BlackHole是一种远程管理工具(RAT),恶意使用也可以作为远程访问特洛伊木马 。 BlackHole RAT可以在Mac OS X或Windows上使用,并使远程攻击者可以执行以下操作:
- 执行shell命令(取决于登录用户的权限)
- 关机,重新启动或让电脑进入睡眠状态
- 在受害者的计算机上显示一条消息
- 在桌面上创建文本文件
- 提示输入管理员凭据
管理凭证提示的作用类似于手动驱动的键盘记录程序。 如果受害者在系统提示时输入管理员登录凭据,则会捕获用户名和密码并发送给攻击者。
对管理员权限的请求可能针对Mac OS X用户,因为与Windows不同的是, 除非用户明确允许,否则 Mac OS X会限制程序对此类低级别访问。 对付这些技巧的最好的方法之一就是理解你的计算机的正常和必要条件(在本例中是Mac)。
例如,如果/如果您收到管理员密码的提示,请问自己以下情况:
- 发生提示时,您是否从可靠的开发人员那里安装了已知程序?
- 如果是这样,您正在安装的程序通常需要管理权限吗?
确定身份验证提示是否不合法的一种方法是,它可能无法识别请求管理员权限的程序。 合法的身份验证提示将包含一个“详细信息”选项,以详细了解请求。 这可能听起来很愚蠢,但要检查输入凭据的窗口中是否有拼写错误。 许多邪恶的人并不总是注意这些细节。
目前,BlackHole RAT需要自己的密码才能安装,这意味着攻击者需要直接访问您的计算机。 有关详细信息,McAfee工程师Gabriel Acevedo提供深入的McAfee研究员Gabriel Acevedo提供BlackHole RAT的深入演练,其中包括对Windows和Mac用户的操作的详细说明。
请注意,BlackHole RAT不应与Blackhole漏洞利用套件混淆,该套件是通过Web传递漏洞利用和恶意软件的框架。