id: Гость   вход   регистрация
текущее время 17:50 29/03/2024
Владелец: ressa (создано 08/05/2015 11:27), редакция от 08/05/2015 11:27 (автор: ressa) Печать
Категории: атаки, исходные тексты, операционные системы, жучки/кейлоггеры
https://www.pgpru.com/Новости/2015/ПредставленыРаботающиеНаGPUПротитипыРуткитаИКейлоггераДляLinux
создать
просмотр
редакции
ссылки

08.05 // Представлены работающие на GPU протитипы руткита и кейлоггера для Linux


Исследователи безопасности из команды Team Jellyfish воплотили в жизнь теоретический метод (filePDF) применения GPU для отслеживания активности в системе и подготовили рабочие прототипы руткита и кейлоггера, выполняемые на GPU для скрытия своего присутствия в системе. Руткит и кейлоггер примечательны тем, что получив доступ к GPU, они обходятся без традиционных привязок и изменений кода ядра операционной системы. Отслеживание буфера, содержащего данные о нажатых клавишах, производится непосредственно из GPU при помощи DMA. На CPU выполняется только инициализация, после чего вся активность руткита ограничивается GPU.


В настоящее время реализована только работа на системах с отдельными видеокартами (GPU, интегрированные с CPU, пока не поддерживаются) AMD и NVIDIA. Прототип руткита реализован в пространстве пользователя и загружается при помощи LD_PRELOAD. Для организации выполнения кода на GPU применяется OpenCL API, что требует наличия драйверов с поддержкой OpenCL. После загрузки все данные размещаются в видеопамяти, что затрудняет обнаружение руткита. Перехват содержимого памяти CPU производится через DMA. Выполнение на стороне GPU также позволяет задействовать средства GPU для выполнения сложных вычислений.


Источник: http://www.opennet.ru/opennews/art.shtml?num=42192


 
— ressa (08/05/2015 11:28, исправлен 08/05/2015 11:29)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Все, game over? Или он без root тоже посасывать будет?


SATtva, может добавить в список тэгов "github"? было бы удобнее искать открытые проекты.

— unknown (08/05/2015 11:30)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Без root и без драйверов — похоже да.
— ressa (08/05/2015 11:39, исправлен 08/05/2015 11:44)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

Если LD_PRELOAD позволяет подгружать "нужный" файл раньше остальных, что ему будет мешать фиксировать нажатия на клавиатуре?
Вот отправить логи – это да, мне кажется никогда не получится.


Кстати, если постоянно на 9050 висит Tor, он же может без палева законнектиться к своему гейту на одном из HS? Не будешь же ты каждый раз arm-tor мониторить. Или нет?
Что-то я об этом не подумал.. Очередной плюс использовать TBB.


UPD.
Ахаха, все вопрос снят, запостил херню – прошу прощения))
Глянул код:


Что-то я вообще не нашел, чтобы он логи куда-то слал. Файл с логами удаляет и все:

— unknown (08/05/2015 11:45)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Если у вас система может подгружать левые либы, то это уже плохо.


Трояны и так могут слать трафик в тор и маскироваться под него.


К тору из TBB тоже можно законнектиться.
— ressa (08/05/2015 11:50)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59

А где посмотреть это?
Это усложняет задачу, ему нужно запустить TBB, накликать там что-то, при этом загнать сам ТВВ в стелс-режим. А тут просто на 9050 отправил и все.

Спасибо за ответ, тогда переживать нечего, если ему рут нужен.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3