转载

基于GPU的rootkit和键盘记录器

　　2013 年的一篇论文"You Can Type, but You Can’t Hide: A Stealthy GPU-based Keylogger"讲解了利用 GPU 来实现键盘记录器，但从来没有人公开过 PoC，最近匿名的安全研究人员公开了一个叫 jellyfish 的 GPU rootkit 和 Demon 的 GPU 键盘记录器的 PoC，jellyfish 是一个 GNU/Linux 的 GPU rootkit 的 PoC，其利用著名用户态 rootkit Jynx 以 LD_PRELOAD 劫持的方式来控制 CPU 的部分，然后使用 Nvidia 或者 AMD 的 OpenCL 的异构编程API 去实现其恶意软件业务的部分，目前使用 AMD APPSDK 的接口是可以兼容 Intel 的 GPU，使用 GPU 的方式来写恶意代码有很多优势，比如能容易的绕过安全检测，可以通过 DMA 来窥探 CPU 的内存信息，xor 等数学操作性能非常高，恶意软件的持久化容易实现以及灵活利用 Stubs 方法。

　　自从 Equation Group 的曝光，在硬件异构的大背景下未来针对硬件的攻击方法的曝光率会增加。

正文到此结束