BlackHole은 악의적으로 사용되는 원격 관리 도구 (RAT)로서 원격 액세스 트로이 목마 역할을 할 수 있습니다. BlackHole RAT는 Mac OS X 또는 Windows에서 사용할 수 있으며 원격 공격자가 다음을 수행 할 수있게합니다.
- 쉘 명령을 실행합니다 (로그인 한 사용자의 권한에 따라 다름).
- 종료, 다시 시작 또는 컴퓨터 잠자기
- 희생자의 컴퓨터에 메시지 표시
- 바탕 화면에 텍스트 파일 만들기
- 관리자 자격 증명 확인
관리 자격 증명에 대한 프롬프트는 수동으로 키로거와 같은 것으로 작동합니다. 메시지가 표시 될 때 피해자가 관리자 로그인 자격 증명을 입력하면 사용자 이름과 암호가 캡처되어 공격자에게 전송됩니다.
관리자 권한에 대한 요청은 Windows와 달리 Mac OS X 사용자를 대상으로합니다. Mac OS X 은 사용자가 명시 적으로 허용하지 않는 한 프로그램별로 하위 수준 액세스를 제한 합니다 . 이러한 트릭에 대한 가장 좋은 방어 방법 중 하나는 컴퓨터에 정상적인 것과 필요한 것 (이 예에서는 Mac)을 이해하는 것입니다.
예를 들어, / 관리자 암호를 묻는 메시지가 나타나면 다음과 같이 질문하십시오.
- 프롬프트가 발생했을 때 신뢰할 수있는 개발자로부터 알려진 프로그램을 설치 했습니까?
- 그렇다면 일반적으로 관리 액세스 권한이 필요한 프로그램을 설치하고 있습니까?
인증 프롬프트가 합법적인지 여부를 알 수있는 방법 중 하나는 관리자 권한을 요청하는 프로그램을 식별하지 못할 수도 있다는 것입니다. 합법적 인 인증 프롬프트에는 요청에 대해 자세히 알아볼 수있는 "세부 정보"옵션이 포함됩니다. 그리고 이것은 어리석게 들리 겠지만 자격 증명을 입력하는 창에서 맞춤법 오류를 확인하십시오. 사악한 사람들이 항상 이러한 세부 사항에주의를 기울이지는 않습니다.
현재 BlackHole RAT는 설치하기 위해 자체 암호가 필요합니다. 즉, 침입자가 컴퓨터에 직접 액세스해야합니다. 자세한 내용은 McAfee 엔지니어 인 Gabriel Acevedo가 심층적 인 McAfee 연구원 인 Gabriel Acevedo를 통해 Windows 및 Mac 사용자 모두를 대상으로 BlackHole RAT에 대한 자세한 설명을 제공합니다.
BlackHole RAT를 웹을 통해 악용 및 맬웨어를 전달하기위한 프레임 워크 인 Blackhole 익스플로잇 킷과 혼동해서는 안됩니다.