Исследователи в области компьютерных наук представили прототип зловредного программного обеспечения, использующего ресурсы графического процессора для обхода традиционных методов обнаружения антивирусных средств. Продемонстрированный код задействовал GPU для дешифрования, или распаковки собственно вирусной части файла на атакуемом компьютере.
Техника самораспаковки – распространенный метод маскировки вирусов от антивирусной проверки на базе сигнатурного анализа, поскольку это дает возможность разработчику вируса непрерывно вносить небольшие изменения в результаты работы шифрования или компрессии без изменения собственно ядра атакующего кода. Но до сих пор использование средств центрального процессора накладывало практические ограничения на возможные типы алгоритмов упаковки.
По утверждениям исследователей, использование команд GPU для распаковки вирусов может значительно затруднить работу существующих средств обнаружения и анализа вредоносного кода. «Автор злонамеренного кода может прибегнуть к вычислительной мощности современных графических процессоров и упаковать его с применением очень сложной схемы шифрования, которая может быть эффективно обсчитана на массивно-параллельной архитектуре GPU» – отметили Гиоргос Василиадис (Giorgos Vasiliadis) и Сотирис Иоаннидис (Sotiris Ioannidis) из Фонда исследований и технологий Греции и Михалис Полихронакис (Michalis Polychronakis) из Университета Колумбии в своем докладе, подготовленному к намеченной на следующий месяц международной конференции IEEE по вредоносному и нежелательному ПО.
Вредоносный код, использующий GPU, позволяет минимизировать количество инструкций процессоров x86, и тем самым уменьшить возможность для традиционных методов антивирусного анализа. Намного затрудняется и исследование методов работы вирусов «вручную», поскольку к традиционным методам, усложняющим обратный инжиниринг, добавится поддерживаемый средствами графических процессоров полиморфизм.
Исследователи предположили, что со временем вполне могут появиться ботнеты, способные использовать распределенные ресурсы GPU, хорошо подходящие для таких типов задач, как подбор паролей или ключей шифрования. В прогнозах возможных вирусных новинок фантазия специалистов дошла до вирусов, способных манипулировать CPU для вывода на монитор фальшивой информации, и даже до вероятности появления вредоносного кода, исполняемого целиком на GPU, без привязки к процессам, поддерживаемым средствами центрального процессора.
Источник информации: 3DNews