インテルは「クラゲ」グラフィックカードウイルスはそれほど恐ろしいものではないと考えている

今年 5 月、セキュリティ専門家のグループが、GPU グラフィック カード上で実行されるマルウェアである、いわゆる「グラフィック カード ウイルス」を発見しました。彼らは、現在のセキュリティソリューションではこれに対する防御策がないと主張し、しばらくの間大きなパニックを引き起こしました。しかし、調査の結果、Intel はそれほど恐ろしいことではないと考えています。 「Jellyfish」というコードネームで総称される開発者グループは、LinuxシステムでGPU攻撃を開始できるルートキットとキーロガーを最初に作成し、Windowsのリモートアクセスツール（RAT）を設計し、さらにGitHubで概念実証コードを公開した。

インテルの研究者らはコードを分析しており、新しいセキュリティレポートでは、スキャンツールが何を探すべきかを知っていれば、GPU マルウェアは簡単に検出できると述べています。

「数え切れないほどの記事が著者の視点を繰り返している」と、現在インテルに勤務するマカフィー出身のセキュリティエンジニア、クレイグ・シュムガー氏は報告書の中で述べた。 「関連する状況を考慮しなければ、誤って解釈されやすく、自律的に活動できる検出不可能なスーパーウイルスが存在し、現在の防御策はまったく効果がないという幻想を抱くことになるが、実際はそうではない。」

Intel は、JellyFish の実行方法、特に GPU とメモリが DMA バスを介して通信する方法に焦点を当て、システム メモリを GPU にマッピングして読み取りと書き込みを行う前に、まず CPU 上でコア リング 0 レベルのアクセス権を取得する必要があることを発見しました。これが実行できるかどうかは、システム カーネルの保護の程度によって異なります。

さらに、GPU マルウェアは、自身を隠すためにインストーラー内の CPU マスター ファイルを削除する必要があり、これによりコードは GPU 上にのみ存在することになります。 Windows システムでタイムアウト検出および回復 (TDR) プロセスがトリガーされ、グラフィック カードがリセットされ、悪意のあるコードは自然に消えます。

攻撃者が TDR のデフォルトのリセット時間 (2 秒) を調整しようとすると、システムによって疑わしい動作とみなされ、セキュリティ警告がトリガーされます。

実際、GPU マルウェアが実行し続けると、大量の GPU リソースが消費され、グラフィカル インターフェイスとグラフィカル アプリケーションの応答が遅くなり、ユーザーは間違いなくそれに気付くでしょう。

再起動後もコードが存在するという主張については、インテルは、保存できるのはデータのみであり、実行コードは保存できないと述べた。悪意のあるコードが再起動後も存続するには、簡単に検出できる GPU の外部に隠れる必要があります。

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。