死信投递解析器

对手可能使用现有的合法外部Web服务来托管指向其他命令和控制（C2）基础设施的信息。对手可能在Web服务上发布内容，称为死信投递解析器，其中嵌入（通常是混淆/编码的）域名或IP地址。一旦感染，受害者将联系这些解析器并被重定向。 作为C2机制的流行网站和社交媒体可能提供大量掩护，因为网络中的主机在被攻破之前可能已经在与它们通信。使用Google或Twitter等常见服务使对手更容易隐藏在预期的噪音中。Web服务提供商通常使用SSL/TLS加密，为对手提供了额外的保护。 使用死信投递解析器还可以通过恶意软件二进制分析保护后端C2基础设施免于被发现，同时也增强了操作弹性（因为这些基础设施可能会动态更改）。