巴巴尔:又一国家级间谍软件被发现

安全研究机构最近曝光了一款可以入侵Windows系统计算机的高级尖端的恶意软件，该款名为“巴巴尔”（Babar）的软件旨在盗取目标的价值数据，包括即时通讯、软件电话、浏览器和办公软件的数据。

通过对其研究分析发现，该恶意软件由下载和植入两部分组成。后者能够搭载相关的远程处理应用程序接口，在不间断程序运行的情况下盗取数据。此程序的内部代码名称为“Babar64”，与今年1月份加拿大通信安全局（CSEC）发布的一份报告中，所描述的一个名为Babar的间谍软件极为相似。CSEC怀疑其源自法国情报机构。

下载部分：

DROPPER

MD5 9fff114f15b86896d8d4978c0ad2813d

SHA-1 27a0a98053f3eed82a51cdefbdfec7bb948e1f36

File Size 693.4 KB (710075 bytes)

植入部分：

MD5 4525141d9e6e7b5a7f4e8c3db3f0c24c

SHA-1 efbe18eb8a66e4b6289a5c53f22254f76e3a29bd

File Size 585.4 KB (599438 bytes)

尽管对其来源的怀疑很难从恶意软件的二进制文件中得到证实，但分析人员还是对“巴巴尔”所采用的复杂高端技术所震惊。此外，代码分析显示，其与之前出现的邪恶巴尼（Bunny）恶意软件的代码笔迹极其相似，因此可以假定两款软件为同一作者。

巴巴尔可以通过挂马网站或恶意邮件附件等途径感染目标机器，然后通过下载器安装。植入部分实际上是一个C++写的32位的恶意DLL文件，通过应用一个全局Windows钩子，可将自身注入正在运行的系统进程并入侵到应用程序中。之后可以记录键盘击键，捕获屏幕截图，窃听软件电话并监视即时通讯软件等。巴巴尔是一个高度成熟的间谍软件，唯一的目的就是监视目标用户的计算机活动。

通过下载器部署到用户机器上的DLL文件被放进应用程序的数据文件夹，与之一起的还有一个名为MSI的文件目录，该文件夹负责存储运行时间数据。巴巴尔可以把它的DLL注入到多达三个桌面进程中进行多实例运行。除此之外，它还带有userland工具包组件，可以应用全局Windows钩子入侵所有桌面进程。这样，巴巴尔就能够通过Windows迂回技术安装应用程序接口钩子，从任意进程中盗窃数据。

监视活动即可通过本地实例也可通过被入侵的进程执行，前者主要监视窗口名称或剪贴板数据，而全局钩子则直接从Windows应用程序接口调用窃取信息。

巴巴尔窃取的主要信息列表：

击键记录

截屏

从电话软件中捕获音频流

盗取剪贴板数据

系统和用户默认语言，键盘布局

桌面窗口名称

击键记录模块基于Windows RAWINPUT，该恶意软件建立一个只接收窗口信息的隐形窗口。通过处理这个窗口信息的队列，过滤出输入事件并派发到原始输入设备对象中。该对象通过GetRawInputData函数抓取键盘事件。

巴巴尔的进程钩子关注下列应用程序：

互联网通信类－iexplore.exe,firefox.exe,opera.exe,chrome.exe,Safari.exe,msnmsgr.exe

文件处理类－exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe.txt

通讯类：skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe

恶意植入模块能够盗取来自键盘的输入，被编辑文件的信息，截获聊天消息，录制电话软件通话。这些盗取来的信息在加密后放入磁盘%APPDATA%\MSI目录里的一个文件中。

命令控制服务器

巴巴尔的分析样本的配置数据中，有两个硬编码服务器地址：

http://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php

http://www.gezelimmi.com/wp-includes/misc/bb/index.php

第一个地址是一个旅游网站，由一个位于法国的阿尔及利亚旅游机构运营。第二个地址是土耳其域名，目前访问会返回403错误。两个地址均为合法网站，但却被利用作为巴巴尔的命令控制服务端。