GPU als Einfallstor für Angreifer: Hacker verkauft Proof of Concept zur Ausführung von Malware aus dem Grafikspeicher
In einem einschlägigen Hacker-Forum sei kürzlich ein Proof of Concept verkauft worden, mit dem sich Schadcode im Grafikspeicher ablegen und daraus ausführen ließe. Möglich sei das allerdings ausschließlich auf Windows-Rechnern, bei denen zudem das OpenCL 2.0-Framework unterstützt werden müsse.
Laut eines aktuellen Berichts wurde in einem einschlägigen Hacker-Forum kürzlich ein Proof of Concept angeboten, das die Unterbringung von Schadcode im Grafikspeicher und deren Ausführung daraus ermöglichen soll. Dadurch könne unbemerkt von gängiger Antivirus-Software agiert werden, die sich auf das Scannen des RAMs beschränkt.
Allerdings, so heißt es in dem Post, von dem bleepingcomputer.com einen Screenshot veröffentlichte, beschränke sich das Proof of Concept auf Windows-Rechner, die zudem Version 2.0 oder höher des OpenCL-Frameworks unterstützten müssen. Getestet wurde die Technik laut dem Anbieter in Verbindung mit integrierten Grafikeinheiten von Intel in Form von UHD 620 und UHD 630, AMDs Radeon RX 5700 sowie Nvidias Geforce GTX 740M und GTX 1650.
Quelle: bleepingcomputer.com
Post zum Angebot des Proof of Concept
Zwischenzeitlich solle sich bereits ein Abnehmer gefunden haben. Während der Ursprungs-Beitrag am 8. August veröffentlicht wurde, folgte am 25. August ein weiterer Post mit entsprechender Bemerkung. Kurz darauf folgte zudem ein Tweet der Gruppierung "vx-underground". Die Malware-Sammler sprachen davon, die Technik schon bald demonstrieren zu wollen.
Dass GPUs als Einfallstor für Angreifer und Schadcode dienen können, zeigten Sicherheitsforscher in den vergangenen Jahren bereits mehrfach. 2013 demonstrierten Forscher, dass sich Keylogger damit ausführen und die abgefangenen Daten im Grafikspeicher ablegen lassen.
Vorteilhaft für die Malware ist, dass Antivirus-Software nicht auf die Überwachung der GPU ausgelegt ist. Allerdings ist zumindest der oben erwähnte Keylogger von einem CPU-Prozess abhängig. Der ist mit 4 Kilobyte jedoch sehr leichtgewichtig und könne deshalb unauffällig in den Adressraum eines anderen Prozesses eingeschleust werden. Eine weitere Hürde für die Ausführung bilden zudem die zur Initialisierung benötigten Admin-Rechte. Die braucht es allerdings nicht konstant, sondern lediglich, um die Adresse des Keyboard-Buffers auszulesen und der GPU den notwendigen Zugriff auf den Speicherbereich einzuräumen.
2015 folgte derweil das Jellyfish Rootkit als Machbarkeitsstudie. Zunächst beschränkte sich die einzig auf Linux, später folgte dann jedoch auch eine Implementierung für Windows (WIN_JELLY). Dreh- und Angelpunkt von Jellyfish sind die OpenCL-Treiber, die installiert sein müssen.

</Sarkasmus>
Wieder mal ein schönes Beispiel, dass Antivirensoftware immer langsamer ist als neue Angriffe aus dem Boden schießen.
Wieder mal ein schönes Beispiel, dass Antivirensoftware immer langsamer ist als neue Angriffe aus dem Boden schießen.