Hackerlar, grafik kartı VRAM'inde kötü amaçlı yazılımları gizlemek için yazılım satıyor. Sistemi tarayan Antivirüslerden zararlı gizlemek mi istiyorsunuz Grafik kartının VRAM'inde saklayın. Böyle bir şeyi mümkün olduğunu kanıtlayan bir yazılım yakın zamanda çevrimiçi olarak satıldı ve bu, Windows kullanıcıları için kötü haber anlamına gelebilir.
Bleeping Computer in yazdığına göre, birinin yakın zamanda bir hacker forumunda PoC'yi satmayı teklif ettiğini yazıyor. Araçla ilgili çok fazla ayrıntı açıklamadılar, ancak kötü amaçlı kodu depolamak için GPU bellek arabelleğinde adres alanı ayırarak çalıştığını ve oradan çalıştırdığını not ettiler. Satıcı, kodun yalnızca OpenCL 2.0 veya üstünü destekleyen Windows bilgisayarlarda çalıştığını ekledi. AMD'nin Radeon RX 5700 ve Nvidia'nın GeForce GTX 740M ve GTX 1650 grafik kartlarında çalıştığını doğruladılar. Ayrıca Intel'in UHD 620/630 tümleşik grafikleriyle de çalışıyor. Aracın reklamını yapan gönderi, 8 Ağustos'ta foruma geldi. Yaklaşık iki hafta sonra (25 Ağustos), satıcı PoC'yi birine sattıklarını açıkladı. 29 Ağustos'ta araştırma grubu Vx-underground, kötü amaçlı kodun GPU tarafından bellek alanında ikili çalıştırmaya olanak tanıdığını tweetledi. Tekniği "yakında" gösterecek.
Kod: Tümünü seç
https://twitter.com/vxunderground2013 keylogger araştırmacıları, "Yaklaşımımızın arkasındaki ana fikir, sistemin klavye arabelleğini doğrudan GPU'dan DMA [doğrudan bellek erişimi] aracılığıyla, çekirdeğin kodunda ve veri yapılarında herhangi bir kanca veya değişiklik olmadan, sayfa tablosunun yanı sıra izlemektir." yazdı. "Prototip uygulamamızın değerlendirmesi, GPU tabanlı bir keylogger'ın tüm kullanıcı tuş vuruşlarını etkili bir şekilde kaydedebileceğini, bunları GPU'nun bellek alanında saklayabileceğini ve hatta kaydedilen verileri ihmal edilebilir bir çalışma zamanı yükü ile yerinde analiz edebileceğini gösteriyor."
En son PoC'nin satıcısı, yöntemlerinin JellyFish'ten farklı olduğunu, çünkü kullanıcı alanına kod eşlemeye dayanmadığını söyledi.
Kaynak:
https://www.techspot.com/news/91053-hac ... -card.html
sanırım öyle oldu
