Grafikus processzorokkal tuningolt vírusok

Az Intel kutatói alaposan is szemügyre vették azokat a kártékony programokat, amelyek a grafikus vezérlők adta lehetőségek kiaknázásával fertőzik a számítógépeket, illetve hajtanak végre ártalmas műveleteket.
 

A GPU-k, vagyis a grafikus processzorok erőforrásait kihasználó kártékony programok már néhány éve ismertek a biztonsági kutatók előtt. Ennek ellenére igazán csak idén kerültek előtérbe, amikor három olyan malware is feltűnt az interneten, amelyek a GPU-k adta lehetőségekkel is visszaéltek. Ezek közül az egyik a Demon nevű trójai volt, amely kifejezetten billentyűleütések naplózására termett, és ilyen módon az adattolvajokat segítette. A második (Jellyfish) szerzemény egy linuxos rootkit formájában ütötte fel a fejét, míg a harmadik Windows alapú rendszerekhez biztosított jogosulatlan távoli hozzáférést. 

Rögtön felmerülhet a kérdés, hogy a vírusíróknak miért jó az, ha a GPU-kra optimalizálják az ártalmas programjaikat. Elsősorban azért, mert a mai végpontbiztonsági alkalmazások, víruskeresők nincsenek felkészítve arra, hogy egy kód a GPU felől támad. Ráadásul e károkozók vizsgálatához speciális eszközökre és persze szakértelemre van szükség. Nem utolsó sorban pedig a GPU-k egyes estekben nagyobb teljesítményt biztosítanak, mint a CPU-k. Ez pedig különösen hasznos lehet a csalók számára akkor, amikor például Bitcoin bányászatba fognak a fertőzött rendszereken.

Vizsgálatok, elemzések

Az Intel Security biztonsági kutatói az elmúlt hetekben górcső alá vették a szóban forgó kártékony programokat. Az elemzésük végén jó és rossz hírekkel is szolgáltak. Kiderült ugyanis, hogy ha egy ilyen károkozó megfertőz egy számítógépet, akkor a felismerése már valóban nehéz feladat, és hosszan tartó, látens fenyegetettséget jelenthet az adott rendszerre nézve. Ugyanakkor jó hír, hogy ezek a trójai programok sem képesek minden védelmi technikával szemben ellenállni. Ennek leginkább az az oka, hogy a futásukhoz szükség van egy olyan (szülő) folyamatra, amely a GPU-ba történő betöltésüket elvégzi. Ezen a ponton pedig éppen olyan módon detektálhatók, mint az egyéb nemkívánatos kódok. Ugyanakkor az is igaz, hogy ha ekkor nem sikerül nyomára akadni a szerzeményeknek, akkor azok törölhetik a szülőfolyamatukat, kernel módú drivereket manipulálhatnak és közvetlenül elérhetik a memóriát. Ekkor már a hagyományos víruskeresők tehetetlenek. 

Érdemes megjegyezni, hogy a Jellyfish készítői korábban azt hangoztatták, hogy a programjuk a számítógépek újraindítását is képes átvészelni a GPU segítségével. A vizsgálatok szerint ennek a kijelentésnek van valóságalapja, azonban az igazsághoz hozzátartozik, hogy a rendszer újraindítását követően csak akkor fogható hadra ismét a kód, ha a szülőfolyamat elindul, és elvégzi a szükséges inicializációs tevékenységeket.

"A GPU-s fenyegetettségek valós veszélyt jelentenek, azonban az ilyen típusú támadások még nem veszélyeztetnek széles körben. A GPU-s károkozók reverse engineering és forensic elemzése sokkal komplexebb feladat, mint a hagyományos malware-ké, és sokáig észrevétlenek maradhatnak a rendszereken. Ugyanakkor e kártevők esetében sem lehetetlen a detektálás, mivel a hagyományos, kártékony tevékenységek egy kis szelete megmarad, amit a végpontbiztonsági termékek észlelhetnek" - vélekedtek az Intel Security kutatói.