T1521-标准加密协议

来自ATT&CK描述

攻击者可以明确地使用已知的加密算法来隐藏命令和控制流量，而不是依赖通信协议提供的任何固有保护。尽管使用了加密算法，但如果必要的密钥在恶意软件样本或配置文件中编码生成，这些容易受到逆向分析工程的追踪。

缓解措施

这种类型的攻击技术不容易被预防控制所缓解，因为它是基于对系统功能的滥用。

检测

由于数据加密是许多合法应用程序的常见做法，并使用标准的编程语言、特定的API，为命令和控制通信加密数据，对用户来说是无法察觉的。

参考推荐

MITRE-ATT&CK-T1521

https://attack.mitre.org/techniques/T1521