新型木馬Salat曝光：用QUIC和WebSocket隱身，還能從區塊鏈復活

網絡安全圈最近盯上了一個叫Salat的新玩意兒。這東西用Go語言寫的，表面看是個遠程控制木馬，但仔細拆解后發現，它的設計思路比市面上大多數同類工具都要老道——不是那種只會偷密碼的笨賊，而是能長期潛伏、隨時接管你整臺機器的精密武器。

Salat最棘手的地方在于它的"隱身術"。它拋棄了傳統木馬常用的通信方式，轉而擁抱QUIC和WebSocket這兩種現代網絡協議。為什么選它們？因為這兩樣東西太常見了——你刷網頁、看視頻、開在線會議，后臺全是這種流量。Salat混在里面，安全設備根本分不清誰是正常用戶、誰是入侵者。只有當這兩條通道都被堵死，它才會退而求其次，改用普通的HTTP/2。

DarkAtlas的研究團隊在2026年5月6日發布的詳細分析里，花了大量篇幅講Salat的反偵察設計。它內部字符串用了六種不同的隱藏手法，每臺被感染的機器還會根據主機名和硬件信息生成唯一標識。這意味著攻擊者能精準區分每一個受害者，而取證人員想從代碼里挖出線索卻難上加難。

一旦成功植入，Salat的收集工作立即啟動。操作系統版本、CPU型號、GPU規格、內存大小、當前打開的軟件——全部打包加密發回攻擊者服務器。但這只是開胃菜。它的真正胃口包括：瀏覽器數據、加密貨幣錢包、即時通訊記錄、剪貼板內容。 keystroke記錄、屏幕截圖、實時桌面直播、遠程命令行——這些功能模塊一個不少，相當于把整臺電腦的完全控制權拱手讓人。

命令服務器的地址被雙層加密藏在二進制文件里，分析時極難提取。研究人員最終解碼出五個服務器地址，路徑結構完全一致。Salat有個硬規則：連不上就換，五次失敗自動切到下一個。如果五個全掛呢？它還有最后一招——通過Cloudflare的加密DNS查詢TON區塊鏈網絡，從鏈上獲取新的控制節點。這種"去中心化復活"機制讓傳統的封域名、拔網線手段幾乎失效。

從產品設計角度看，Salat的架構透露出一種罕見的系統性思維。它不是堆功能的縫合怪，每個模塊都服務于同一個目標：長期存活、持續控制、難以追蹤。QUIC和WebSocket的選擇是為了融入正常流量，多層加密是為了對抗逆向工程，區塊鏈備份是為了消除單點故障。這些技術單拿出來都不算新奇，但組合在一起，就構成了一個讓防御方非常頭疼的對手。

更值得玩味的是它的開發投入。六種字符串混淆方法、硬件指紋生成、多協議自適應、區塊鏈容災——這些都需要相當的時間和精力。DarkAtlas在報告中用了"careful and professional planning"來形容，這措辭在學術化的威脅情報寫作里并不常見。它暗示的潛臺詞是：Salat背后不是散兵游勇，而是有組織的行動者，而且目標明確、資源充足。

對普通用戶來說，Salat的存在意味著傳統的"裝個殺毒軟件就高枕無憂"已經不夠用了。它的通信特征太像正常流量，行為模式又高度隱蔽。對企業安全團隊而言，這更是一個信號：下一代威脅正在利用互聯網基礎設施的開放性來反制防御體系。當攻擊者開始用區塊鏈做備用指揮通道，用加密DNS做查詢跳板，傳統的網絡邊界思維就需要徹底更新了。