TECH NEWS – La mémoire de la carte graphique (ou GPU en abrégé) peut cacher un code malvware que même les applications antivirus ne peuvent pas reconnaître !
Bleeping Computer rapporte que les criminels du cyberespace ont créé un programme malveillant qui peut se cacher dans la mémoire du GPU et le rendre invisible aux applications antivirus. Cette technique utilise l’espace d’allocation de la mémoire du GPU, et le code y est exécuté. La technologie de l’API OpenCL 2.0 est actuellement utilisée dans les systèmes d’exploitation Windows. Le code a fonctionné sur des GPU Intel (UHD 620, 630), Nvidia (GeForce GTX 1650, GT 740M) et AMD (Radeon RX 5700). Tous les GPU modernes pourraient être concernés, étant donné que les tests des trois fabricants ont été concluants. La technologie a été révélée par un hacker qui tentait de la vendre sur un forum…
Les bases du rootkit (car il fonctionne à un niveau si bas qu’il ne peut être identifié et qu’il est malveillant) ont été conceptualisées par un groupe de recherche en 2015 en plaçant un keylogger à l’intérieur d’un GPU qui pouvait activer des trojans d’accès à distance dans les systèmes d’exploitation Windows. Cependant, cette nouvelle technique est un concept plus récent, non dérivé de la création de 2015. “Dans des conditions normales, l’exécution de code sur le GPU nécessite un processus de contrôle s’exécutant sur l’hôte. Le processus hôte ajoute une tâche sur la file d’attente des commandes, finalement récupérée et exécutée par le GPU.
Cependant, les GPU sont de nature non préemptive : une fois l’exécution d’une tâche lancée, le GPU est verrouillé par l’exécution de cette tâche, et personne d’autre ne peut utiliser le GPU entre-temps. Ceci est particulièrement problématique lorsque le GPU est utilisé pour le rendu et le calcul, car cela pourrait générer des effets indésirables tels qu’une interface utilisateur non réactive. Par conséquent, le pilote graphique impose généralement un délai d’attente pour tuer les noyaux de longue durée afin de garantir un comportement correct. Cela pourrait représenter une limitation importante pour les logiciels malveillants de GPU, car le noyau malveillant doit être envoyé encore et encore dans une boucle, ce qui le rend plus facile à détecter dans la mémoire du système. La première technique anti-forensic consiste à désactiver le timeout existant pour prendre le contrôle total du GPU. Par exemple, dans l’étude de Vasiliadis et al. (2014), les auteurs ont désactivé le hangcheck GPU pour verrouiller les GPU indéfiniment”, indique Science Direct.
VX-Underground a annoncé sur Twitter la création d’une démonstration d’une attaque de malware sur Windows en septembre. Le GPU exécutera des binaires de malware à partir des espaces alloués à la mémoire de la carte graphique.
Source: WCCFTech