Rootkit mới của Linux sử dụng các bộ xử lý đồ họa để hoạt động ngầm

Ngoc Huynh

Rootkit PoC (proof-of-concept) của Jellyfish sử dụng khả năng xử lý của các card đồ họa và chạy trong bộ nhớ dành riêng của chúng.

Một nhóm các lập trình viên đã tạo ra một rootkit (phần mềm chạy ngầm) mới dành cho các hệ thống của Linux, rootkit này sử dụng khả năng xử lý và bộ nhớ của các card đồ họa thay cho các bộ xử lý đồ họa(GPU) nhằm mục đích duy trì hoạt động ngầm.

Rootkit mới có tên là Jellyfish, là một chứng minh khái niệm (PoC) được thiết kế để chứng minh rằng malware đang hoạt động trên các bộ xử lý đồ họa là một lựa chọn khả thi. Điều này là có khả năng bởi vì các card đồ họa dành riêng có bộ xử lý và RAM riêng.

Các mối đe dọa như vậy có thể nguy hiểm hơn các chương trình malware truyền thống, theo như các lập trình viên của Jellyfish cho biết. Đối với các chương trình truyền thống, thì không có các công cụ để phân tích malware của bộ xử lý đồ họa.

Ngoài ra, các rootkit như vậy có thể rình mò đến bộ nhớ căn bản của máy chủ được sử dụng bởi các chương trình khác, qua DMA (truy cập bộ nhớ trực tiếp). Tính năng này cho phép các thiết bị phần cứng đọc bộ nhớ hệ thống chính mà không cần phải thông qua CPU, tạo ra các hoạt động khó bị phát hiện hơn.

Ngoài ra, bộ nhớ GPU bị nhiễm độc vẫn tiếp tục ngay cả khi hệ thống ngừng hoạt động, các lập trình viên của Jellyfish cho biết trên trang GitHub.

Code của rootkit này sử dụng OpenCL API được phát triển bởi Kronos Group, một liên doanh các nhà cung cấp GPU và các công ty khác phát triển các tiêu chuẩn mở. Do đó, để thực hiện chức năng này, thì các driver của OpenCL cần được lắp đặt trên hệ thống mục tiêu.

Hiện tại Jellyfish đang hoạt động trên những chiếc máy có card đồ hoạ của nVIDIA hoặc AMD, nhưng card của Intel cũng được hỗ trợ thông qua AMD APP SDK, một bộ phát triển phần mềm cho phép các GPU được sử dụng cho các ứng dụng tăng tốc.

Các GPU thực hiện các phép tính toán nhanh hơn các CPU, điều này lý giải tại sao một số chương trình malware tận dụng khả năng điện toán của các GPU chẳng hạn như để khai thác tiền điện tử Bitcoin. Tuy nhiên, các chương trình malware đó không hoạt động hoàn toàn trên các GPU như Jellyfish.

Các lập trình viên của rootkit này cảnh báo rằng Jellyfish vẫn đang trong quá trình phát triển, do đó nó vẫn còn bug (lỗi kỹ thuật) và chưa hoàn thiện. Hiện tại vẫn đang sử dụng chỉ cho mục đích giáo dục.

Các lập trình viên cũng đã tạo ra một phần tách rời đó là GPU-based keylogger có tên là Demon.

Người dùng có lẽ không nên lo lắng về việc bọn tội phạm đang sử dụng phần mềm độc hại dựa trên GPU, nhưng các PoC như Jellyfish và Demon có thể truyền cảm hứng cho sự phát triển trong tương lai.

Chia sẻ bài viết ngay

Nguồn bài viết : http://www.computerworld.com/