巴巴尔:又一国家级间谍软件被发现
作者:星期五, 二月 27, 20151

01

安全研究机构最近曝光了一款可以入侵Windows系统计算机的高级尖端的恶意软件,该款名为“巴巴尔”(Babar)的软件旨在盗取目标的价值数据,包括即时通讯、软件电话、浏览器和办公软件的数据。

通过对其研究分析发现,该恶意软件由下载和植入两部分组成。后者能够搭载相关的远程处理应用程序接口,在不间断程序运行的情况下盗取数据。此程序的内部代码名称为“Babar64”,与今年1月份加拿大通信安全局(CSEC)发布的一份报告中,所描述的一个名为Babar的间谍软件极为相似。CSEC怀疑其源自法国情报机构。

下载部分:

DROPPER
MD5 9fff114f15b86896d8d4978c0ad2813d
SHA-1 27a0a98053f3eed82a51cdefbdfec7bb948e1f36
File Size 693.4 KB (710075 bytes)

植入部分:

MD5 4525141d9e6e7b5a7f4e8c3db3f0c24c
SHA-1 efbe18eb8a66e4b6289a5c53f22254f76e3a29bd
File Size 585.4 KB (599438 bytes)

3_副本

尽管对其来源的怀疑很难从恶意软件的二进制文件中得到证实,但分析人员还是对“巴巴尔”所采用的复杂高端技术所震惊。此外,代码分析显示,其与之前出现的邪恶巴尼(Bunny)恶意软件的代码笔迹极其相似,因此可以假定两款软件为同一作者。

巴巴尔可以通过挂马网站或恶意邮件附件等途径感染目标机器,然后通过下载器安装。植入部分实际上是一个C++写的32位的恶意DLL文件,通过应用一个全局Windows钩子,可将自身注入正在运行的系统进程并入侵到应用程序中。之后可以记录键盘击键,捕获屏幕截图,窃听软件电话并监视即时通讯软件等。巴巴尔是一个高度成熟的间谍软件,唯一的目的就是监视目标用户的计算机活动。

通过下载器部署到用户机器上的DLL文件被放进应用程序的数据文件夹,与之一起的还有一个名为MSI的文件目录,该文件夹负责存储运行时间数据。巴巴尔可以把它的DLL注入到多达三个桌面进程中进行多实例运行。除此之外,它还带有userland工具包组件,可以应用全局Windows钩子入侵所有桌面进程。这样,巴巴尔就能够通过Windows迂回技术安装应用程序接口钩子,从任意进程中盗窃数据。

4_副本

监视活动即可通过本地实例也可通过被入侵的进程执行,前者主要监视窗口名称或剪贴板数据,而全局钩子则直接从Windows应用程序接口调用窃取信息。

巴巴尔窃取的主要信息列表:

击键记录
截屏
从电话软件中捕获音频流
盗取剪贴板数据
系统和用户默认语言,键盘布局
桌面窗口名称

击键记录模块基于Windows RAWINPUT,该恶意软件建立一个只接收窗口信息的隐形窗口。通过处理这个窗口信息的队列,过滤出输入事件并派发到原始输入设备对象中。该对象通过GetRawInputData函数抓取键盘事件。

5_副本

巴巴尔的进程钩子关注下列应用程序:

互联网通信类-iexplore.exe,firefox.exe,opera.exe,chrome.exe,Safari.exe,msnmsgr.exe

文件处理类-exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe.txt

通讯类:skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe

恶意植入模块能够盗取来自键盘的输入,被编辑文件的信息,截获聊天消息,录制电话软件通话。这些盗取来的信息在加密后放入磁盘%APPDATA%\MSI目录里的一个文件中。

命令控制服务器

巴巴尔的分析样本的配置数据中,有两个硬编码服务器地址:

http://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php
http://www.gezelimmi.com/wp-includes/misc/bb/index.php

第一个地址是一个旅游网站,由一个位于法国的阿尔及利亚旅游机构运营。第二个地址是土耳其域名,目前访问会返回403错误。两个地址均为合法网站,但却被利用作为巴巴尔的命令控制服务端。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章