Эксфильтрация по альтернативному протоколу

Злоумышленники могут похищать данные, эксфильтруя их по протоколу, отличному от существующего канала управления и контроля. Данные также могут быть отправлены в альтернативное сетевое расположение от основного сервера управления и контроля. Альтернативные протоколы включают FTP, SMTP, HTTP/S, DNS, SMB или любой другой сетевой протокол, не используемый в качестве основного канала управления и контроля. Злоумышленники также могут выбрать шифрование и/или обфускацию этих альтернативных каналов. Эксфильтрация по альтернативному протоколу может быть выполнена с использованием различных стандартных утилит операционной системы, таких как Net/SMB или FTP. В macOS и Linux curl может использоваться для вызова таких протоколов, как HTTP/S или FTP/S, для эксфильтрации данных из системы. Многие платформы IaaS и SaaS (такие как Microsoft Exchange, Microsoft SharePoint, GitHub и AWS S3) поддерживают прямую загрузку файлов, электронных писем, исходного кода и другой конфиденциальной информации через веб-консоль или Cloud API.