图形用户界面 图形用户界面 (GUI) 是与操作系统交互的常见方式。攻击者可以在操作期间通常通过远程交互式会话（如远程桌面协议）使用系统的 GUI，而不是通过命令行界面，通过鼠标双击，Windows ...

备用信道 如果首选信道被攻击或无法访问，攻击者可以使用备用通信信道，以便维持可靠的命令与控制并避免数据传输受限。 缓解 使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。 ...

计划传输 数据渗漏可以仅在一天的特定时间或以特定间隔进行。这样可以将流量模式与正常活动或使用混合。 当有计划地进行数据渗漏时，通常也会使用其他渗漏技术来将信息传出网络，例如命令与控制信道上的数据渗漏和...

外围设备披露 攻击者可能试图收集有关连接到计算机系统的附加外围设备和组件的信息。 这些信息可以提高他们对系统和网络环境的认识，也有助于攻击者进一步的行动。 缓解 识别可能用于获取外围设备信息的不必要的...

可移动媒体的数据 在进行数据渗漏之前，攻击者可以从与被入侵系统连接的任何可移动媒体（光盘驱动器，USB 存储器等）处收集敏感数据。 攻击者可以在他们已经入侵的计算机上搜索连接的可移动媒体，以查找感兴趣...

数据混淆 隐藏命令与控制（C2）通信（但不一定加密）以使内容更难以被发现或解密，并使通信和命令更加隐蔽。这包括许多方法，例如将垃圾数据添加到协议流量，使用隐写术，将合法流量与 C2 通信流量混合，或使...

数据编码 命令与控制 (C2) 信息使用标准数据编码系统进行编码。数据编码可以遵循现有的协议规范，包括使用 ASCII、Unicode、Base64、MIME、UTF-8 或其他二进制转为文本和字符编...

命令与控制信道上的数据渗漏 在命令与控制信道上进行数据渗漏。使用与命令与控制通信相同的协议将数据编码到正常通信通道中。 缓解 适用于命令与控制的缓解。使用网络签名来识别特定恶意软件的流量的网络入侵检测...

本地系统的数据 可以从本地系统源收集敏感数据，例如文件系统或在数据渗漏 (Exfiltration) 之前在系统上的信息数据库。 攻击者通常会在他们已经入侵的计算机上搜索文件系统，以查找感兴趣的文件。...

自定义加密协议 攻击者可以使用自定义加密协议或算法来隐藏命令控制流量。简单的方案如用固定密钥对明文进行异或，产生很弱的密文。 自定义加密方案的复杂程度会有不同。恶意软件样本的分析和逆向工程可能足以发现...

备用协议上的数据渗漏 使用与主要命令与控制协议或信道不同的协议执行数据窃取。数据很可能从主要命令与控制服务器发送到备用网络位置。备用协议包括 FTP，SMTP，HTTP/S，DNS 或其他一些网络协议...