多级信道

攻击者可以为不同条件或特定功能使用的命令与控制创建多级信道。利用多级可能会混淆命令与控制信道，使检测更加困难。

远程访问工具将调用第一级的命令与控制服务器获取指令。
第一级可以自动收集主机基本信息、更新工具和上传其他文件。
然后可以上传第二个远程访问工具 (RAT)，将主机重定向到第二级命令与控制服务器。
第二级会有更完善的功能，允许攻击者通过一个反向 shell 和额外的 RAT 功能与系统进行交互。

不同级可能会独立托管，没有重叠的基础设施。加载程序还会有第一级回调备用或备用信道，以防初始的第一级通信路径被发现并阻塞。

缓解

如果提前知道，则可以阻塞在多级通道中使用的命令与控制基础设施。
如果 C2 流量具有唯一签名，它们也可以用作标识和阻塞信道的基础。

检测

有关使用网络连接的未知可疑进程活动的主机数据对于增强基于恶意软件命令与控制签名以及基础设施的任何现有攻击指标非常重要。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn