Salat là một mã độc ransomware được phát hiện gần đây, gây chú ý trong cộng đồng an ninh mạng vì thiết kế phức tạp và phạm vi năng lực rộng. Được xây dựng bằng Go, Salat hoạt động như một remote access trojan (RAT), cho phép kẻ điều khiển duy trì truy cập sâu và bền vững vào hệ thống bị nhiễm.
Kiến trúc và cơ chế điều khiển của mã độc ransomware Salat
Salat không chỉ tập trung vào một tác vụ đơn lẻ. Nó được thiết kế để thực hiện đồng thời nhiều hành vi như đánh cắp mật khẩu, theo dõi màn hình, truy cập webcam và mở remote shell để thực thi lệnh từ xa. Mục tiêu của mã độc ransomware này là duy trì quyền kiểm soát lâu dài mà vẫn hạn chế bị phát hiện.
Theo phân tích của DarkAtlas, Salat được nghiên cứu và công bố vào ngày 06/05/2026, với dấu hiệu cho thấy quá trình phát triển có chủ đích. Báo cáo gốc có thể tham khảo tại DarkAtlas blog.
Điểm đáng chú ý là Salat sử dụng QUIC và WebSocket để hòa lẫn lưu lượng điều khiển vào hoạt động internet bình thường. Nếu hai kênh này không khả dụng, nó mới chuyển sang HTTP/2. Cách triển khai này làm tăng nguy cơ bảo mật vì lưu lượng C2 khó bị phân biệt với traffic hợp lệ.
Các đặc điểm làm tăng khả năng ẩn mình
- 6 phương pháp che giấu chuỗi nội bộ.
- Tạo định danh duy nhất cho từng máy nhiễm dựa trên hostname và profile phần cứng.
- Địa chỉ máy chủ điều khiển được lưu ở dạng mã hóa kép trong binary.
- Chuyển sang server khác sau 5 lần kết nối thất bại liên tiếp.
Chuỗi điều khiển C2 và khả năng duy trì kết nối
Salat lưu trữ danh sách máy chủ C2 bên trong binary theo dạng mã hóa kép, khiến việc trích xuất trong quá trình phân tích trở nên khó khăn. Sau khi giải mã, đã thu được 5 địa chỉ server cùng cấu trúc đường dẫn.
Khi một server không phản hồi sau 5 lần thử, mã độc sẽ tự động chuyển sang server kế tiếp. Đây là cơ chế dự phòng giúp mã độc ransomware duy trì kênh điều khiển ngay cả khi một phần hạ tầng bị gián đoạn.
Điểm đáng chú ý khác là cơ chế dự phòng qua TON blockchain. Nếu toàn bộ server hardcoded không truy cập được, Salat sẽ truy vấn mạng TON thông qua Cloudflare Encrypted DNS để lấy địa chỉ server mới. Tham chiếu liên quan đến DNS ẩn có thể xem tại CISA.
Hành vi thu thập dữ liệu và tác động hệ thống
Sau khi xâm nhập, Salat bắt đầu thu thập thông tin ngay lập tức. Nó lấy dữ liệu về hệ điều hành, CPU, GPU, RAM và ứng dụng đang mở trên máy. Tất cả được đóng gói và gửi về máy chủ kẻ điều khiển dưới dạng mã hóa.
Phạm vi thu thập dữ liệu của mã độc ransomware này vượt xa nhiều công cụ thông thường. Nó nhắm vào:
- Mật khẩu và cookie đã lưu từ trình duyệt Chromium và Firefox.
- Token từ Discord và Steam.
- Tệp ví tiền điện tử.
- Clipboard, phím gõ, ảnh chụp màn hình và luồng desktop trực tiếp.
Salat cũng có thể mở remote shell để thực thi lệnh trực tiếp trên máy bị nhiễm. Điều này làm tăng khả năng hệ thống bị xâm nhập ở mức vận hành đầy đủ, thay vì chỉ dừng ở thu thập dữ liệu.
Cơ chế đóng gói và truyền dữ liệu
Dữ liệu thu thập được nén thành ZIP archive trước khi gửi đi, giúp giảm kích thước truyền tải và làm khó phát hiện. Đây là dấu hiệu phổ biến của threat intelligence liên quan đến nhóm malware đánh cắp dữ liệu có tính ẩn mình cao.
Các kỹ thuật persistence trên Windows
Để tồn tại qua khởi động lại, Salat sử dụng 3 cơ chế persistence riêng biệt. Các kỹ thuật này giúp mã độc ransomware duy trì hoạt động liên tục trên hệ thống Windows.
- Sao chép chính nó vào một thư mục với tên giả mạo như explorer.exe hoặc svchost.exe.
- Đánh dấu tệp là hidden để ẩn khỏi giao diện người dùng.
- Tạo Scheduled Task chạy khi người dùng đăng nhập và lặp lại mỗi 30 phút.
- Thêm registry key để tự khởi chạy khi Windows start.
Dấu hiệu cần kiểm tra trên endpoint
Trong điều tra sự cố, các mục sau cần được ưu tiên rà soát:
- Tệp hệ thống có tên giống tiến trình hợp lệ nhưng nằm ở đường dẫn bất thường.
- Scheduled Task mới xuất hiện, đặc biệt nếu cấu hình lặp lại theo chu kỳ.
- Registry key khởi động cùng Windows.
- Kết nối outbound bất thường qua QUIC hoặc WebSocket.
IoC và dấu hiệu nhận diện
Phần nội dung gốc không cung cấp danh sách IoC cụ thể như hash, domain hoặc IP. Tuy nhiên, các dấu hiệu vận hành sau có thể dùng để phát hiện xâm nhập:
- QUIC hoặc WebSocket outbound tới domain lạ.
- Tệp ẩn giả mạo tên explorer.exe hoặc svchost.exe.
- Scheduled Task chạy định kỳ mỗi 30 phút.
- Kết nối C2 chuyển đổi luân phiên qua nhiều server.
- Hành vi thu thập cookie, token, clipboard và ví tiền điện tử.
Phát hiện xâm nhập và giảm thiểu rủi ro bảo mật
Đội ngũ bảo mật nên giám sát các kết nối outbound bất thường qua QUIC và WebSocket, đặc biệt tới các domain không quen thuộc. Cùng với đó, cần theo dõi tệp hệ thống ẩn có tên trùng với tiến trình Windows hợp lệ để phát hiện mã độc ransomware sớm hơn.
Việc cập nhật công cụ endpoint để nhận diện malware viết bằng Go và kiểm tra định kỳ các Scheduled Task không rõ nguồn gốc sẽ giúp giảm rủi ro. Đây là biện pháp trực tiếp để hạn chế nguy cơ bảo mật do Salat gây ra.
# Ví dụ kiểm tra Scheduled Task trên Windows
schtasks /query /fo LIST /v
# Kiểm tra registry persistence phổ biến
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Với các hệ thống cần giám sát sâu hơn, có thể bổ sung rule phát hiện lưu lượng remote access trojan dựa trên hành vi kết nối, cơ chế persistence và mẫu nén ZIP trước khi exfiltration. Khi kết hợp với nhật ký endpoint, đây là hướng tiếp cận phù hợp để phát hiện mã độc ransomware trong giai đoạn sớm.
