Ekran kartı belleğinde gizlenen hack yazılımı, bir hacker forumunda satışa çıkarılıdı. Ekran kartının VRAM'inde saklanan kavram kanıtı aracı (PoC) yakın zamanda çevrim içi olarak satıldı ve bu, Windows kullanıcıları için kötü haberler anlamına gelebilir.
Siber suçlular, güvenliği ihlal edilmiş bir sistemin grafik işleme biriminden (GPU) kod yürütebilen kötü amaçlı yazılımlarla saldırılar yapmaya hazırlanıyor. Yöntem yeni olmasa da ve demo kodu daha önce yayınlanmış olsa da, şimdiye kadar akademik dünyadan gelen projeler eksik ve detaylıca analiz edilmemişti.
Bu ayın başlarında kavram kanıtı (PoC) bir hacker forumunda satıldı ve bu, potansiyel olarak siber suçluların saldırıları için yeni bir gelişmişlik düzeyine geçişi işaret ediyor.
Ekran Kartı Belleğinde Gizlenen Hack Yazılımı
Bleeping Computer tarafından hazırlanan rapora göre hackerların sattığı araç, kötü amaçlı kodu depolamak için GPU bellek arabelleğinde adres alanı ayırarak çalışıyor.
Satıcı, kodun yalnızca OpenCL 2.0 veya üstünü destekleyen Windows bilgisayarlarda çalıştığını ekledi. AMD'nin Radeon RX 5700 ve Nvidia'nın GeForce GTX 740M ve GTX 1650 grafik kartlarında çalıştığını doğruladılar. Ayrıca Intel'in UHD 620/630 tümleşik grafikleriyle de sorunsuz bir şekilde çalışıyor.
Aracın reklamını yapan gönderi, 8 Ağustos'ta forumda paylaşıldı. Yaklaşık iki hafta sonra (25 Ağustos'ta), satıcı PoC birimini birine sattığını açıkladı.
Araştırma grubu Vx-underground 29 Ağustos'ta, kötü amaçlı kodun GPU tarafından bellek alanında ikili olarak yürütülmesini sağladığını tweetledi ve tekniği ise "yakında" göstereceğini dile getirdi.
Geçmişte çok defa GPU tabanlı kötü amaçlı yazılımlar gördük. GitHub'da bulabileceğiniz açık kaynaklı Jellyfish saldırısı, Linux tabanlı bir GPU rootkit PoC idi. JellyFish'in arkasındaki aynı araştırmacılar, GPU tabanlı bir keylogger ve Windows için GPU tabanlı bir uzaktan erişim truva atı için PoC de yayınlamıştı.
2013 yılında keylogger araştırmacıları, "Yaklaşımımızın arkasındaki ana fikir, sayfa tablosunun yanı sıra çekirdeğin kodunda ve veri yapılarında herhangi bir değişiklik olmadan, sistemin arabelleğini doğrudan GPU'dan DMA (doğrudan bellek erişimi) aracılığıyla izlemektir." ifadelerini kullanarak şunları ifade etmişti:
Prototip uygulamamızın değerlendirmesi, GPU tabanlı bir keylogger'ın tüm kullanıcı tuş vuruşlarını etkili bir şekilde kaydedebileceğini, bunları GPU'nun bellek alanında saklayabileceğini ve hatta kaydedilen verileri ihmal edilebilir bir çalışma zamanı ile yerinde analiz edebileceğini gösteriyor.
YORUMLAR