多阶段通道

对手可能会创建多个阶段的命令和控制通道，这些通道在不同条件下或用于某些功能时使用。使用多个阶段可能会混淆命令和控制通道，使检测更加困难。 远程访问工具将回调到第一阶段的命令和控制服务器以获取指令。第一阶段可能具有自动化功能，以收集基本主机信息、更新工具和上传其他文件。此时可能会上传第二个远程访问工具 (RAT) 以将主机重定向到第二阶段的命令和控制服务器。第二阶段可能功能更全面，允许对手通过反向 shell 和其他 RAT 功能与系统交互。 不同阶段可能会分别托管，没有重叠的基础设施。加载程序还可能具有备用的第一阶段回调或 回退通道，以防原始的第一阶段通信路径被发现和阻止。