Portál AbcLinuxu, 5. května 2025 03:03

Rootkit Jellyfish a keylogger Demon běžící na grafické kartě

Článek na The Hacker News informuje o rootkitu Jellyfish a keyloggeru Demon. Na rozdíl od běžných rootkitů a keyloggerů využívajících CPU běží tyto dva na grafické kartě (GPU). Zdrojové kódy PoC demonstrující reálné možnosti malwaru běžícího na grafické kartě a další informace jsou k dispozici na GitHubu.

10.5.2015 10:01 | Ladislav Hagara | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

vlastikroot avatar 10.5.2015 12:51 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Odpovědět | Sbalit | Link | Blokovat | Admin
Papir k keyloggeru. Zajimavej je napad pouzit GPU k regexpovani cisel kreditnich karet :-D
We will destroys the Christian's legion ... and the cross, will be inverted
10.5.2015 13:09 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Odpovědět | Sbalit | Link | Blokovat | Admin
A jaky je v tom rozdil, jestli bezi na CPU, nebo grafice? Dostat se tam musi stejne a tim padem jde stejne najit a odhalit, ne?
fuck the cola, fuck the pizza, all you need is slivovitza
10.5.2015 13:49 DarkKnight | skóre: 26
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Rozdil je prave v tom, ze neexistuje zatim zadna aplikace na analyzu pameti grafickych karet (a tedy detekci tehle potvor)
10.5.2015 23:58 petrfm | skóre: 23
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Jak to probuh muze fungovat? Ja mel za to, ze ta pamet je pevne zadratovana pro ucely nejakych vypoctu te grafiky? A pokud tam je teda ulozen nejaky program, prece nemuze jit "spustit", cili nemuze nic vykonavat, ne? A jakmile se z te pameti nacte a zacne neco delat - typicky cist stisky klaves a ukladat, tak uz ho jde prece najit mezi bezicimi procesy, ne?
fuck the cola, fuck the pizza, all you need is slivovitza
11.5.2015 00:44 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Niekedy sa hovorilo, ze v obrazku nemoze byt ulozeny virus. M$ nam dokazal, ze moze :o)

a teraz k veci. Aj obycajne renderovanie obrazu nie je "nadratovane" na pamat + GPU obsahuje logiku, ktoru vies vyuzit aj na ine "vypocty" a "ulohy". O zbytok sa postara DMA. K obom nepotrebujes CPU, takze vsetko to moze ostat pekne schovane.

Trosku mi to pripomina utok cez FireWire. Tam sa tiez zneuzivalo DMA.
11.5.2015 03:39 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
No paměť je sice zadrátovaná pro účely tý grafiky, ale ta grafika tam musí nejdřív dostat data, takže se dá z procesoru zapisovat (vždycky šlo zapisovat do VRAM) a hlavně nový grafiky (2006?) jsou už turing univerzální a teoreticky by na nich měl jít spustit i třeba Linux. BTW univerzální procesor měly některý grafiky ještě před rokem 1990 :-D.

Jinak na kvalitně nastaveném stroji bude mít takový malware problém (IOMMU, nutnost mít partnera na CPU, apod.).
Intel meltdown a = arr[x[0]&1]; karma | 帮帮我,我被锁在中国房
Jendа avatar 11.5.2015 18:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Ja mel za to, ze ta pamet je pevne zadratovana pro ucely nejakych vypoctu te grafiky? A pokud tam je teda ulozen nejaky program, prece nemuze jit "spustit", cili nemuze nic vykonavat, ne?
Ne, většinu dnešních grafických karet si můžeš programovat. Dříve se na tom hlavně renderovalo, dnes se na tom počítají i jiné věci. Je to masivně paralelní SIMD architektura.

Jak to ale chytá klávesy nevím. Dokázal bych si představit že to bude třeba dělat screenshoty.
vlastikroot avatar 11.5.2015 20:30 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Potrebuje to roota, aby se to dostalo do adresniho prostoru jadra, pak si to ta karta vycita z adresy bufferu klavesnice. V tom papiru je napsano
NVIDIA CUDA devices share a unified address space with the host controller process that manages the GPU.
Consequently, to be accessible directly by the GPU, the keyboard buffer must be mapped in the virtual address space of the host process. This can be achieved by manipulating the page table of the controller process to include the page in which the keyboard buffer resides
We will destroys the Christian's legion ... and the cross, will be inverted
11.5.2015 23:41 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Jak to ale chytá klávesy nevím. Dokázal bych si představit že to bude třeba dělat screenshoty.
Cyve to mě vůbec nenapadlo, vždyť je to grafika, vhodný malware vlastně může prohazovat prvky GUI (například username pole místo password pole, nebo vhodně skrývat okna o nedůvěryhodném připojení!).
Intel meltdown a = arr[x[0]&1]; karma | 帮帮我,我被锁在中国房
10.5.2015 16:54 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Rootkit Jellyfish a keylogger Demon běžící na grafické kartě
Odpovědět | Sbalit | Link | Blokovat | Admin
Hehe ještě že mám poslední řadu ATI/AMD bez podpory opencl (tedy podle wiki a mého nepřesného porovnávání).
Intel meltdown a = arr[x[0]&1]; karma | 帮帮我,我被锁在中国房

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.