08.05 // Представлены работающие на GPU протитипы руткита и кейлоггера для Linux
Исследователи безопасности из команды Team Jellyfish воплотили в жизнь теоретический метод (PDF) применения GPU для отслеживания активности в системе и подготовили рабочие прототипы руткита и кейлоггера, выполняемые на GPU для скрытия своего присутствия в системе. Руткит и кейлоггер примечательны тем, что получив доступ к GPU, они обходятся без традиционных привязок и изменений кода ядра операционной системы. Отслеживание буфера, содержащего данные о нажатых клавишах, производится непосредственно из GPU при помощи DMA. На CPU выполняется только инициализация, после чего вся активность руткита ограничивается GPU.
В настоящее время реализована только работа на системах с отдельными видеокартами (GPU, интегрированные с CPU, пока не поддерживаются) AMD и NVIDIA. Прототип руткита реализован в пространстве пользователя и загружается при помощи LD_PRELOAD. Для организации выполнения кода на GPU применяется OpenCL API, что требует наличия драйверов с поддержкой OpenCL. После загрузки все данные размещаются в видеопамяти, что затрудняет обнаружение руткита. Перехват содержимого памяти CPU производится через DMA. Выполнение на стороне GPU также позволяет задействовать средства GPU для выполнения сложных вычислений.
Источник: http://www.opennet.ru/opennews/art.shtml?num=42192
комментариев: 1079 документов: 58 редакций: 59
Все, game over? Или он без root тоже посасывать будет?
SATtva, может добавить в список тэгов "github"? было бы удобнее искать открытые проекты.
комментариев: 9796 документов: 488 редакций: 5664
Без root и без драйверов — похоже да.
комментариев: 1079 документов: 58 редакций: 59
Если LD_PRELOAD позволяет подгружать "нужный" файл раньше остальных, что ему будет мешать фиксировать нажатия на клавиатуре?
Вот отправить логи – это да, мне кажется никогда не получится.
Кстати, если постоянно на 9050 висит Tor, он же может без палева законнектиться к своему гейту на одном из HS? Не будешь же ты каждый раз arm-tor мониторить. Или нет?
Что-то я об этом не подумал.. Очередной плюс использовать TBB.
UPD.
Ахаха, все вопрос снят, запостил херню – прошу прощения))
Глянул код:
Что-то я вообще не нашел, чтобы он логи куда-то слал. Файл с логами удаляет и все:
комментариев: 9796 документов: 488 редакций: 5664
Если у вас система может подгружать левые либы, то это уже плохо.
Трояны и так могут слать трафик в тор и маскироваться под него.
К тору из TBB тоже можно законнектиться.
комментариев: 1079 документов: 58 редакций: 59
А где посмотреть это?
Это усложняет задачу, ему нужно запустить TBB, накликать там что-то, при этом загнать сам ТВВ в стелс-режим. А тут просто на 9050 отправил и все.
Спасибо за ответ, тогда переживать нечего, если ему рут нужен.