黑客已出售在显卡 VRAM 中隐藏恶意软件的工具

美国科技媒体Bleeping Computer日前透露，有人正在黑客论坛出售一种PoC，可以在GPU内存隐藏恶意代码并执行。

目前，该工具的相关细节未被透露，但工作原理是在GPU内存缓冲区分配地址空间来存储恶意代码，并从那里执行。

据黑客论坛上的卖家透露，该工具中携带的恶意代码目前只能在支持OpenCL 2.0或更高版本的Windows电脑上工作。

并且，他们已经实测恶意代码可以在AMD的Radeon RX 5700和Nvidia的GeForce GTX 740M和GTX 1650显卡上运行。

安全人员分析，恶意代码能够使GPU在其内存空间中执行二进制，但这种基于GPU的恶意攻击的方式并不十分稀奇。

比如安全人员在2021年时就发现一种利用GPU挖掘比特币的恶意软件，而且GitHub上现在也有基于GPU的恶意软件。

据悉，代码托管平台GitHub上开源了一种基于Linux的GPU rootkit PoC，其主要利用了OpenCL的LD_PRELOAD技术。

安全人员甚至利用开源方案上的这种技术发布了基于GPU的键盘记录器和基于GPU的Windows远程访问木马的PoC。

通过直接内存访问DMA，从GPU监控系统的键盘缓冲区，除页表外，在内核代码和数据结构中没有任何挂钩或修改。

经评估发现，基于GPU的键盘记录器可以有效记录所有的用户按键并存储于GPU内存空间，甚至可以就地分析数据。

更有甚至，如此的黑客利器，其运行时所产生的能耗开销几乎可以忽略不计，这对于Windows用户可不是个好消息！

让人倍感不安的是，该PoC的卖家帖子挂出两周后称该PoC被售出卖，且其攻击手段并不依赖代码映射回用户空间。

很显然，无论是将恶意代码隐藏在显卡的VRAM中，还是更加高级的手段，对于普通用户来说，都不是什么好消息。

尤其对于国内用户来说，对于杀软的理解和使用也仅限于某卫士或某管家的自动防御和手动查杀，甚至还不及于此。

所以笔者认为全民普及工作任重道远，正如习主席所说：没有网络安全就没有国家安全，没有信息化就没有现代化。