通过替代协议外传

对手可能通过不同于现有命令和控制通道的协议窃取数据。数据也可能被发送到与主命令和控制服务器不同的网络位置。 替代协议包括FTP、SMTP、HTTP/S、DNS、SMB或任何其他未用作主命令和控制通道的网络协议。对手还可能选择加密和/或混淆这些替代通道。 通过替代协议外传可以使用各种常见的操作系统实用程序完成，例如Net/SMB或FTP。(引用: Palo Alto OilRig Oct 2016) 在macOS和Linux上，curl可以用于调用HTTP/S或FTP/S等协议，以从系统中外传数据。(引用: 20 macOS Common Tools and Techniques) 许多IaaS和SaaS平台（如Microsoft Exchange、Microsoft SharePoint、GitHub和AWS S3）支持通过Web控制台或云API直接下载文件、电子邮件、源代码和其他敏感信息。