T1008-备用通信通道

来自ATT&CK描述

如果主要通道受到破坏或无法访问，攻击者可能会使用备用或备用通信通道，以维持可靠的命令和控制并避免数据传输阈值。

主要就是备份，避免权限被清掉，类似于持久化，多种方法维持权限。不过在这里是多种方法维持接收C2指令。

检测

分析不常见数据流的网络数据（例如，客户端发送的数据明显多于从服务器接收的数据）。使用通常没有网络通信或以前从未见过的网络的进程是可疑的。分析数据包内容以检测不遵循正在使用的端口通讯协议的通信。

参考推荐

MITRE-ATT&CK-T1008

https://attack.mitre.org/techniques/T1008