BlackHole是一种远程管理工具(RAT),恶意使用,也可以作为远程访问木马。 BlackHole RAT可以在Mac OS X或Windows上使用,并使远程攻击者能够执行以下操作:
- 执行shell命令(取决于登录用户的权限)
- 关机,重启或让电脑进入睡眠状态
- 在受害者的计算机上显示消息
- 在桌面上创建文本文件
- 提示管理员凭据
管理凭据的提示与手动驱动的键盘记录程序类似。如果受害者在提示时输入其管理员登录凭据,则将捕获用户名和密码并将其发送给攻击者。
对管理员权限的请求可能是针对Mac OS X用户的,因为与Windows不同,Mac OS X限制了程序的这种低级访问 除非用户明确允许 。针对此类技巧的最佳防御方法之一就是了解计算机的正常和必要条件(在本例中为Mac)。
例如,当/如果您收到管理员密码的提示时,请问自己以下内容:
- 当提示发生时,您是否从值得信赖的开发人员安装已知程序?
- 如果是这样,您正在安装通常需要管理访问权限的程序吗?
判断身份验证提示是否合法的方法之一是它可能无法识别请求管理员权限的程序。合法的身份验证提示将包含“详细信息”选项,以查找有关请求的更多信息。这可能听起来很愚蠢,但在您输入凭据的窗口中检查拼写错误。许多邪恶的人并不总是关注这些细节。
目前,BlackHole RAT需要自己的密码才能安装,这意味着攻击者需要直接访问您的计算机。请注意,BlackHole RAT不应与Blackhole漏洞利用工具包混淆,后者是通过Web提供漏洞利用和恶意软件的框架。
