网络安全圈最近盯上了一个叫Salat的新玩意儿。这东西用Go语言写的,表面看是个远程控制木马,但仔细拆解后发现,它的设计思路比市面上大多数同类工具都要老道——不是那种只会偷密码的笨贼,而是能长期潜伏、随时接管你整台机器的精密武器。
Salat最棘手的地方在于它的"隐身术"。它抛弃了传统木马常用的通信方式,转而拥抱QUIC和WebSocket这两种现代网络协议。为什么选它们?因为这两样东西太常见了——你刷网页、看视频、开在线会议,后台全是这种流量。Salat混在里面,安全设备根本分不清谁是正常用户、谁是入侵者。只有当这两条通道都被堵死,它才会退而求其次,改用普通的HTTP/2。
DarkAtlas的研究团队在2026年5月6日发布的详细分析里,花了大量篇幅讲Salat的反侦察设计。它内部字符串用了六种不同的隐藏手法,每台被感染的机器还会根据主机名和硬件信息生成唯一标识。这意味着攻击者能精准区分每一个受害者,而取证人员想从代码里挖出线索却难上加难。
一旦成功植入,Salat的收集工作立即启动。操作系统版本、CPU型号、GPU规格、内存大小、当前打开的软件——全部打包加密发回攻击者服务器。但这只是开胃菜。它的真正胃口包括:浏览器数据、加密货币钱包、即时通讯记录、剪贴板内容。 keystroke记录、屏幕截图、实时桌面直播、远程命令行——这些功能模块一个不少,相当于把整台电脑的完全控制权拱手让人。
命令服务器的地址被双层加密藏在二进制文件里,分析时极难提取。研究人员最终解码出五个服务器地址,路径结构完全一致。Salat有个硬规则:连不上就换,五次失败自动切到下一个。如果五个全挂呢?它还有最后一招——通过Cloudflare的加密DNS查询TON区块链网络,从链上获取新的控制节点。这种"去中心化复活"机制让传统的封域名、拔网线手段几乎失效。
从产品设计角度看,Salat的架构透露出一种罕见的系统性思维。它不是堆功能的缝合怪,每个模块都服务于同一个目标:长期存活、持续控制、难以追踪。QUIC和WebSocket的选择是为了融入正常流量,多层加密是为了对抗逆向工程,区块链备份是为了消除单点故障。这些技术单拿出来都不算新奇,但组合在一起,就构成了一个让防御方非常头疼的对手。
更值得玩味的是它的开发投入。六种字符串混淆方法、硬件指纹生成、多协议自适应、区块链容灾——这些都需要相当的时间和精力。DarkAtlas在报告中用了"careful and professional planning"来形容,这措辞在学术化的威胁情报写作里并不常见。它暗示的潜台词是:Salat背后不是散兵游勇,而是有组织的行动者,而且目标明确、资源充足。
对普通用户来说,Salat的存在意味着传统的"装个杀毒软件就高枕无忧"已经不够用了。它的通信特征太像正常流量,行为模式又高度隐蔽。对企业安全团队而言,这更是一个信号:下一代威胁正在利用互联网基础设施的开放性来反制防御体系。当攻击者开始用区块链做备用指挥通道,用加密DNS做查询跳板,传统的网络边界思维就需要彻底更新了。
热门跟贴