Intel hält den Grafikkartenvirus „Jellyfish“ für nicht so beängstigend

Im Mai dieses Jahres entdeckte eine Gruppe von Sicherheitsexperten den sogenannten „Grafikkartenvirus“, eine Schadsoftware, die auf der GPU-Grafikkarte ausgeführt wird. Sie behaupteten, dass die aktuellen Sicherheitslösungen keinen Schutz dagegen bieten würden, was eine Zeit lang große Panik auslöste. Nach Untersuchungen ist Intel jedoch der Ansicht, dass die Situation nicht so schlimm ist. Eine Gruppe von Entwicklern mit dem gemeinsamen Codenamen „Jellyfish“ hat zunächst ein Rootkit und einen Keylogger erstellt, mit denen GPU-Angriffe unter dem Linux-System gestartet werden können. Außerdem wurde ein Remote Access Tool (RAT) für Windows entwickelt und außerdem ein Proof-of-Concept-Code auf GitHub veröffentlicht.

Intel-Forscher haben den Code analysiert und erklären in einem neuen Sicherheitsbericht, dass GPU-Malware leicht erkannt werden kann, wenn die Scan-Tools wissen, wonach sie suchen müssen.

„Unzählige Artikel wiederholen den Standpunkt des Autors“, sagte Craig Schmugar, ein Sicherheitsingenieur von McAfee, der jetzt bei Intel ist, in dem Bericht. „Wenn der relevante Kontext nicht berücksichtigt wird, kann es leicht zu Fehlinterpretationen kommen und die Illusion entstehen, dass es einen nicht nachweisbaren Supervirus gibt, der autonom laufen kann und die derzeitigen Abwehrmaßnahmen völlig wirkungslos sind, was jedoch nicht der Fall ist.“

Intel konzentrierte sich darauf, wie JellyFish läuft, insbesondere darauf, wie GPU und Speicher über den DMA-Bus kommunizieren, und stellte fest, dass es zunächst die meisten Zugriffsrechte auf Core-Ring-0-Ebene der CPU erhalten muss, bevor es den Systemspeicher zum Lesen und Schreiben auf die GPU abbilden kann. Ob dies möglich ist, hängt vom Schutzgrad des Systemkernels ab.

Darüber hinaus muss GPU-Malware die CPU-Masterdatei im Installationsprogramm löschen, um sich zu verbergen, wodurch der Code nur auf der GPU existiert. Der Timeout-Erkennungs- und Wiederherstellungsprozess (TDR) wird im Windows-System ausgelöst, die Grafikkarte wird zurückgesetzt und der Schadcode verschwindet auf natürliche Weise.

Wenn ein Angreifer versucht, die Standard-Resetzeit von TDR (2 Sekunden) anzupassen, wird dies vom System als verdächtiges Verhalten betrachtet und eine Sicherheitswarnung ausgelöst.

Tatsächlich verbraucht GPU-Malware, wenn sie weiterhin ausgeführt wird, mit Sicherheit eine Menge GPU-Ressourcen, was dazu führt, dass die grafische Benutzeroberfläche und grafische Anwendungen langsam reagieren, was den Benutzern auf jeden Fall auffällt.

Zur Behauptung, dass der Code auch nach einem Neustart noch vorhanden sei, erklärte Intel, dass nur die Daten erhalten bleiben könnten, nicht jedoch der ausführbare Code. Wenn der Schadcode einen Neustart überleben will, muss er sich außerhalb der GPU verstecken, wo er leicht erkennbar ist.

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.