应用层协议
对手可能会使用OSI应用层协议进行通信,以通过与现有流量混合来避免检测/网络过滤。发送到远程系统的命令以及这些命令的结果通常会嵌入在客户端和服务器之间的协议流量中。 对手可能会利用许多不同的协议,包括用于网页浏览、文件传输、电子邮件、DNS或发布/订阅的协议。对于在封闭环境内发生的连接(例如代理或枢纽节点与其他节点之间的连接),常用的协议是SMB、SSH或RDP。(引用: Mandiant APT29 Eye Spy Email Nov 22)
对手可能会使用OSI应用层协议进行通信,以通过与现有流量混合来避免检测/网络过滤。发送到远程系统的命令以及这些命令的结果通常会嵌入在客户端和服务器之间的协议流量中。 对手可能会利用许多不同的协议,包括用于网页浏览、文件传输、电子邮件、DNS或发布/订阅的协议。对于在封闭环境内发生的连接(例如代理或枢纽节点与其他节点之间的连接),常用的协议是SMB、SSH或RDP。(引用: Mandiant APT29 Eye Spy Email Nov 22)