邮件协议
对手可能会使用与电子邮件传输相关的应用层协议进行通信,以通过与现有流量混合来避免检测/网络过滤。发送到远程系统的命令以及这些命令的结果通常会嵌入在客户端和服务器之间的协议流量中。 诸如SMTP/S、POP3/S和IMAP等传输电子邮件的协议在环境中可能非常常见。这些协议产生的数据包可能有许多字段和标头,可以隐藏数据。数据也可以隐藏在电子邮件消息本身中。对手可能会滥用这些协议与他们控制的系统进行通信,同时模仿正常、预期的流量。(引用: FireEye APT28)
对手可能会使用与电子邮件传输相关的应用层协议进行通信,以通过与现有流量混合来避免检测/网络过滤。发送到远程系统的命令以及这些命令的结果通常会嵌入在客户端和服务器之间的协议流量中。 诸如SMTP/S、POP3/S和IMAP等传输电子邮件的协议在环境中可能非常常见。这些协议产生的数据包可能有许多字段和标头,可以隐藏数据。数据也可以隐藏在电子邮件消息本身中。对手可能会滥用这些协议与他们控制的系统进行通信,同时模仿正常、预期的流量。(引用: FireEye APT28)