AMD Navi 23 GPU
Penjahat di dunia maya telah membuat program malware yang dapat disembunyikan di memori GPU dan membuatnya tidak terlihat oleh aplikasi antivirus.
Peretas Bisa Menyimpan Malware Dalam Memori GPU Anda, Tidak Dapat Dideteksi Oleh Antivirus
Teknik ini menggunakan ruang alokasi memori GPU dan mengeksekusi kode berbahaya ke dalam komputer. Teknologi OpenCL 2.0 API yang digunakan pada OS Windows adalah satu-satunya sistem operasi yang ditargetkan, tanpa OS lain yang disebutkan dalam serangan tersebut.
AMD Instinct MI200 Dispekulasikan untuk Memanfaatkan 110 Unit Komputasi Per GPU MCM
Sejauh ini, peretas dapat menyimpan kode berbahaya di berbagai GPU dari Intel (UHD 620/630), AMD (Radeon RX 5700), dan NVIDIA (GeForce GTX 1650/GeForce GT 740M). Ini dapat memengaruhi semua GPU modern dan bukan hanya bagian generasi lama.
Sumber: Bleeping Computer
Pada tahun 2015, a grup riset membuat konsep keylogger di dalam GPU yang dapat mengaktifkan trojan akses jarak jauh ke dalam sistem operasi Windows. Namun, teknik baru ini dinyatakan sebagai konsep yang lebih baru dan bukan turunan dari ciptaan tahun 2015.
Dalam kondisi normal, mengeksekusi kode pada GPU memerlukan proses pengontrolan yang berjalan di host. Proses host menambahkan tugas pada antrean perintah, yang pada akhirnya akan diambil dan dijalankan oleh GPU. Namun, GPU memiliki sifat non-preemptive: setelah eksekusi tugas dimulai, GPU terkunci dengan eksekusi tugas itu dan sementara itu tidak ada orang lain yang dapat menggunakan GPU. Hal ini sangat bermasalah ketika GPU digunakan baik untuk rendering maupun komputasi, karena hal ini dapat menghasilkan efek yang tidak diinginkan seperti antarmuka pengguna yang tidak responsif.
Sebagai konsekuensinya, untuk memastikan perilaku yang tepat, driver grafis biasanya memberlakukan batas waktu untuk mematikan kernel yang tahan lama. Untuk malware GPU, ini bisa menjadi batasan penting karena kernel jahat perlu dikirim berulang-ulang, sehingga lebih mudah dideteksi dalam memori sistem.
Teknik anti-forensik pertama terdiri dari penonaktifan batas waktu yang ada untuk mengambil kendali penuh dari GPU. Misalnya, dalam Vasiliadis dkk. (2014) penulis menonaktifkan GPU hangcheck untuk mengunci GPU tanpa batas waktu.
— Situs web Science Direct
Baru-baru ini seseorang yang tidak dikenal menjual sebuah teknik malware ke sekelompok Aktor Ancaman.
Malcode ini memungkinkan biner untuk dieksekusi oleh GPU, dan di ruang alamat memori GPU, bukan CPU.
Kami akan mendemonstrasikan teknik ini segera.
— vx-underground (@vxunderground) 29 Agustus 2021
Perwakilan dari forum vx-underground sedang dalam proses membuat demonstrasi serangan malware pada sistem operasi Windows dalam beberapa minggu ke depan. Kelompok peneliti menyatakan bahwa GPU akan mengeksekusi biner malware dari dalam ruang yang dialokasikan memori kartu grafis.
