• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Новости

    Intel: трояны для графических процессоров можно выявить с помощью средств защиты

    Несмотря на то, что специалисты Intel предсказывали появление вредоносных программ, злоупотребляющих возможностями GPU еще осенью 2009 года, активные разговоры об этом зашли не так давно. В 2015 году группа экспертов разработала ряд экспериментальных угроз, которые пользуются для большей скрытности графическим процессором. Но исследователи из Intel Security уверены, что воспользовавшись средствами защиты следы вредоносного ПО можно обнаружить.

    С точки зрения киберпреступников привлекательность GPU состоит в том, что изначально он был нацелен на быстрое выполнение вычислений благодаря активному применению приемов распараллеливания задач. Таким образом, графический процессор в вопросах хакерских атак на пароли путем перебора ключей к шифрам или методом брутфорс является более эффективным, чем центральный процессор.

    Анонимная команда разработчиков в мае 2015 года разместила исходные коды 3 вариантов вредоносов, пользующихся возможностями графического процессора. Это кейлоггер Demon, вредонос WIN-JELLY, работающий из-под Windows в качестве инструмента удаленного доступа, а также руткит Jellyfish для Linux. Исследования показали, что вредоносные программы для графического процессора могут работать после перезагрузки (программной), удалять хост-файлы ЦП и сканировать системную память, пользуясь средствами DMA (в обход центрального процессора).

    Сотрудники Intel в отчете McAfee Labs Threats Report за август этого года указывают, что троян после установки способен удалить родительский процесс и драйвер режима ядра в пользовательском режиме – это делается для того чтобы избежать обнаружения. В этот же момент теряет свою защиту код в графической карте. На компьютерах, которые работают под управлением Windows, это приводит к инициализации процесса, который отвечает за перезагрузку драйверов карты. Интересно, что Microsoft рекомендует делать это исключительно в целях проверки, а потому изменение настроек данного процесса наверняка вызовет подозрение.