今年5月份,一組安全人士折騰出了所謂的“顯卡病毒”,即運行在GPU顯卡上的惡意軟件,並聲稱當前安全方案對此毫無防禦,一時間一番了不小的恐慌,不過Intel研究後認為,並沒有那麼可怕。一組集體代號“Jellyfish”的開發者首先在Linux系統下製作了可發動GPU攻擊的'rootkit、keylogger(鍵盤記錄器),又在Windows裏設計了遠程訪問工具(RAT),還在GitHub上公佈了概念驗證性代碼。
Intel的研究人員一直在分析這些代碼,並在最新的安全報告中稱,如果掃描工具知道找什麼,GPU惡意軟件其實可以很輕鬆地被檢測出來。
源自McAfee、現隸屬於Intel的安全工程師CraigSchmugar在報告中指出:“無數的文章都在重複(代碼)作者的觀點。如果不考慮相關環境,很容易曲解,造成有一種無法檢測的超級病毒、可以自主運行、當前防禦完全無效的假象,其實並非如此。”
Intel重點研究了JellyFish如何運行,尤其是如何在GPU和內存這件通過DMA總線通信,發現它需要首先需要在CPU上獲取最核心的ring0級別訪問權限,才能將系統內存映射到GPU上進行讀寫,而能否做到這一點,取決於系統內核的保護程度。
另外,GPU惡意軟件需要刪除安裝程序中的CPU主文件來隱藏自己,這使得代碼僅存於GPU上,Windows系統裏會引發超時檢測與恢復(TDR)進程,重置顯卡,惡意代碼自然就煙消雲散了。
如果攻擊者試圖調整TDR的默認重置時間(2秒鐘),則會被系統視為可疑行為,觸發安全警告。
事實上,如果GPU惡意軟件持續運行,肯定會消耗大量GPU資源,導致圖形界面、圖形應用響應緩慢,用户肯定能察覺。
至於宣稱的即便重啟後代碼也會存在,Intel稱能保留下來的只是數據,而非可執行代碼。如果這些惡意代碼想逃過重啟,就必須躲在GPU之外,而這很容易被檢測出來。
文學範文吧
