Jellyfish rootkit és Demon keylogger

Titkosítás, biztonság, privát szféra

A Team Jellyfish egy GPU-alapú (egyelőre, de várhatóan nem kizárólag) linuxos rootkit-tel és egy szintén GPU-alapú keylogger-rel örvendeztette meg a nagyérdeműt. Mindkét megoldás PoC, jelenleg nem teljes. A csapat célja az volt, hogy felhívja a figyelmet arra, hogy GPU-alapú malware nem fikció, nem sci-fi, hanem valóság.

A kódok GPLv2 alatt megtalálhatók a GitHub-on: Jellyfish rootkit | Demon keylogger

( csabka v | 2015. 05. 08., p – 13:08 )

Nem teljesen világos, hogy ebben mi a különleges támadási vektor a CPU-s keyloggerrel szemben... tudna valaki esetleg néhány gondolatot írni ezzel kapcsolatban?

Esetleg user jogán is lehet a videó GPU-n keresztül rendszerszintű keyloggolást csinálni? (ilyen nem rémlik, hogy olvastam volna, az pl érdekesebb lenne szerintem)

Vagy csak az, hogy processor időnél nem látszik, mert GPU időt terheli a kernel buffer read így nehezebb észlelni a tevékenységet?
Minden esetre, ha jól láttam, a többi (pl fájl io, stb mind CPU -bár lehet hogy csak "még"-)

Advantages of gpu stored memory:

No gpu malware analysis tools available on web
Can snoop on cpu host memory via DMA
Gpu can be used for fast/swift mathematical calculations like xor'ing or parsing
Stubs
Malicious memory may be retained across warm reboots. (Did more conductive research on the theory of malicious memory still being in gpu after shutdown)

"Malicious memory may be retained across warm reboots."

Ez egy tök izgalmas dolog és szabad szemmel látható, hogy nem kivitelezhetetlen. Én jártam már úgy, hogy oprendszer reboot után indul az X, bejelentkezés. Bejelentkezés után míg - egy kellően lassú gépen - töltődik a DE, addig az X mutogatja (szerintem) a VRAM tartalmát és nem hangyaháborúra gondolok, hanem konkrét képekre, ikonkészletekre..

Mondjuk inkább remélem, hogy nem működik.

az oke, hogy ott marad (amugy a rendes ram sem feltetlenul torlodik resetkor, bar azt a bios szokta gyalulni) de mi aktivalja, mi hivja meg az ott maradt programot?

az is erdekes kerdes, mit tud ott csinalni a cucc. a dms-ra en is gondoltam, de azt a cpu oldalarol is engedni kell, szerintem csak ugy nem kezdemenyezhet a gpu dma atvitelt. ellenben screenshotokat tud csinalni. igaz neten elkuldeni nem tudja, akkor meg minek.