Um dazustellen das ein Keylogger auch im Speicher einer Grafikkarte überleben kann, hat sich eine Gruppe von Sicherheitsexperten zusammengeschlossen und den Rootkit Jellyfish und den Keylogger Demon entwickelt. Jellyfish gibt es für Windows und Linux. Unterstützt werden Grafikkarten der Marken AMD und Nvidia.
Über die OpenCL Schnittstelle lädt das Rootkit Jellyfish den Schadcode bzw. Keylogger Demon. Dieser greift via Direct Memory Access (kurz DMA) auf den Speicher zu. Somit können dann Tastatureingaben des Nutzers mitgeschnitten werden. Die gesammelten Informationen werden im Anschluss im Grafikspeicher hinterlegt.
Angreifer können die sich im Grafikspeicher befindlichen Daten auslesen und an einen Server übermittelt. Der Schadcode verbleibt allerdings nur bis zum Neustart des Systems im Grafikspeicher.
A Stealthy GPU-based Keylogger
Die Idee hat ihren Ursprung aus einer Abhandlung namens “You Can Type, but You Can’t Hide: A Stealthy GPU-based Keylogger” die Forscher eines griechischen Forschungsinstitutes sowie der Columbia University vor zwei Jahren in den USA vorgestellt haben.
Mit der Entwicklung des Rootkits Jellyfish wie auch dem Keylogger Demon wollen die Sicherheitsforscher darauf aufmerksam machen, was mittlerweile tatsächlich möglich ist und wo gegen Anwender und Unternehmen geschützt werden müssen.
Die Gefahr eines derartigen Schadcodes liegt vor allem darin, dass dieser nur sehr schwer aufzuspüren sei. Es sei durchaus schwierig einen solchen Schadcode ausfindig zu machen. Der Machbarkeitsnachweis bzw. die dazugehörige Studie befindet sich noch in der Anfangsphase – Fehler sind noch nicht auszuschließen.
Quelle: Golem