协议或服务冒充

对手可能会冒充合法的协议或Web服务流量，以掩盖命令和控制活动并阻碍分析工作。通过冒充合法的协议或Web服务，对手可以使其命令和控制流量与合法的网络流量混合。 对手可能会冒充伪造的SSL/TLS握手，使后续流量看起来是SSL/TLS加密的，可能会干扰某些安全工具，或使流量看起来与受信任的实体相关。 对手还可能利用合法协议冒充预期的Web流量或受信任的服务。例如，对手可能会操纵HTTP头、URI端点、SSL证书和传输的数据，以掩盖C2通信或模仿合法服务，如Gmail、Google Drive和Yahoo Messenger。(引用: ESET Okrum July 2019)(引用: Malleable-C2-U42)