávolítása a gazda-rendszerből megnehezíti a biztonsági termékek észlelni a támadást. Másrészt a felderítő felület nem teljesen szűnik meg, és a rosszindulatú tevékenység nyomelemei vannak azonosítva, a kutatók szerint.
A Microsoft által a kernelszintű rootkitek, például a Patch Guard, a végrehajtó aláírása, a korai bevezetés elleni védelem (ELAM) és a biztonságos indítás, szintén segíthet megakadályozni a GPU fenyegetések telepítését. A Microsoft Készülékvédelmi funkciója, amely csak a Microsoft által aláírt és megbízható alkalmazások futtatását teszi lehetővé, különösen a kutatók szerint különösen hatásos lehet az ilyen támadások ellen.
Bár a támadók és a védők valószínűleg továbbra is finomítják lépéseiket a GPU csatatéren, a kutatók azt mondták, hogy a közelmúltban erre a területre összpontosítva a biztonsági közösség fontolóra vette a fenyegetések megközelítésének javítását.
Az iPhone WireLurker rosszindulatú programjai - mit kell tudniuk
![Az iPhone WireLurker rosszindulatú programjai - mit kell tudniuk Az iPhone WireLurker rosszindulatú programjai - mit kell tudniuk](https://i.joecomp.com/img/security-2018/iphone-wirelurker-malware-what-you-need-to-know.jpg)
A rosszindulatú program új módszereket használ az Apple felhasználók célzására?
A Stealthy Linux GPU rosszindulatú programjai is elrejthetők Windows PC-kben, talán Mac-eken
![A Stealthy Linux GPU rosszindulatú programjai is elrejthetők Windows PC-kben, talán Mac-eken A Stealthy Linux GPU rosszindulatú programjai is elrejthetők Windows PC-kben, talán Mac-eken](https://i.joecomp.com/img/security-2018/stealthy-linux-gpu-malware-can-also-hide-in-windows-pcs-maybe-macs.jpg)
Egy névtelen fejlesztők csapata GPU rosszindulatú programok.