Перейти к содержанию
Danilka

GPU — новый помощник вирусописателей?

Recommended Posts

Danilka

Группа исследователей из Греции и США создала прототип вредоносной программы, которая для усиления самозащиты использует возможности графического процессора, взаимодействующего с ЦП.

Концептуальный образец зловреда был разработан с применением таких типовых способов обфускации, как автораспаковка и динамическая генерация кода. Технология автоматической распаковки позволяет вирусописателю вносить незначительные изменения в процедуру сжатия или шифрования, чтобы обойти антивирусные сканеры. Фрагментация рабочего цикла программы с поэтапной расшифровкой составляющих кода затрудняет его анализ, так как каждый сегмент вызывается в строгой очередности и, отработав, вновь подвергается шифрованию. Однако на сей раз немудрящие механизмы самозащиты были реализованы в среде GPU, что серьезно повысило их шансы на успех.

Современные графические процессоры (GPU) обладают высоким быстродействием и умеют выполнять многие из тех задач, которые до недавнего времени были исключительной привилегией ЦП. Благодаря конвейерной архитектуре и ограниченному набору команд GPU способны с большой эффективностью производить ресурсоемкие вычисления, разгружая ЦП, работающие с ними в одной упряжке. Объединенной команде исследователей удалось доказать, что перенос функции самораспаковки исполняемого кода на GPU позволит злоумышленникам применять сложные схемы шифрования, не беспокоясь о таких внешних проявлениях, как снижение производительности ЦП. Кроме того, при таком разделении труда длину кода, подлежащего исполнению в среде x86, можно значительно сократить, чтобы после распаковки и записи в память он затерялся среди стандартных файлов.

Включение GPU в процесс динамической генерации исполняемого кода также продемонстрировало высокую эффективность, так как позволяет хранить все ключи шифрования в памяти графического процессора, недоступной для ЦП. Зашифрованные фрагменты кода при этом содержатся в области, совместно используемой GPU и ЦП, поэтому процесс расшифровки и повторного шифрования при прогоне программы сопровождается интенсивным обменом между устройствами. Каждый фрагмент кода после отработки зашифровывается произвольным ключом, поэтому сам зловред постоянно видоизменяется самым непредсказуемым образом.

Прототип ориентирован на GPU, совместимые с архитектурой CUDA, и в октябре будет представлен на 5-й международной конференции IEEE по интернет-угрозам (Malware 2010). По мнению экспертов ЛК, адекватной защитой от кибератак с использованием аналогичных инструментов являются HIPS. Однако разработчики РоС зловреда предупреждают, что рост популярности GPU как ускорителей специфических вычислений не пройдет незамеченным в криминальной среде. Вполне вероятно, что в скором времени злоумышленники начнут использовать их, например, для взлома паролей и ключей шифрования.

Источник:

http://www.securelist.com/ru

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Killer

Хм.... Отличная идея, кстатиговоря...:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion

Группа исследователей (вирусологов из АВ-компаний) пишет вирус и создает новый концепт его внедрения. Здорово! Вы до сих пор думаете, что Ав-компаниям не выгодно создавать вирусы? :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

В статье ни слова про то, что это были вирусологи.. Где Вы такое нашли то? Снова бредни начались...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
В статье ни слова про то, что это были вирусологи.. Где Вы такое нашли то? Снова бредни начались...

Исследователи вирусные - это фрилэнсеры что ли? Пишут вирусы на заказ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Исследователи вирусные - это фрилэнсеры что ли? Пишут вирусы на заказ?

Это не вирус, а прототип. Перечитайте текст внимательно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Skorpion
Это не вирус, а прототип. Перечитайте текст внимательно...

А в чем разница?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Да сейчас вот такие мошенники и взломщики очень продвинулись, с развитием технологий и различные мошеннические схемы развиваются. Обычные пользователи очень часто становятся жертвами взломов, обычно из-за того что слабо защищают аккаунт, думая, что их это никогда не коснется. Чтобы противостоять взлому необходимо знать определенные секреты защиты аккаунта, мне вот это пригодилось бы год назад, когда меня несколько раз взламывали и я не знал, что делать. Благо друг недавно скинул статью где детально расписано как обезопасить свой аккаунт  , только так смог уже поставить себе толковую защиту, теперь уже спокоен, что никто не взломает и не будет у моих друзей требовать деньги.
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×