协议隧道

对手可能会将网络通信隧道化到和从受害者系统，以避免检测/网络过滤和/或访问其他无法访问的系统。隧道化涉及显式地将一个协议封装在另一个协议中。这种行为可能通过与现有流量混合来隐藏恶意流量和/或提供外层加密（类似于VPN）。隧道化还可以启用网络数据包的路由，否则这些数据包将无法到达预期目的地，例如SMB、RDP或其他将被网络设备过滤或无法通过互联网路由的流量。 有多种方法可以将一个协议封装在另一个协议中。例如，对手可能会执行SSH隧道（也称为SSH端口转发），这涉及通过加密的SSH隧道转发任意数据。(引用: SSH Tunneling) 对手还可能在动态解析期间滥用协议隧道。称为DNS over HTTPS（DoH），解析C2基础设施的查询可能封装在加密的HTTPS数据包中。(引用: BleepingComp Godlua JUL19) 对手还可能结合代理和/或协议或服务模拟使用协议隧道进一步隐藏C2通信和基础设施。