不常用端口

攻击者可以通过非标准端口进行 C2 通信，以绕过未正确配置的代理和防火墙。

缓解

正确配置防火墙和代理，以将出口流量限制为仅需要的端口。

使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可减少网络级活动。签名通常用于协议内的唯一指示器，可能基于特定的攻击者或工具使用的特定协议，并且可能在不同的恶意软件系列和版本之间不同。攻击者可能会随着时间的推移修改工具 C2 签名，或者以这种方式构造协议以规避常见的防御工具的检测。

检测

为不常见的数据流分析网络数据（例如，客户端发送的数据远多于从服务器接收的数据）。利用通常没有网络通信或以前从未见过的网络的进程是可疑的。分析数据包内容以检测不符合所使用端口的预期协议行为的通信。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn