外部代理

对手可能会使用外部代理作为网络通信到命令和控制服务器的中介，以避免直接连接到他们的基础设施。许多工具可以通过代理或端口重定向实现流量重定向，包括 HTRAN、ZXProxy 和 ZXPortMap。(引用: Trend Micro APT Attack Tools) 对手使用这些类型的代理来管理命令和控制通信，以在连接丢失的情况下提供弹性，或通过现有的受信任通信路径进行通信以避免引起怀疑。 外部连接代理用于掩盖 C2 流量的目的地，通常通过端口重定向器实现。受害者环境外的受损系统可能用于这些目的，也可能是购买的基础设施，例如基于云的资源或虚拟专用服务器。代理可能会根据受害系统连接到它们的可能性较低而被选择。受害系统将直接与互联网上的外部代理通信，然后代理将通信转发到 C2 服务器。