شناسایی بدافزارهایی که در درون پردازنده گرافیکی (GPU) اجرا می شوند، هر چند دشوار، اما امکان پذیر است. تحقیقی که توسط شرکت McAfee انجام گرفته، نشان می دهد که اجرای کد مخرب در درون این پردازنده ها هنوز اشکالاتی اساسی دارد. این بررسی در پی آن انجام گرفت که در ماه مارس، بدافزاری از نوع روت کیت (Rootkit) موسوم به JellyFish برای اثبات امکان اجرای بدافزار در GPU منتشر شد.
به گزارش شرکت McAfee، یکی از ویژگی های بدافزارهای GPU، نفوذ به حافظه سیستم از طریق قابلیتی با عنوان “دسترسی مستقیم” است. اما دست درازی به بخش های حساس حافظه سیستم از طریق GPU، نیازمند دسترسی در سطح هسته سیستم عامل بوده و مستلزم اجرای پروسه هایی بر روی حافظه کامپیوتر است.
به گفته محققان McAfee، نرم افزارهای امنیتی این قابلیت را دارند که این گونه عملیات ها را رصد و محدود کنند.
زمانی که کد مخرب بر روی GPU اجرا می شود، ابزارهای امنیتی می توانند فایل هایی را که برای نصب بدافزار نیاز است، شناسایی و حذف کنند. در نتیجه آن، کد اجرا شده در GPU، عقیم می ماند و Windows بعد از ۲ ثانیه آن را متوقف می کند. این زمان ۲ ثانیه ای قابل تغییر است اما هر گونه تلاش برای دست درازی به آن نیز می تواند توسط محصولات امنیتی، مشکوک تلقی شود.
علاوه بر آن، اجرای طولانی مدت پروسه بر روی پردازنده گرافیکی سبب می شود رابط کاربری گرافیکی سیستم عامل در حالت هنگ قرار بگیرد و کاربر متوجه حالت غیرعادی شود. این اتفاق ادعای بی سروصدا بودن این نوع بدافزارها را نقض می کند.
ادعای دیگر طراحان JellyFish این بوده که کد ذخیره شده بر روی GPU با راه اندازی های سیستم همچنان ماندگار باقی می ماند. اما به گفته محققان McAfee، این موضوع مربوط به محل ذخیره سازی می شود و نه اجرای خودکار و بنابراین با هر بار راه اندازی مجدد، کد باید فراخوانی شده و همه مراحلی طی شده از نو آغاز شود.
هر چند کمبود ابزارهایی که قادر به کشف کدهای مخرب در پردازنده های گرافیکی باشند، کاملاً مشهود است اما واقعیت آن است که ابزارهای امنیتی قادرند با تکیه بر نشانه های دیگر این گونه بدافزارها را شناسایی کنند.
ضمن اینکه روش های مورد استفاده شرکت مایکروسافت در سیستم های عامل خود جهت مقابله با بدافزارهای از نوع “روت کیت” در سطح هسته، همچون Patch Guard، الزام داشتن امضای دیجیتالی برای راه اندازها، اجرای زودهنگام ضدبدافزار و فناوری Secure Boot، همگی موانعی برای اجرای کدهای مخرب در GPU می باشند.
به خصوص قابلیت Device Guard در Windows 10 که تنها اجازه اجرای راه اندازهای دارای امضا دیجیتالی توسط مایکروسافت و برنامه های مورد اعتماد را می دهد، می تواند به طور مؤثری از اجرای این نوع تهدیدات جلوگیری کند.
فسا-پسا
