多次跳转代理
为了掩盖恶意流量的来源,攻击者可能会将多个代理链接在一起。
通常,检测方能够识别进入网络前的最后一个代理,检测方不一定能够识别到最后一跳代理之前的其他代理。这项技术使得检测方需要通过追踪许多代理来进行恶意流量的溯源,导致恶意流量溯源变得更加困难。
多阶段通道
攻击者可以为不同通信条件或特定的功能创建多阶段远控通道,多阶段通道将混淆预案控通道,使得远控通道的检测更加困难。
远程访问工具将回调第一阶段的远控服务器以获取指令。第一阶段将自动收集基本的主机信息,更新工具和下载附件。此时可以上传第二个远程连接工具(Remote access tool, RAT),这样将主机重定向到第二阶段的远控服务器。第二阶段相较于第一阶段更为全面,允许攻击者通过逆向脚本和其他RAT与系统进行交互。
不同的阶段将被彼此独立出来,不共享任何基础设施。如果第一阶段的通信路径被发现并阻塞,加载器也具有第一阶段回调或备用信道等功能。
多频带通信
一些攻击者可能会将切分为多个部分,分别由不同协议进行。入站和出站的数据的命令与控制可以由不同协议控制,使得它可以绕过特定防火墙检测。拆分也可以是随机的,随机拆分标准可以避免在某一通信上的数据阈值警报。
多层加密
通常是在协议加密方案(如HTTPS,SMTPS)中隧道化一个自定义加密方案。
端口试探
端口试探是检测方和攻击者都会使用的隐藏开放端口的方法。为了启用端口,攻击者将发送一系列具有某些特定字节的数据包;通常,这些数据包包括与一些预定义的关闭的端口尝试连接,包含不常用的标志