# Silver RAT: Phần Mềm Độc Hại Mới với Chiến Lược Vượt Qua Phần Mềm Diệt Virus

**Silver RAT v1.0**, một trojan truy cập từ xa (Remote Access Trojan – RAT) mới xuất hiện, đang thu hút sự chú ý trong giới an ninh mạng nhờ vào khả năng vượt qua các phần mềm chống virus hiện đại và sở hữu nhiều tính năng phá hoại nguy hiểm nhắm đến hệ điều hành Windows

# Silver RAT là gì?

Phát triển bởi một nhóm lập trình viên người Syria hoạt động dưới biệt danh **“Anonymous Arabic”**, Silver RAT lần đầu được phát hiện trong môi trường thực vào tháng 11/2023. Trước đó, phần mềm này được công bố qua kênh Telegram chính thức từ ngày 19/10/2022 và nhanh chóng lan rộng trên các diễn đàn hacker ngầm như **TurkHackTeam**, **1877** và các cộng đồng tiếng Nga. Nhóm phát triển cũng thiết lập hệ thống phân phối riêng gồm các **website thương mại điện tử** và nhiều **kênh Telegram với hơn 1.000 thành viên**, phục vụ cho việc mua bán và hỗ trợ kỹ thuật.

![](https://www.cyfirma.com/media/2024/01/game-1.jpg align="left")

*Hình 1. Hoạt động bán mã độc Silver RAT 1.0 trái phép trên các diễn đàn tin tặc ngầm*

# Mức độ ảnh hưởng

Theo phân tích từ Cyfirma, Silver RAT chủ yếu sử dụng **kỹ thuật social engineering** để phân phối payload có dung lượng nhỏ (40–50KB). Khi được thực thi, RAT yêu cầu quyền quản trị, hiện một cửa sổ dòng lệnh ngắn, và thiết lập **reverse shell** về máy chủ chỉ huy và điều khiển (C2). Kênh liên lạc có thể là địa chỉ IP kèm port hoặc liên kết HTML, cho phép triển khai linh hoạt.

Không chỉ đơn thuần là công cụ điều khiển từ xa, Silver RAT tích hợp nhiều chức năng nguy hiểm, bao gồm:

* **Mã hóa dữ liệu như ransomware**
    
* **Keylogging**
    
* **Đánh cắp cookie trình duyệt**
    
* **Xóa điểm khôi phục hệ thống**
    

![](https://www.cyfirma.com/media/2024/01/game-9.jpg align="left")

*Hình 2. Một vài tính năng của mã độc Silver RAT*

Những tính năng này cho phép kẻ tấn công **trích xuất dữ liệu quy mô lớn** và có thể khiến nạn nhân **mất hoàn toàn khả năng phục hồi hệ thống**. Nhóm phát triển còn công bố kế hoạch phát hành **phiên bản mới hỗ trợ cả Android**, mở rộng đáng kể phạm vi tấn công.

# Cơ chế né tránh và chống phân tích của mã độc

Silver RAT v1.0 sử dụng nhiều cơ chế **anti-analysis** để tránh bị phát hiện và điều tra. Mã nguồn bao gồm các cờ bảo vệ như `RuntimeProcessCheckerProtection`, `RuntimeAntiDebugProtection`, `KillDebuggerProtection`, `KillMaliciousProcess`, `DetectDllInjection` và `RunSingleThread`, được thiết kế để phát hiện hoạt động debug hoặc phân tích mã độc.

Cùng với đó là danh sách đen có tên **BadPList** chứa **95 tiến trình phổ biến** thường dùng trong phân tích mã độc như `dnspy`, `x64dbg`, `IDA`, `Wireshark`, và `Fiddler`. Khi phát hiện bất kỳ tiến trình nào trong danh sách đang chạy, mã độc sẽ tự động **dừng hoạt động** để tránh bị phân tích.

Ngoài ra, Silver RAT còn sử dụng:

* **FUD crypter** để vượt qua phần mềm chống virus,
    
* **Ẩn tiến trình khỏi Task Manager**,
    
* **Tự động thêm vào danh sách loại trừ của Windows Defender**, khiến việc phát hiện sau khi thực thi gần như không thể.
    

![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEimY7CWAxDwL-rXEN715_cYkE5cIRX1zjjzDxbRct3TvMcBeTJCT8TAvgqWa1uoaE_E0hmrLLalcWQ569cXAsI5Cl2T8hu2ArjVKca5YlrrzRj9bCrvXnhgxVlR3WHyM-oTmrhmwZY4C4-BiYmcybGRrgft1oFwZ7IDiNkEPYnuJzAJsCd7_sj4T4T4Zg8/s16000/Bypassing%20Antivirus%20using%20FUD%20Crypters%20(Soyrce%20-%20Cyfirma).webp align="left")

*Hình 3. Khả năng vượt qua AV bằng cách sử dụng FUD Crypters*

# IOCs liên quan đến mã độc Silver RAT

| **Hash** | **Description** |
| --- | --- |
| 79a4605d24d32f992d8e144202e980bb6b52bf8c9925b1498a1da59e50ac51f9 | Silver RAT v1.0 Builder |
| a9fa8e14080792b67a12f682a336c0ea9ff463bbcb27955644c6fcaf80023641 | Silver RAT v1.0 Builder |
| 7a9aeea5e65a0966894710c1d9191ba4cbd6415cba5b10b3b75091237a70a5b8 | Silver RAT Payload |
| 0ace7ae35b7b44a3ec64667983ff9106df688c24b52f8fcb25729c70a00cc319 | Silver RAT Payload |
| 3b06b4aab7f6f590aeac5afb33bbe2c36191aeee724ec82e2a9661e34679af0a | Silver RAT Payload |
| 27b781269be3b0d2f16689a17245d82210f39531e3bcb88684b03ae620ac5007 | Silver RAT Payload |
| 0ace7ae35b7b44a3ec64667983ff9106df688c24b52f8fcb25729c70a00cc319 | Silver RAT Payload |

# Khuyến nghị

Phía **FPT Threat Intelligence** khuyến nghị tổ chức và cá nhân một số cách để phòng chống chiến dịch tấn công nguy hiểm này:

1. Tăng cường nhận thức và huấn luyện người dùng:
    
    * Tổ chức đào tạo định kỳ về kỹ thuật social engineering, đặc biệt là nhận diện email giả mạo, liên kết lừa đảo và tệp đính kèm nguy hiểm.
        
    
    * Khuyến khích người dùng không mở tệp lạ hoặc chạy phần mềm không rõ nguồn gốc, kể cả khi được gửi từ người quen.
        
2. Triển khai nhiều lớp bảo vệ (Defense-in-Depth):
    
    * Sử dụng phần mềm chống virus và EDR (Endpoint Detection & Response) có khả năng giám sát hành vi thời gian thực.
        
    * Cập nhật Windows Defender exclusion list monitoring để phát hiện nếu mã độc cố gắng tự thêm mình vào danh sách loại trừ.
        
    * Triển khai Firewall nội bộ để chặn kết nối ra ngoài không rõ nguồn (ví dụ: kết nối C2 từ Silver RAT).
        
3. Tăng cường năng lực phát hiện và phản ứng:
    
    * Cài đặt và cấu hình các công cụ giám sát tiến trình như Sysmon hoặc Windows Event Logging để phát hiện hoạt động bất thường.
        
    * Sử dụng sandbox và honeypot để thử nghiệm phần mềm lạ trong môi trường cách ly.
        
    * Tích hợp các công cụ như VirusTotal, Any.Run để quét và phân tích hành vi mã độc trước khi triển khai thực tế.
        
4. Áp dụng chính sách bảo mật nghiêm ngặt:
    
    * Tắt quyền thực thi script/macro trong email hoặc các tài liệu văn phòng đối với người dùng không cần thiết.
        
    * Áp dụng nguyên tắc đặc quyền tối thiểu (Least Privilege): không cho người dùng quyền quản trị trừ khi thực sự cần thiết.
        
    * Chặn và giám sát các cổng/ứng dụng không sử dụng, ví dụ như ngăn truy cập từ các ứng dụng chưa được xác minh đến internet.
        
5. Duy trì sao lưu và kế hoạch phục hồi:
    
    * Thiết lập cơ chế sao lưu dữ liệu tự động định kỳ và kiểm tra tính khả dụng của bản sao lưu.
        
    * Đảm bảo bản sao lưu không thể bị truy cập hoặc mã hóa bởi mã độc, ví dụ lưu trên thiết bị tách biệt (offline/offsite).
        

# Tham khảo

* [Silver RAT Malware With New Anti-virus Bypass Techniques Executes Malicious Activities](https://cybersecuritynews.com/silver-rat-malware-with-new-anti-virus-bypass-techniques/)
