发布/订阅协议

对手可能会使用发布/订阅（pub/sub）应用层协议进行通信，以通过与现有流量混合来避免检测/网络过滤。发送到远程系统的命令以及这些命令的结果通常会嵌入在客户端和服务器之间的协议流量中。 诸如MQTT、XMPP、AMQP和STOMP等协议使用发布/订阅设计，消息分发由集中式代理管理。(引用: wailing crab sub/pub)(引用: Mandiant APT1 Appendix) 发布者按主题分类其消息，而订阅者根据其订阅的主题接收消息。(引用: wailing crab sub/pub) 对手可能会滥用发布/订阅协议，通过消息代理与其控制的系统进行通信，同时模仿正常、预期的流量。