شناسایی روت کیت و کی لاگر مبتنی بر کارت گرافیک

22 اردیبهشت 1394 4650 بازدید

تیمی ناشناس که مؤفق به ساخت روت کیتی مبتنی بر لینوکس روی کارتهای گرافیک شده بودند، با نوشتن بدافزاری استفاده از این روت کیت را مشابه نمونه ای تحت ویندوز عملی نمودند که البته نسخه پلتفرم مک نیز در دست ساخت است. شرکت ایدکو، نماینده توزیع و فروش آنلاین محصولات کسپرسکی* در این مطلب ضمن شرح گزارشی در این خصوص، شما را با نحوه عملکرد این بدافزارها آشنا میسازد.

این تیم هک و برنامه نویسی در تلاش است اطلاع رسانی کند که بدافزارها میتوانند بردهای گرافیکی GPU را نیز تحت تأثیر قرار دهند و متأسفانه صنعت امنیت هنوز برای جلوگیری از این تهدید آماده نیست. جالب اینجاست که کد ارائه شده از سوی این تیم، در عین ناکامل بودن میتواند مورد استفاده سایرین برای استفاده های غیر قانونی قرار بگیرد.

آنچه مورد تأکید این تیم است، نوع سیستم عامل و مقایسه ضعف و قوت آنها، یا حتی جلب توجه سازندگان بردهای گرافیک یا GPU نیست، بلکه آنها قصد دارند یادآور شوند که هیچ یک از راهکارهای امنیتی موجود برای اسکن یا بررسی RAM طراحی نشده است.

بدافزار جدیدی که بدین شکل و بعنوان اثبات این کاربرد برای ویندوز نوشته شده بنا به اظهارات سازندگان آن WIN_JELLY نامیده شده و بعنوان یک تروجان یا ابزار دسترسی از راه دور (Remote Access Tool/Trojan یا RAT) عمل میکند.

تروجان های RAT که طی چندسال اخیر گسترش یافته اند کنترل کاملی را در اختیار هکرها قرار می دهند که البته از WIN_JELLY و مشخصات فنی آن اطلاعات کاملی موجود نیست.

 

نگاهی نو به ایده ای کهن

لازم به ذکر است ایده‌ی اجرای یک بدافزار روی کارتهای گرافیک، ایده جدیدی نیست. در سال 2013 بود که محققینی از دانشگاه Columbia University در نیویورک و مؤسسه تحقیق و فناوری Hellas در یونان برای اولین بار بعنوان پروژه ای دانشگاهی یک کی لاگر مبتنی بر کارت گرافیک نوشتند.

این محققین در این مقاله تحقیقاتی نوشته بودند که «امکان اجرای کد روی یک پردازنده گرافیکی، دری جدید رو به نویسنگان بدافزار و هکرها می گشاید تا کار را برای شرکت های امنیتی دشوارتر نمایند.»

به گفته آنان، آنتی ویروس ها یا ضد بدافزارهای موجود برای شناسایی کدهای مخربی که روی پردازنده مرکزی سیستم (CPU) اجرا نشده و در قطعات جداشدنی نظیر کارت گرافیک ذخیره میشوند طراحی نشده اند.

هفته ی گذشته، یک تیم برنامه نویس ناشناس کی لاگری تحت لینوکس با نام Demon را با الهام از همان پروژه ی دانشگاهی سال 2013 نوشته است. در همان زمان یک روت کیت مبتنی بر لینوکس نیز نوشتند که روی کارت گرافیگ اجرا میشود.

این rootkit نیازمند کارتهای گرافیک مستقل و درایورهای اپن سی ال هستند. اپن سی ال (Open Computing Language یا OpenCL) بستری است برای اجرای کد روی پردازنده های گرافیکی و انواع دیگر پردازنده ها.

 

لینوکس تنها قربانی این تهدیدات نخواهد بود

علیرغم اینکه گزارشهای یک هفته اخیر در خصوص Jellyfish روی Linux تمرکز داشتند، و برای برخی این باور را ایجاد کردند که رایانه های تحت مک یا ویندوز از اینگونه حملات در امانند، تیم Jellyfish اکنون آن را تکذیب میکنند.

WIN_JELLY که اواخر هفته گذشته منتشر شد، روی سیستم های تحت ویندوز با کارت های گرافیکی شرکت Nvidia و درایورهای نصب شده ی Nvidia CUDA اجرا میگردد. Nvidia CUDA که یک پلتفرم رایانش موازی (اجرای همزمان یک برنامه روی چند پردازنده بمنظور دستیابی به سرعتی بالاتر) میباشد، به برنامه نویسان اجازه میدهد از قدرت پردازش پردازنده های گرافیکی نیز در اجرای برنامه های خود بهره برند.

در مورد سیستم های مک نیز این محققین اظهار داشتند که OpenCL بصورت پیش فرض روی پلتفرم های Mac OS X نصب شده است.

این ویژگی شناخته شده از این درایور یا نرم افزار میتواند بمیزان قابل توجهی شیوع این بدافزار را کنترل نماید. با اینحال، با افزایش برنامه های مجازی که برای سبک نمودن پردازش های خود از پردازنده های گرافیکی استفاده مینمایند، استفاده از این نرم افزار نیز گسترش خواهد یافت.

در آخر لازم به ذکر است این محققین در صدد نوشتن ابزاری با نام JellyScan میباشند که به مدیران شبکه اجازه بررسی سیستم ها و شناسایی بدافزارهای مبتنی بر GPU را بدهد.

 

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.