基于GPU的恶意软件——Jellyfishrootkit和Demon键盘记录器

现在木马后门程序可以在计算机的图形卡上运行，这种独特的操作方法增强了它们的隐形性，同时大大提高了恶意行为的执行性能。

基于GPU的恶意软件

最近，开发人员发布了两种概念验证型恶意软件-水母rootkit和Demon键盘记录器。这两种恶意软件不是在计算机的CPU上运行，而是在图形处理器的GPU上运行。这种恶意软件可以使用GPU来实现性能更高的比特币采矿机。

两个匿名开发人员对Rootkit（木马后门程序）的描述：

请输入内容“ Jellyfish是基于Linux的用户模式GPU rootkit概念验证项目。它使用Jynx（CPU）中的LD_PRELOAD技术以及Khronos组织开发的OpenCL API（您可以使用GPU ）。当前代码支持AMD和NVIDIA显卡，并且使用AMD APPSDK接口与Intel GPU兼容。“

开发人员未提供有关Demon键盘记录程序的更多信息。该按键记录程序是2013年论文中描述的恶意代码的POC。本文的标题是“您可以键入，但您无法隐藏：基于GPU的隐形键盘记录器”。其中，文章指出：

“我们提出了一种新的实现秘密键盘记录程序的方法：使用图形卡作为键盘记录程序的操作环境，并探讨这种方法的可能性。该方法的重点是直接从键盘缓冲区中使用DMA。在GPU监控系统中，除了页表外，无需钩住或修改内核代码或数据结构，对该方法原型实现的评估表明，基于GPU的键盘记录程序可以有效地记录用户的所有键盘Tap信息并将信息存储在GPU的存储空间中，甚至当场分析记录的数据，而运行时间开销则可以忽略。”

功能

该恶意软件可以在不钩住操作系统内核进程的情况下运行，因此其运行不会引起怀疑。

GPU恶意软件的优点如下：

1、没有工具可以分析网络上的GPU恶意软件； 2、可以通过DMA（直接内存访问）监视主机CPU内存； 3、 GPU可用于快速数学计算； 4、关闭之后，恶意内存仍然保留在GPU中。

这两种恶意软件的运行需要满足以下条件：

1、已安装OpenCL驱动程序或ICDS 2、 Nvidia或AMD图形卡（英特尔支持AMD SDK）3、更改rootkit / kit.c文件中的第103行并将服务器IP更改为所需的IP受监控的GPU客户端所在的计算机的位置

玩家成为潜在的受害者

专家强调，尽管水母Rootkit可以逃避实际的防御系统，但它要求受感染的主机具有独立的图形卡。由于许多计算机没有独立的图形卡，因此这种情况可能会大大限制恶意软件感染的数量。但是，在某些条件下可以满足此要求。例如，游戏玩家或视频发烧友的计算机可能包含独立的图形卡。

*请参阅安全技术资料arstechnica，并进行适当的修改，请指出转载来自FreeBuf黑客和怪胎（FreeBuf.COM）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/bofangqi/article-361808-1.html