• 网络安全公司 Zscaler 发现了一种名为‘CoffeeLoader’的恶意软件,该软件在系统 GPU 内执行代码以逃避检测。
  • CoffeeLoader 采用高级技术,如调用堆栈欺骗和动态 API 解析,以渗透系统。

发生了什么:发现基于 GPU 的恶意软件

Zscaler的网络安全分析师发现了一种名为‘CoffeeLoader’的新型恶意软件,它利用图形处理单元(GPU)执行代码,从而逃避传统的检测方法。与在中央处理单元(CPU)中运行的常规恶意软件不同,CoffeeLoader 将其部分代码执行卸载到 GPU,使其不易受标准安全工具的影响。这种方法允许恶意软件在 GPU 的内存空间内执行解密和其他恶意活动,而防病毒软件对此监控较少。

通过将 GPU 用作协处理器,CoffeeLoader 能够在受感染的系统上保持隐蔽的存在,使检测和修复工作复杂化。分析师指出,这种方法代表了恶意软件策略的重大演变,因为它利用 GPU 的并行处理能力来提高恶意软件的效率和隐蔽性。

另请阅读:恶意软件分析的 2 个最常见阶段
另请阅读:静态与动态恶意软件分析的 3 个主要区别

为什么重要

像 CoffeeLoader 这样的 GPU 驻留恶意软件的出现,凸显了网络犯罪策略向更复杂攻击媒介的转变。传统的安全措施主要侧重于监控 CPU 活动,而 GPU 操作相对不受检查。这一疏忽为恶意软件利用 GPU 资源进行恶意目的提供了机会。利用 GPU 执行代码不仅增强了恶意软件的隐蔽性,还提高了其性能,因为 GPU 能够高效处理并行任务。

这一发展对网络安全专业人员提出了挑战,需要调整检测和缓解策略,以涵盖 GPU 活动监控。由于 GPU 是各种计算任务(包括人工智能和数据处理)不可或缺的组成部分,确保其安全对于维护整体系统完整性至关重要。