Grafikbugs mal anders: Malware in der GPU

Header-Logo Sicherheit am Donnerstag

Den #secuthursday gibt es heute einen Tag später, also ist es streng genommen ein #secufriday.
In der letzten Woche hatten wir mit Rombertik eine Art riesige Nebelgranate, um den eigentlichen Schädling vor Analysten wie auch Antivirenprogrammen zu verstecken. Einen anderen Ansatz wählen die Autoren von Demon und Jellyfish.

Verlagerung auf GPU erschwert Malwareerkennung

Entlasteten Grafikchips die CPU früher nur beim Rendering von 2D und 3D-Grafiken, führten neue Anforderungen zu optimierten Architekturen, größerem Leistungspotential und schließlich zur Einführung von APIs, welchen Programmierern mehr Möglichkeiten eröffneten. Mit OpenCL wurde in den letzten Jahren eine Schnittstelle geschaffen, die die Rechenleistung der Grafikkerne für sogenannte GPGPU-Anwendungen zugänglich machte und so Berechnungen auslagern konnten. Die erweiterten Möglichkeiten eröffnen aber auch neue Ansätze für Schadprogramme. Bisherige Schädlinge konzentrierten sich auf die Rechenpower der GPU z.B. für Bitcoinmining, nutzten dabei jedoch immer die CPU und waren so anfällig für Analysen durch IT-Spezialisten.Schon 2013 veröffentlichen Forscher des griechischen Institutes of Computer Scienes und der amerikanischen Columbia University mögliche Ansätze für einen Keylogger, der in der GPU des Computers läuft.
Ein Team von Programmierern veröffentlichte jetzt mit Jellyfish ein Rootkit und mit Demon einen Keylogger, welche sich die besonderen Zugriffsfähigkeiten der GPU-Schnittstellen zunutze machen. Jellyfish ist ein proof-of-concept für Linux, welcher aus der GPU heraus den Systemspeicher auslesen und die gesammelten Daten sogar verarbeiten kann. In zukünftigen Versionen soll es möglich sein, mit einen Magic Packet zu signalisieren, wann die Daten bereit für den Versand an den Rechner des Angreifers sind. Demon läuft dagegen als Keylogger in der GPU und speichert alle Tastaturanschläge mit. Besonders Perfide: Selbst nach einem Neustart können diese Schadprogramme im Speicher der Grafikkarte überleben. Da bisherige Sicherheitsanalysen in der IT sich hauptsächlich auf die CPU-Architektur konzentrieren, sind solche Malware-Varianten nur schwer zu entdecken.
Mit der steigenden Leistung und wachsenden Unterstützung für GPGPU der aktuellen Grafikeinheiten, dürfte solche GPU-basierten Schädlinge ein interessantes Feld die Analysten und Programmierer werden.

Eher gewöhnlich sind dagegen die nächsten

Meldungen im Schnelldurchlauf:

CVE-2014-7810: Apache Tomcat Security Manager Bypass | via seclists.org

phpMyAdmin 4.4.6 Man-In-the-Middle to API Github | via Maksymilian Arciemowicz from cxsecurity

Patchday: Adobe dichtet über 50 Lücken in Flash und Reader ab | via heise security

Mozilla Foundation Security Advisory 2015-46: Miscellaneous memory safety hazards | via Mozilla Foundation Security

———————————————————–

Haben Sie Neuigkeiten für uns? Twittern Sie unter dem Hashtag #secuthursday.

Haben Sie ein Problem festgestellt? Wissen Sie nicht, wie es um die Sicherheit ihrer Server steht? Nehmen Sie mit uns Kontakt auf, wir helfen Ihnen gerne bei der Beseitigung und der Administration Ihrer Server.