l+f: Der Keylogger in der GPU
Forscher haben Schadcode geschrieben, der sich in den Speicher der Grafikkarte lädt und von dort aus die Tastatureingaben des Nutzers überwachen kann.
- Fabian A. Scherschel
Ein Trojaner, der allein in der Grafikkarte lebt – um zu zeigen, dass so etwas praktikabel ist, hat eine Gruppe von Sicherheitsforschern das Rootkit Jellyfish und den Keylogger Demon entwickelt. Jellyfish gibt es als Version für Linux und Windows und unterstützt Karten von Nvidia und AMD.
Jellyfish lädt Schadcode, zum Beispiel den Demon-Keylogger, über die OpenCL-API auf die Grafikkarte, von wo dieser dann über DMA auf den Speicher des Systems zugreifen kann. Hier kann er Tastatureingaben mitschreiben und im Grafikspeicher hinterlegen. Diese Daten können später durch den Angreifer auch wieder ausgelesen und an einen Kontrollserver verschickt werden. Allerdings bleibt der Code nur bis zum Reboot im Speicher der Grafikkarte erhalten.
Die Idee eines GPU-basierten Keyloggers haben die Forscher aus einer Abhandlung einer Reihe von Kollegen, die 2013 veröffentlicht wurde. In ihrem Paper You Can Type, but You Can’t Hide: A Stealthy GPU-based Keylogger schlugen Forscher eines griechischen Forschungsinstitutes und der Columbia University in den USA vor, Schadcode in der GPU zu verstecken, um ihn vor neugierigen Augen zu verbergen. Die Kombination aus Jellyfish und Demon setzt diese Idee um.
lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security
(fab)
