해커들은 피해자의 컴퓨터에 악성 소프트웨어를 도입하고 사용하는 새로운 방법을 모색하고 있으며 최근에 이러한 목적으로 비디오 카드를 사용하는 방법을 배웠습니다. 러시아 해커 포럼 중 하나에서 그래픽 가속기의 비디오 메모리에 악성 코드를 삽입한 다음 실행할 수 있는 기술 데모(PoC)가 판매되었습니다. 바이러스 백신은 일반적으로 RAM만 검사하기 때문에 익스플로잇을 감지할 수 없습니다.
이전에 비디오 카드는 3D 그래픽 처리라는 하나의 작업만 수행하도록 설계되었습니다. 그들의 주요 임무는 변하지 않았음에도 불구하고 비디오 카드 자체는 일종의 폐쇄형 컴퓨팅 생태계로 진화했습니다. 오늘날에는 그래픽 가속을 위한 수천 개의 블록, 이 프로세스를 관리하는 여러 개의 메인 코어, 그래픽 텍스처가 저장되는 자체 버퍼 메모리(VRAM)가 포함되어 있습니다.
BleepingComputer가 쓴 것처럼 해커는 비디오 카드의 메모리에서 악성 코드를 찾아 저장하는 방법을 개발했으며 그 결과 바이러스 백신에서 탐지할 수 없습니다. 익스플로잇이 정확히 어떻게 작동하는지에 대해서는 알려진 바가 없습니다. 그것을 작성한 해커는 악성 프로그램이 비디오 메모리에 배치된 다음 거기에서 직접 실행되도록 허용한다고만 말했습니다. 또한 이 익스플로잇은 OpenCL 2.0 프레임워크 이상을 지원하는 Windows 운영 체제에서만 작동한다고 덧붙였습니다. 그에 따르면 그는 통합 그래픽 Intel UHD 620 및 UHD 630과 별도의 비디오 카드 Radeon RX 5700, GeForce GTX 1650 및 모바일 GeForce GTX 740M을 사용하여 악성 코드의 성능을 테스트했습니다. 이로 인해 엄청난 수의 시스템이 공격을 받고 있습니다. 페이지를 통한 Vx-underground 연구팀 Twitter 가까운 장래에 특정 해킹 기술의 작동을 시연할 것이라고 보고했습니다.
최근 익명의 개인이 위협 행위자 그룹에 악성 코드 기술을 판매했습니다.
이 악성 코드는 바이너리가 GPU와 CPU가 아닌 GPU 메모리 주소 공간에서 실행되도록 허용했습니다.
우리는 곧 이 기술을 시연할 것입니다.
— vx-underground(@vxunderground) 2021 년 8 월 29 일
동일한 팀이 몇 년 전에 OpenCL을 사용하여 PC 시스템 기능에 연결하고 GPU에서 악성 코드 실행을 강제하는 오픈 소스 Jellyfish 익스플로잇을 게시했다는 점에 유의해야 합니다. 이에 새로운 익스플로잇의 작성자는 젤리피쉬와의 연관성을 부인하며 해킹 방식이 다르다고 밝혔다. 해커는 누가 데모를 구입했는지, 거래 금액은 밝히지 않았다.
또한 읽기: