自定义命令与控制协议

攻击者可以使用自定义命令与控制协议进行通信，而不是在现有的标准应用层协议中封装命令/数据。实现的协议包括模仿众所周知的协议或在 TCP/IP / 其他标准网络栈 提供的基本协议之上开发自定义协议（包括原始套接字）。

缓解

正确配置防火墙和代理，将出站流量限制在必要的端口并使其通过适当的网络网关系统。 还要确保仅允许主机通过授权接口进行通信。 使用网络签名来识别特定恶意软件的流量的网络入侵检测和防御系统可用于减少网络级别的活动。 签名通常协议内的唯一标志，可能基于特定的攻击者或工具使用的特定协议，并且可能在不同的恶意软件系列和版本之间不同。 攻击者可能会随着时间的推移修改工具命令与控制签名，或者以这种方式构造协议以规避常见的防御工具的检测。

检测

分析 ICMP 消息或其他协议的网络流量，这些协议包含异常或在网络内或网络外通常看不到的数据。 分析不常见数据流的网络数据（例如，客户端发送的数据远多于从服务器接收的数据）。 利用通常没有网络通信或以前从未见过的网络的进程是可疑的。 分析数据包内容以检测不遵循正在使用的端口的预期协议行为的通信。

监视和调查与启用和/或使用备用通信信道相关的函数的 API 调用。