Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Nic nového pod sluncem. Jestli nebude cílem jenom vyrazit peníze z kupce technologie tohoto GPU viru.
To je funkční již dlouho...
OK...takže mám OpenCL "virus", který (pokud to chápu dobře) může sám o sobě "žít" v grafice. Co může a co nemůže takový virus dělat? Může šahat na disk? Může komunikovat přes síť? Pokud ani jedno, tak k čemu je vlastně dobrý (kromě toho, že může udělat nějaké "bububu" na monitoru)?
Navíc - pominu-li čistě hypotetickou možnost, že něco mi ten virus zapíše do V-BIOSu, tak to nepřežije restart a při každém spuštění mi ho do GPU musí nějaký jiný virus (loader) nahrát = pokud budou antiviry schopné ten loader detekovat, tak je to stejně o ničem.
>Navíc - pominu-li čistě hypotetickou možnost, že něco mi ten virus zapíše do V-BIOSu,
Práve ten zápis do VideoBIOS-u tento prrof of concept robí, ak čítam správne
> Může šahat na disk?
Ak to pritiahnem za valsy
Teoreticky cez ResizableBAR a GPUDirectStorage na nebezpečne, ale s dôrazom na výkon optimalizovanom kóde aplikácie/OS
>Může komunikovat přes síť?
Ak je využitý HDMI a/alebo lightning na Ethrenet tak áno.
HDMI can carry ethernet
https://linustechtips.com/topic/585246-ethernet-over-displayport/
V súčasnom stave je to malá šanca, ale nedá sa to vylúčiť.
Pokud to vezmu úplně obecně, napadají mě k tomu tři poznámky:
1. Vir nepotřebuje, aby byl nějak extrémně dlouhodobě aktivní. Může mu stačit jedno spuštění a provedení jednoho úkonu. V takovém případě jeho smazání restartem nic neřeší, protože už provedl, co potřeboval.
2. Vir nepotřebuje být úspěšný v každém jednom případě. I kdyby pro jeho činnost byla podstatná dlouhodobější existence (udržení se v grafické paměti), má díky stále se šířícímu používání úsporných režimů namísto tvrdého odpojení od energie velmi rozsáhlou živnou půdu v podobě (přinejmenším) integrovaných grafik v noteboocích.
3. GPU umějí pracovat s řadou formátů komprese. Pokud se vir do paměti dostane jako součást komprimovaných grafických dat a až poté je v klidu na úrovni GPU dekomprimován, pak se může docela efektivně vyhýbat zásahům současných antivirů. (Toto je příklad, hypotetický scénář, který nesouvisí s metodou zmíněnou v článku.)
Aha tak to co máte pod bodem 3 to je ta hrozba. Už chápu. Díky za vysvětlení,.
1. V podstate opisujete
AP: Ochrana proti hacknutí telefonu? Pomáhá i pravidelný restart smartphonu
28. 7. 2021
Restartování může být podle odborníků citovaných AP prevencí proti malwaru, který přetrvává v operační paměti telefonu. Pro útočníky jsou „in-memory payloads“ jednodušší než se pokoušet malware dostat přímo do chráněného systému. Restart pak může takovou nákazu z paměti smazat.
https://www.lupa.cz/aktuality/ap-ochrana-proti-hacknuti-telefonu-pomaha-...
Mam pocit ze nikdo z vas nepochopil o co jde :-)
Vir NEBEZI na GPU, jenom pouziva jeji pamet namapovanou do prostoru procesoru, ale AV program proste jenom neskenuje pametovy prostor od zarizeni, protoze to je fuj fuj - zarizeni tam muze mit napr. frontu, ktera se posouva vycitanim (mmio), takze na hardware se nesaha!
V podstate to nemusi byt zavisle na pouziti GPU, ale muzete takovou mapovatelnou pamet nalezt v kazdem obdarenejsim hw - typicky RAID radici, nebo NVMe disku (tech novejsich, kde se deskriptory ukladaj na stranu zarizeni a maj k tomu ram buffer).
Pokud funguje NX bit spravne v OS, tak kod z takto mapovanych stranek by nemel byt primo spustitelny, takze jediny co onen anonymni koumal vykoumal, je "jak udelat ramdisk z pameti na zarizeni", resp. nepriznany odkladaci prostor (oficialni ramdisk by AV skenoval v rezimu "diskova jednotka", a taky ze by byl hodne napadny).
Ale to pak musi stahnout do pameti procesoru a spustit... takze me napada - zda neni nejaka chyba ve Win/OpenCL, ohledne NX bitu pri mapovani ze zarizeni - ostatne autor tvrdi... "executes from there".
"This malcode allowed binaries to be executed by the GPU..."
To netvrdi autor, ale nejaka jina parta :-) Ale pockame si na tu demonstraci...
Já jsem "stará škola" a chráněný režím 386+ jsem nikdy moc nestudoval, ale kdyby to tak bylo - neměly by tyhle hardwarem mapované stránky RAM být nepřístupné "zvenku"?
Ne nutne. Ja potkal projekt, kde se dal spouster kod na nejakem jadre primo v GPU.
Vzhledem ke stavu, v jakem je IOMMU na windows, a GPU ma DMA, se pak da delat cokoliv.
Ono to asi pôjde "spustiť aj na FPGA", čo je aktuálne, lebo dnes/zajtra b sa mala skončiť fáza 2 preskúmania Akvizície Xilinx-u, AMD-čkom. Ak to neposunú do fázy 3 a nezamietnu po fáze 2. - tak máme schválenú aklvizíciu Xilinx-u. Je až podozrivo ticho o tom výsledku..
AMD's Acquisition of Xilinx Reportedly Moves Forward with Chinese Regulators
July 06, 2021
Welcome to Phase Two
SAMR's process involves up to three review periods:
1. Phase One lasts 30 days,
2.Phase Two lasts 60 days, and
3. Phase Three lasts 90 days.
The regulator decides at the end of each phase if it's ready to make a decision or if it will move on to the next phase.
https://www.tomshardware.com/news/amds-acquisition-of-xilinx-reportedly-...
Your starting date is July 6, 2021 so that means that 60 days later would be September 4, 2021.
https://convert-dates.com/days-from/60/2021/07/06
Už sem viděl spousty gpu odsmažených virem. Už od dob gf gt 1xx. Větrák na plno gk vytížená na 100% a žádná aplikace, ani podezřelý proces.... Pomohl jen reinst widlý. A samozřejmě výměna gk.
Napadají mě tyto další schovky:
- Boot sektor na disketě. MBR na HDD. Boot ROM (flash) v síťové kartě. Firmware HDD. Firmware tiskáren, IP telefonů, kamer, routerů, IoT, atd. Přímo v EFI. Řadič USB HID zařízení. Využití TPM.
- Tady se hodí "if you can run, you can hide" ;-)
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.